Seguridad

Diseño Web, Gestores de contenidos, Seguridad

Wangguard: protege tu página de WordPress de usuarios no deseados (sploggers)

/

En algunos casos, las páginas de WordPress se llenan de registros de usuarios “falsos”, los llamados sploggers. Sobre todo aquellas que permitan a los usuarios registrarse sin ningún otro requisito. Evidentemente estas cuentas, además de llenar de “spam” nuestra lista de usuario, y agrandar la base de datos, puede ser un fallo de seguridad.  La mayoría de estos son intentos de acceder a nuestra página con permisos más elevados, o para poder postear links a otras webs. Normalmente yo sugiero establecer un requisito o control previo para registrarse, pero en ciertos proyectos esto no es posible. Así que si tu página requiere el registro público, y se te está llenando de sploggers, usuarios spam o no deseados, sugerimos este plugin, Wangguard. Wangguard no es del todo gratuito, pero lo es para páginas de menos de 5,000 usuarios al día mientras sea para uso personal (un blog por ejemplo): “WangGuard Always will be free for personal use, this means that whenever you have less than 5,000 daily registrations or you make less than $200/month, you never have to pay anything for WangGuard.” Puedes usarlo sin problemas, y si tienes una página con más de 5000 registros, o es profesional, paga la opción siguiente. Para poder activar el plugin, necesitas una clave API desde la página de WangGuard (registrándote), y con ella pegarla en la configuración del plugin. Tiene muchas opciones, y no sólo se puede instalar en WordPress, también en otros CMS. Es importante saber que el plugin APRENDE con el tiempo, y los creadores sugieren una semana para que el plugin coja algo de experiencia y empiece a reconocer bien a los sploggers.    

Diseño Web, Gestores de contenidos, Seguridad

Como activar SSL para Wordress cuando tienes un certificado, por ejemplo de Let’s Encrypt

/

Creo que casi todos habéis oído que Google premia, y lo hará más, a las webs que tienen certificado, es decir que funcionan con SSL. Las que puedes entrar con https://.. Y como antes eran caros, se abrió un proyecto (una apuesta de varias empresas) para obtener certificados gratuitos: Let’s Encrypt. Muchos proveedores de hosting, como nosotros, estamos presentando esta opción a los clientes. Así que ahora los clientes pueden tener certificado de manera asequible. Pero recordad que la primera parte, la activación, debe hacerse a nivel del servidor, o sea el proveedor (a menos que tengáis un servidor dedicado). Vamos a hablar del tema en el que ya tenemos un certificado…¿cómo hacemos que mi web en WordPress funcione con SSL? Hoy os contamos dos maneras: Por plugin (más sencillo): Hay un plugin excelente, que nos facilita la activación de https en WordPress. No activa lo necesario y pone los códigos que necesitamos. Really Simple SSL es perfecto para eso. Las estadísticas lo avalan: 4,9/5 de puntuación, y más de 40.000 instalaciones activas. Esto es lo que hace: El plugin soluciona la mayoría de los problemas de WordPress con ssl, como el tan discutido problema de balanceo de carga, o cuando no se ha definido ninguna variable del servidor. Todas las peticiones entrantes se redirigen a https. Si es posible con .htaccess, en caso contrario mediante javascript. La url del sitio y la url de portada se cambian a https. Tu contenido inseguro se repara reemplazando todas las urls http:// por https://, excepto enlaces a otros dominios. Se hace de manera dinámica, así que no se hacen cambios en la base de datos (excepto en el siteurl y homeurl). Por lo tanto te lo recomendamos. Olvídate de problemas. Manualmente. Tienes que añadir en httaccess para hacer las redirecciones que llegan:   RewriteEngine On RewriteCond %{SERVER_PORT} 80 RewriteRule ^(.*)$ https://tudominio.com/$1 [R,L] Y luego fuerza SSL en WordPress:   define(‘FORCE_SSL_LOGIN’, true); define(‘FORCE_SSL_ADMIN’, true);

Diseño Web, Seguridad

Por qué debes mantener tu página Web en WordPress actualizada. Si no puedes, contrata soporte.

/

Si tienes una página web, hay una gran posibilidad que la tengas en WordPress. Según estadísticas de W3techs, WordPress es el motor del 26,6% de las páginas web que existen, y es el gestor elegido en un 59,4% de las páginas que usan un gestor de contenidos. Es por eso por lo que es también uno de los sistemas más atacados y con más riesgo de que se vean comprometidos. ¿Por qué querría nadie atacar mi web? Hay muchas razones por las que alguien querría atacar tu web, por poco importante que creas que sea. Las enumeramos rápidamente: Dinero: La razón más importante y más común. A grandes rasgos hay dos maneras de ganar dinero con el ataque. 1)Por un lado pueden introducir código en tu página que haga que los usuarios que la vean se descarguen programas tipo viruso (ransomware, spyware, pharming….). De esa manera eres un foco de infección y, cuando se descargan el programa, este les roba datos de cuentas bancarias etc. 2) Por otro lado pueden insertar código en tu web que redirija a los usuarios a sus páginas o a anuncios de las mismas, de manera que les proporcione dinero por clic. Y pueden ganar mucho así. Por ver si pueden: hay mucha gente aburrida, o probando cosas en Internet….y muchas veces el reto de “ver si puedo entrar en esta web”, es suficiente para atacar y destruir tu página. Uso de recursos: tu web puede hackearse para usarla para otras actividades. Como hacer que forme parte de una botnet, para hacer ataques de denagación de servicio o de fuerza bruta a otros servidores o para enviar spam.  Cuantos más servidores tengan en estos grupos atacados, mejor (y antes) realizan esas actividades ilícitas. Se calcula que hay más o menos medio millón de ataques por minuto en el ciberespacio, y más de 30.000 webs son hackeadas al día. ¿Qué puede pasar si tu web es hackeada? Por un lado se pueden estar realizando actividades delictivas desde ella. Puede ser un foco de virus. Imagínate la imagen si alguien se infecta por un virus o le roban la cuenta por entrar en tu web. En ambos casos anteriores, limpiar la web puede ser más caro que un mantenimiento mensual o trimestral. Directamente te puede afectar porque, en el ataque menos dañino, la web “se caiga”. Esto, si tienes copia de seguridad, no conlleva mas que volver a subirla (tiempo o dinero). ¿Pero la tienes? Muchos no. Los buscadores como Google ahora muestran mensajes de alerta MUY llamativos cuando detectan que tu web tiene código malicioso. Esto da una imagen horrible a tu marca. Obviamente puede penalizarte en el SEO y ser muy difícil recuperarse (y caro). Google pone el aviso en seguida, y luego puede eliminarte del buscador (no se si es mejor aparecer con el aviso o que te quite). Si te elimina del buscador, puedes tardar meses de mucho trabajo en recuperarlo. Tu dominio puede aparecer en listas negras (una o varias) lo que afecta, no sólo al SEO, sino también a correos (más opciones de aparecer en la carpeta de spam o  de ser devueltos). En el caso que tratamos, una página de WordPress, ¿cuales son los métodos de ataque más comunes? Lo podéis ver en la imagen de la derecha. Esta imagen refleja claramente que, si haces una labor preventiva de mantenimiento y actualización de los plugins de tu página, del core (el propio Wordpress), así como un control  o políticas de control de la fortaleza de las contraseñas, reduces en más de un 70% el riesgo de ataques a tu página. Por lo tanto, Razones para actualizar un WordPress: Seguridad. Obvio. Cada actualización de los componentes tapa agujeros de seguridad. Correcciones. Tanto de la funcionalidad de WordPress, como del tema y plugins. Nuevas funcionalidades. Del core. WordPress está mejorando cada día. Compatibilidad de los componentes. Cuanto más actualices, más compatible será. Aunque si no actualizas otros componentes…puede que tengas problemas por actualizar. Si no puedes, o no sabes, realizar tu este mantenimiento, puedes contratar empresas que, como la nuestra, lo hagan cada cierto tiempo. Prevenir, siempre es más barato que lamentarse y curar después.

Mac, Seguridad

Consejos de seguridad para OSX: OS-X-Security-and-Privacy-Guide

/

Se ha publicado en GitHub una guía de seguridad para OSX Capitán con muchísimos consejos sobre cómo reforzar la seguridad de este sistema opertativo. Podéis verla aquí. Obviamente esta guía está más enfocada a entornos empresariales con OSX, pero también puede beneficiarse de ella el usuario medio que quiera conocer un poco más sobre seguridad con MAC. Podéis ver en la imagen la cantidad de temas que trata la guía (y hay más que no caben en la imagen). Recordad que, al final, el nivel de seguridad lo ponéis vosotros, acorde a vuestro nivel de amenaza o la importancia de los datos (no es lo mismo una empresa que un particular). Es verdad que, a mayor seguridad, mayor coste de implementación y mayor complejidad. También, en ocasiones, puede chocar con la usabilidad. Pero todos deberían leer la guía y, al menos, tener un mínimo de protección implementado. De lectura obligada para administradores de sistemas o interesados en seguridad. Y dejo caer también que podéis descargar esta guía fácilmente para leerla más tarde en el botón de Clone or Download. Artículo fuente.  

Seguridad, Trucos, Video

¿Por qué tapamos los informáticos la cámara de nuestros portátiles?

/

Los clientes se extrañan cuando, nada más recibir un portátil, lo primero que hacemos es tapar la cámara. Muchos informáticos lo hacen ahora hasta en los móviles y tablets. Como veis hasta Mark Zuckerberg lo hace (en esta foto tapa la cámara  y el micrófono). 3 things about this photo of Zuck: Camera covered with tapeMic jack covered with tapeEmail client is Thunderbird pic.twitter.com/vdQlF7RjQt — Chris Olson (@topherolson) June 21, 2016 Fijaos en una ampliación de la foto: Ya lo mencionamos alguna vez, pero hoy lo explicamos mejor. Existe Malware (software malicioso) que, de manera muy sencilla, puede conectar la cámara y grabar o directamente enviar en vivo lo que se ve por la cámara. Y no activa la luz del dispositivo. También grabar desde el micrófono. Diréis: “yo no tengo software malicioso”. El 99% de los ordenadores que hemos visto tienen malware, se infecta sólo por navegar y tienes que saber bien lo que haces para no tener programas espía. Se han dado casos (y lo confirma la policía) y muchas denuncias de gente a la que se le ha publicado contenido online de esta manera y, o se les ha extorsionado o simplemente les ha perjudicado de otras maneras. Así que, por si acaso, es conveniente tapar las cámaras. Ya existen hasta dispositivos comerciales para ello. Ahora dejaremos que Chema Alonso lo explique (por si no os fiáis de nosotros).

Noticias Informáticas, Redes Sociales, Seguridad

Linkedin está obligando a 100 millones de usuarios a cambiar su clave. No te asustes y cámbiala

/

Puede que hace unos días hayas recibido un aviso de Linkedin para cambiar la contraseña. Tranquilo, no es nada raro ni es, falso ni un ataque sólo a ti. Pero cámbiala. Es una buena medida de Linkedin (quizás algo tarde).Pero a mi me pareció que faltaba información. Tenía dudas (¿me están atacando a mí?, ¿alguien ha accedido a mi cuenta?, ¿desde donde?, ¿que dispositivo tengo infectado?). Os lo explicamos para tranquilizaros. En el 2012 robaron muchísimas contraseñas en esta red social por un fallo de seguridad que se ha detectado que están a la venta. Ante la aparición en el mercado de estas contraseñas, Linkedin ha optado por anular las cuentas afectadas y forzarles a cambiar la contraseña. Algo que nos parece muy adecuado. De hecho recuerda que deberías (aunque seguro que no lo haces) cambiar la contraseña cada cierto tiempo. De hecho en la notificación pide que solicites el cambio de contraseña con un correo a tu e-mail y desde ahí lo cambies (podrías hacerlo desde tu cuenta). Así se aseguran que es el usuario en cuestión el que lo está cambiando y no alguien que tiene acceso al perfil. Buena medida de Linkedin, y no os asustéis, pero cambiad la contraseña.

Limpieza de PC, Noticias Informáticas, Seguridad

Los creadores de TeslaCrypt proporcionan la clave y ya hay programas para desbloquearlo

/

Ya hemos hablado recientemente de los ransomware, uno de los mayores peligros para los usuarios hoy en día. Las últimas versiones cifran hasta dos veces, haciendo imposible la recuperación de los ficheros infectados.  La gente sólo puede optar por formatear o pagar (no recomendado por lo explicado en el artículo). Hace unos días, me imagino que por ver las orejas al lobo, o porque hayan llegado a un pacto con la justicia, los creadores de uno de los ransomware más famosos han anunciado que dejaban sus actividades. Los técnicos de Eset contactaron con los creadores de TeslaCrypt pidiendo la clave, y estos lo han publicado online. Puedes ver más acerca de la historia aquí. La gente de Eset ha desarrollado enseguida un programa para poder desencriptar los ficheros (lo que les va a dar mucha notoriedad). El programa puedes descargarlo aquí y en la página veis como usarlo (aquí en español). Una curiosa noticia, y buena si alguien se infecta a partir de ahora por las variantes de este virus (v3 y v4). Pero  mucho me temo que es tarde para los casos que hayan sido infectados antes. Estos ya habrán formateado o pagado. Así que la noticia queda casi como anecdótica. Además, lo más peligroso de los ransomware, en mi opinión, es el concepto: la manera tan sencilla de atacar a los usuarios, y el gran estrago que causan, para luego sacar un rendimiento económico. Recordad: no abráis emails ni ficheros (especialmente excel, zip rar etc) de origen desconocido.  

Navegadores, Seguridad, Soporte, Trucos

Errores de plugins de Java: No se ha podido realizar la firma, verifique la configuración del plugin de java

/

Llevamos una temporada con fallos en las páginas de administraciones del estado con los certificados y con trámites con Java que impliquen plugins. Si tratáis con Hacienda o la Seguridad Social sabéis de qué hablo. Causa: La causa de todo esto es que los navegadores están deshabilitando los plugins NPAPI como Java, ActiveX, Silverlight, Browser Helper Objects etc. Por temas de seguridad. Y la Administración Pública parecía no haber respondido a tiempo a ese cambio. Y digo parecía porque si que ha sacado el PIN y la Cl@ve que resuelve esto….pero todavía las empresas y clientes no están en ese sistema. Empezó Chrome primero haciendo difícil usar el plugin de Java y luego deshabilitandolo por completo. Chrome entonces no se podía usar para esto. Firefox todavía es una solución, se pueden usar plugins de este tipo con un truco. Pero ya ha avisado que lo deshabilitará para el fin del 2016. Edge, el nuevo navegador en Windows 10 (la E azul con un corte a la izquierda) directamente no ejecuta ninguno de estos plugins. Nos pasa que muchos clientes piensan que es IE y no entiende por qué no funciona como antes. No es Internet Explorer…aunque tenga un logo casi idéntico, y se parezca mucho …es como hacen los cambios en Microsoft jejejeje (si tiene plumas, hace cua cua y vuela…en este caso no es un pato). El único con el que podéis ejecutar estos plugins bien por ahora es Internet Explorer. Que aunque está escondido, está en Windows 10. Yo recomiendo anclarlo en la barra y usarlo sólo para estas cosas (no para navegar). Para arrancar IE en Windows 10 pon en Cortana (barra de búsqueda) o en botón derecho en Inicio y Ejecutar: iexplore.exe y dale al intro. Esto arrancará el navegador que tanto os suena. Podéis pulsar con el botón de la derecha en su icono en la barra de tareas y elegir Anclar a la barra de tareas.  Así lo tenéis a mano. Entrad en el sitio donde tenéis que usar el certificado o el plugin y veréis que funciona. Si tienes algún error es recomendable (y aunque no lo tengas): tener la última versión de Java. poner la página que te da problemas en las excepciones de Java en el panel de control poner la página que te da problemas en sitios seguros de Internet Explorer. activar los pop-ups en esta página. Todo para obtener esto:    

Diseño Web, Gestores de contenidos, Seguridad

Medida de seguridad en WordPress: cambiar la ruta de login (inicio de sesión).

/

Como hemos comentado mucho, WordPress es uno de los gestores de contenidos más famosos, más usados y más atacados. Intentamos siempre dar opciones sobre cómo mejorar la seguridad de tu página web. Una de las maneras más sencillas es esta: cambiar la dirección de login, es decir la dirección desde la que se accede a tu WordPress, ya sea como usuario o como administrador. ¿Por qué? Bueno, un método típico de entrada es ir a una web con wordpress, entrar por dominio/wp-login o dominio/wp-admin y ponerse a probar contraseñas y usuarios. Nota: obviamente no uses admin, administrator etc como nombres de usuario. Son los más probados. Con estos plugins, podemos cambiar de manera muy sencilla, la ruta de acceso y que ya no sean wp-login o wp-admin. Puedes elegir que sea lo que quieras, normalmente algo con muchas letras, números y sin sentido. Así lo pones más difícil a los cibercriminales. De hecho muchos de los gestores de contenidos (Prestashop por ejemplo) ya hacen esto por defecto en la instalación (poner una ruta larga y diferente). Os dejo dos plugins: WPS Hide Login. Renombra wp-login.php. Parece el mismo y de hecho la descripción es un calco…pero los desarrolladores son diferentes.  

Internet, Seguridad

Cuidado: que una página tenga un certificado no significa que sea segura

/

Si preguntas ahora a la mayoría de los usuarios con poco conocimiento de Internet, una página es segura “si lleva el candadito verde“. Algunos saben hasta lo que es https. Y esto me preocupa, porque se está generalizando la idea que “el candadito” equivale a que la página es segura y esto no tiene por qué ser así. Una página con un certificado (el famoso “candadito“) significa que toda la información durante la navegación en esa página está cifrada, “encriptada”. Es decir que una persona “espiando” no podrá obtener nada en claro porque verá sólo símbolos raros. Sólo podrán obtener los datos la persona emisora y la receptora (la página). Esta es una medida de seguridad necesaria y, según Google y muchos otros, ya imprescindible en todos los servicios. Vamos a un Internet cifrado. Pero el certificado no significa que una página es la que pensamos que es. Cualquiera, malos incluidos, puede obtener un certificado (comprado o libre) para su dominio y cifrar así la navegación en su web. Podéis ver fácilmente para quién está expedido el certificado pinchando en el candado y en detalles. Si, por ejemplo, yo compro un dominio bancosiantander.es y hago una web muy parecida, podría comprar un certificado para ese dominio. Así la gente entraría (por phising, pharming o simplemente poniendo un anuncio en Google) en mi web, vería una página parecida a la del banco, con candadito verde, y entraría con sus datos y contraseña. ¿Muy elaborado? No creáis, los casos recientes de phishing de Paypal tenían certificados legítimos. Por lo tanto, el certificado es un requisito importantísimo para que una web sea segura, pero NECESITAS TAMBIÉN ASEGURARTE QUE SABES EN QUÉ WEB NAVEGAS. Más información aquí.

Scroll al inicio