seguridad informática | Blog SitiosHispanos.Com

Desinfecta tu WordPress: Eliminación de malware

Guía para la eliminación de malware del WordPress y recomendaciones para prevenir este tipo de ataques.

Cuando se trata de proteger y reforzar WordPress, hay varias estrategias efectivas que puedes implementar. Sin embargo, es común que se olvide la importancia de limpiar y reparar sitios web infectados por malware. Esto puede tener consecuencias graves para la seguridad y la reputación de tu sitio web. Por eso, hemos creado esta guía práctica para ayudarte a eliminar malware en WordPress.

Es esencial contar con un sitio web alojado en un servicio de Hosting WordPress confiable, que ofrezca medidas de seguridad robustas, protección contra spam y detección de malware y otras infecciones. Además, es vital evitar el uso de plugins o temas obtenidos de fuentes poco fiables. Si te encuentras en esta situación, probablemente te preguntarás cómo eliminar malware en WordPress sin tener que empezar de nuevo.

Es muy importante estar informado y entender las distintas vulnerabilidades que pueden comprometer tus instalaciones de WordPress.

Aunque no hay una solución rápida y definitiva para eliminar las vulnerabilidades, un conjunto de procedimientos y precauciones que tomes como usuario o administrador de sitios web contribuirá a mantener un sistema más seguro.

Métodos y/o formas para detectar malware en WordPress

Aunque WordPress es bastante robusto, si vienes de versiones anteriores, a veces verás un mensaje indicando que “hay una versión disponible” y es recomendable que actualices.

Siempre asegúrate de tener tu WordPress actualizado a la última versión, ya que esto te protegerá contra vulnerabilidades críticas. No obstante, si has descuidado la seguridad de tu sitio, es posible que ya esté infectado sin que lo sepas. ¿Quieres verificarlo?

Revisa cuidadosamente los archivos de tu sitio web. Si encuentras algún archivo extraño o sospechoso que no reconozcas, descárgalo para analizarlo en tu ordenador o elimínalo del sitio. A veces, el malware se infiltra añadiendo archivos nuevos al sitio.
Examina la carpeta wp-content/plugins para identificar plugins que no hayas instalado y cuyo funcionamiento desconozcas. Los atacantes a veces añaden plugins modificados con código malicioso para que parezcan legítimos. Desactiva o elimina cualquier plugin sospechoso.
Revisa las tablas wp_posts y wp_comments de la base de datos de tu sitio en busca de entradas o comentarios sospechosos. El malware también puede infiltrarse en forma de spam o enlaces maliciosos en los comentarios.
Analiza los archivos de registro del servidor web, si tienes acceso a ellos, para detectar cualquier actividad sospechosa, como intentos de inyección de SQL u otros ataques contra el sitio.
Instala y ejecuta un escáner de malware en WordPress, como Wordfence, Sucuri o WP Cerber Security, para detectar posibles infecciones.
Mantén siempre la última versión de WordPress y actualiza tus plugins y temas, incluso si no están activos, para protegerlos contra posibles vulnerabilidades.
Cambia todas las contraseñas de acceso a tu instalación de WordPress infectada, especialmente las cuentas con rol de administrador y las de FTP, así como la base de datos. El malware puede capturar contraseñas a través de troyanos.
Implementa una política de copias de seguridad, ya que en caso de infección por malware, estas serán un recurso valioso para restaurar rápidamente el sitio sin invertir mucho tiempo en limpiarlo.

En resumen, es esencial aplicar medidas de prevención, no usar plugins o temas descargados de sitios poco fiables, y mantener una política estricta de copias de seguridad en WordPress ¡siempre!

Procedimientos para eliminar malware en WordPress

Después de identificar infecciones en un sitio construido con WordPress, es fundamental evaluar la magnitud de la infección, identificar los archivos o grupos de archivos afectados y determinar el tipo de infección para abordarla de manera eficaz.

Algunas infecciones de malware requieren un tratamiento específico, por lo que es necesario realizar un análisis detallado antes de proceder, ya que toda solución puede requerir un tiempo significativo.

Algunas formas de eliminar malware en WordPress incluyen:

Usar un plugin de seguridad y escaneo como Wordfence o WP Cerber Security para detectar y eliminar archivos infectados. Plugins como Wordfence pueden escanear tu sitio en busca de malware y limpiar automáticamente los archivos comprometidos.
Acceder por FTP y eliminar manualmente los archivos infectados. Identifica previamente los archivos afectados y sus patrones de modificación. Si conoces las rutas de los archivos infectados, puedes acceder vía FTP, dirigirte a la carpeta wp-content y eliminarlos manualmente.
Desactivar todos los plugins y cambiar las contraseñas de FTP y de la administración del sitio web. A veces, los plugins pueden estar comprometidos y al desactivarlos, se evita la ejecución del código malicioso. Cambiar las contraseñas es crucial para mejorar la seguridad.
Reinstalar WordPress por completo si la infección es severa. En este caso, puede ser más fácil hacer una copia de seguridad de la base de datos y archivos importantes, luego borrar WordPress e instalarlo nuevamente desde cero.
Utilizar un software anti-malware como Fixed o Malwarebytes para escanear y limpiar sitios WordPress infectados, eliminando los archivos maliciosos. Estos servicios generalmente son de pago.
Desinfectar la base de datos si se sabe que el malware ha insertado código en ella. Existen herramientas que ayudan a identificar y eliminar código malicioso de la base de datos, aunque muchas son de pago.

Existen numerosas herramientas para analizar sitios WordPress, algunas en forma de plugins y otras como herramientas de escritorio que deben instalarse en el ordenador, y la mayoría son comerciales. Algunas de las mencionadas incluyen:

Fixed: https://fixed.net/eu/malware-removal
Malwarebytes: https://try.malwarebytes.com/crush-malware/
Malcare: https://www.malcare.com/

También hay herramientas en línea que analizan un sitio web en busca de indicios de malware, aunque generalmente de manera superficial:

Google Informe de transparencia: https://transparencyreport.google.com/safe-browsing/search
SiteGuarding Website Malware Scanner: https://www.siteguarding.com
WPHackedHelp: https://secure.wphackedhelp.com/scanner.html
Sucuri website malware and security checker: https://sitecheck.sucuri.net
WPSEC: https://wpsec.com
Pentest Tools – Website Vulnerability Scanner: https://pentest-tools.com/website-vulnerability-scanning/website-scanner

Lo más importante es actuar rápidamente ante cualquier infección para evitar su propagación y hacer copias de seguridad regularmente. Una combinación de escaneo constante, buenos plugins y vigilancia manual puede ayudarte a mantener segura tu instalación de WordPress.

Recomendaciones y buenas prácticas en WordPress

Fortalecer WordPress implica adoptar buenas prácticas en la gestión del CMS, establecer políticas rigurosas de actualización y realizar copias de seguridad de forma regular, incluyendo copias diarias, semanales y mensuales. Además, es crucial:

Mantener tu instalación de WordPress actualizada con las últimas versiones del núcleo, plugins y temas.
Reducir al mínimo la cantidad de plugins utilizados, eliminando aquellos que no estén activos.
Utilizar contraseñas sólidas en todo momento.
Implementar métodos de autenticación seguros como la autenticación de dos factores (2FA).
Aplicar una capa adicional de protección utilizando el archivo htaccess en WordPress.
Descargar únicamente temas y plugins de fuentes confiables.
Evaluar la frecuencia de las actualizaciones de plugins y temas antes de instalarlos, ya que los plugins desactualizados pueden ser vulnerables.

Aunque no hay una solución perfecta para hacer que WordPress sea completamente seguro, al reducir los vectores de vulnerabilidad se pueden prevenir la mayoría de los ataques maliciosos o infecciones por malware.

Plugins más eficaces para eliminar malware en WordPress

El mercado de herramientas para analizar sitios web en busca de amenazas como malware, troyanos y otras infecciones es bastante amplio. Existen soluciones para casi todas las amenazas conocidas y, mediante análisis heurísticos, también para aquellas desconocidas.

Algunos de los plugins más populares y utilizados para detectar malware en WordPress incluyen:

Wordfence Security – Firewall, Malware Scan: Escanea archivos y la base de datos de WordPress en busca de malware. Incluye un firewall y bloqueo de direcciones IP maliciosas.
Sucuri Security – Auditing, Malware Scanner: Escanea malware, verifica la integridad de archivos y monitorea la vulnerabilidad de Heartbleed de SSL. Ofrece limpieza de malware y bloqueo de ataques.
iThemes Security: Escanea malware, bloquea ataques e impide accesos no autorizados. Además, facilita el mantenimiento de WordPress actualizado.
SecuPress Free – WordPress Security: Realiza escaneo de malware, protección mediante firewall, monitoreo de integridad de archivos y prevención de spam.
Malware Scanner: Desinfecta el sitio de virus, troyanos y malware. Escanea en busca de URL maliciosas.
AntiVirus: Escanea malware y troyanos, protegiendo contra inyecciones SQL y XSS. Detecta puertas traseras (backdoors).
Security Ninja – Secure Firewall & Secure Malware Scanner: Escanea vulnerabilidades y es compatible con MainWP para la gestión centralizada de sitios web.

Es importante no instalar estas herramientas indiscriminadamente, sino usarlas con sentido común. En muchos casos, los problemas de infecciones en sitios web de WordPress se resuelven al contratar un buen servicio de hosting que incluya medidas de seguridad rigurosas contra estas amenazas y al proporcionar a WordPress los recursos necesarios para funcionar adecuadamente.

En resumen

Implementar medidas de seguridad adicionales en WordPress es crucial para protegerse contra malware e infecciones, especialmente debido a la popularidad de WordPress como CMS, lo que lo convierte en un objetivo frecuente de ataques.

Al ser un software de código abierto, el código fuente del núcleo de WordPress, así como de sus plugins y temas, está disponible para cualquiera. Esto permite a los usuarios malintencionados detectar y explotar vulnerabilidades con mayor facilidad.

Las infecciones pueden resultar en el robo de datos sensibles, campañas de phishing dirigidas a los usuarios del sitio web infectado, o el uso indebido de recursos para actividades como la minería de criptomonedas o la propagación de malware.

La falta de medidas de protección y la ausencia de acciones correctivas cuando el sitio ya está infectado pueden causar que la infección se propague no solo en el sitio web, sino también en los servidores y bases de datos, especialmente si el proveedor de hosting no cuenta con medidas de seguridad adecuadas.

Si los motores de búsqueda, como Google (que controla el 95% de la cuota de búsquedas en Internet), detectan que un sitio está infectado, lo bloquearán y lo marcarán como peligroso. Esto afectará negativamente la reputación del sitio y su capacidad para atraer visitantes y clientes.

Por lo tanto, la implementación de medidas de seguridad adicionales en WordPress proporciona una capa extra de protección que es esencial para todos los sitios web, salvaguardando su reputación, datos y disponibilidad frente a estas amenazas.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Recomendaciones para mejorar la seguridad de WordPress

El CMS (sistema de gestión de contenidos) más prevalente en la actualidad es WordPress, liderando con un 43,2% de presencia en la totalidad de sitios web. Sin embargo, su extensa popularidad también lo convierte en un objetivo para diversos actores malintencionados que buscan explotar las vulnerabilidades de seguridad presentes en esta plataforma.

Esto no sugiere que WordPress carezca de un sistema de seguridad eficaz; más bien, las posibles vulnerabilidades pueden surgir debido a la falta de atención de los usuarios hacia la seguridad. Por ende, es recomendable adoptar medidas preventivas antes de que alguien intente comprometer la seguridad de tu sitio web.

La importancia de la seguridad de WordPress

Existe la posibilidad de perder datos cruciales, activos y credibilidad si tu sitio web es objeto de un ataque informático. Además, un incidente de este tipo podría comprometer la seguridad de los datos personales de tus clientes y la información de facturación.

A continuación, se presentan algunos de los tipos de vulnerabilidades de seguridad más frecuentes en WordPress, según la base de datos de vulnerabilidades de WPScan:

La falsificación de solicitudes en sitios cruzados (CSRF): obliga al usuario a realizar acciones no deseadas en una aplicación web confiable.
El ataque de denegación de servicio distribuido (DDoS): incapacita los servicios en línea llenándolos de conexiones no deseadas, lo que hace que un sitio sea inaccesible.
El bypass de autenticación: permite a los piratas informáticos acceder a los recursos de tu sitio web sin tener que verificar que es un usuario real.
La inyección SQL (SQLi): obliga al sistema a ejecutar consultas SQL maliciosas y manipula los datos de la base de datos.
El Cross-site scripting (XSS): inyecta código malicioso que convierte un sitio en un transportador de malware.
La inclusión de archivos locales (LFI): requiere que el sitio procese archivos maliciosos en el servidor.

Consejos para aumentar la seguridad de WordPress

Actualizar con frecuencia la versión de WordPress

WordPress regularmente publica actualizaciones de software destinadas a mejorar tanto el rendimiento como la seguridad del sistema. Estas actualizaciones desempeñan un papel crucial en la protección de tu sitio web contra posibles ataques cibernéticos.

Una de las formas más sencillas de fortalecer la seguridad de tu instalación de WordPress es mantenerla actualizada. Sin embargo, sorprendentemente, cerca del 50% de los sitios que utilizan WordPress aún operan con versiones antiguas, lo que aumenta su vulnerabilidad.

Para verificar si tienes la versión más reciente de WordPress, accede a tu panel de administración y dirígete a “Escritorio” => “Actualizaciones” en el menú de la izquierda. Si observas que tu versión no está actualizada, se recomienda encarecidamente que realices la actualización lo antes posible.

Es esencial estar atento a las fechas de lanzamiento de las futuras actualizaciones para asegurarse de que tu sitio web no esté utilizando una versión obsoleta de WordPress.

Además, se recomienda encarecidamente actualizar tanto los temas como los plugins instalados. Aquellos que no estén actualizados pueden generar interferencias con el software central recién actualizado de WordPress, ocasionando errores y representando una potencial amenaza para la seguridad del sitio. Mantener todos los componentes actualizados contribuye significativamente a la robustez y seguridad general de tu plataforma.

Para eliminar los temas y plugins obsoletos, sigue estos pasos:

1 – Debes acceder al panel de administración de WordPress y buscar la sección Escritorio => Actualizaciones.
2 – Desplázate hacia abajo hasta las secciones de Plugins y Temas y revisa la lista de los plugins que deben actualizarse. Ten en cuenta que se pueden actualizar todos de una vez.
3 – Pulsa en el botón «Actualizar plugins».

Te podría interesar leer nuestro artículo: ¿Debería actualizar WordPress o los complementos primero? (Orden de actualización adecuado)

Utiliza credenciales de inicio de sesión seguras de Wp-admin

Un error común es emplear nombres de usuario fácilmente comprensibles, como “administrador”, “admin” o “test”, lo cual incrementa el riesgo de ataques de fuerza bruta. Además, los atacantes también se dirigen a sitios de WordPress que cuentan con contraseñas débiles.

Por ende, se recomienda encarecidamente que tanto el nombre de usuario como la contraseña sean más complejos y difíciles de prever.

Si necesitas crear una nueva cuenta de administrador en WordPress, sigue estos pasos:

Ve a Usuarios en el panel de control de WordPress y selecciona Añadir nuevo usuario.

Para crear un nuevo usuario con el rol de Administrador, sigue estos pasos:

Inicia sesión en tu panel de administración de WordPress.
Dirígete a “Usuarios” en el menú de la izquierda y selecciona “Añadir nuevo”.
Completa los campos requeridos, como nombre de usuario y dirección de correo electrónico.
Asigna el rol de “Administrador” en la sección “Rol del usuario”.
Genera una contraseña robusta que incluya letras mayúsculas y minúsculas, números y símbolos. Se recomienda una longitud superior a 12 caracteres.
Pulsa el botón “Añadir nuevo usuario” para completar el proceso.

Para crear contraseñas seguras, puedes utilizar herramientas en línea como LastPass y 1Password. Estas plataformas pueden generar y almacenar contraseñas de manera segura. Además, facilitan la gestión de contraseñas, eliminando la necesidad de memorizarlas y contribuyendo así a mantener la seguridad de tus credenciales.

Configura una lista de bloqueo y seguridad para la página de administración

La activación del bloqueo de la URL ayuda a proteger tu página de acceso contra direcciones IP no autorizadas y ataques de fuerza bruta. Para lograrlo, se requiere la implementación de un servicio de firewall de aplicaciones web (WAF) como Cloudflare o Sucuri.

En el caso de Cloudflare, es posible configurar una regla de bloqueo de zona especificando las URLs que deseas bloquear y el rango de IPs autorizadas para acceder a ellas. Esto garantiza que las direcciones fuera de este rango no tengan acceso.

Por otro lado, Sucuri ofrece la función de lista negra de rutas de URL. Inicialmente, se añade la URL de la página de inicio de sesión a la lista negra para que no sea visible. Luego, se crea una lista de direcciones IP autorizadas que pueden acceder de manera segura.

Adicionalmente, puedes limitar el acceso a la página configurando el archivo .htaccess en el directorio raíz de tu sitio web. Para ello, sigue estos pasos:

Accede al directorio raíz de tu sitio web.
Abre el archivo .htaccess.
Agrega la siguiente regla para limitar el acceso a wp-login.php a una sola IP:

<Files wp-login.php>
    order deny,allow
    deny from all
    allow from tu_direccion_IP
</Files>

De esta manera, esta regla restringirá el acceso a la página de inicio de sesión (wp-login.php) a la dirección IP especificada, impidiendo que los atacantes accedan desde otras ubicaciones.

Esta regla debe agregarse después de «#End WordPress», para que pueda funcionar correctamente. Incluso si no tienes una IP estática, esta regla se aplica porque puedes restringir los inicios de sesión al rango normal de tu ISP.

Esta regla también se puede usar para restringir otras URLs autenticadas, como /wp-admin.

También puede ver nuestro artículo: Cómo aprovechar al máximo el archivo .htaccess y cómo usarlo en tu sitio web

Utilizar temas de WordPress confiables

Los temas de WordPress denominados “nulled” son reproducciones no autorizadas de los temas originales premium de WordPress. A menudo, se comercializan a precios más bajos para atraer a los usuarios, pero suelen estar plagados de problemas de seguridad.

Estos temas, proporcionados por vendedores de versiones nulled, son frecuentemente elaborados por piratas informáticos que modifican el tema premium original e insertan código malicioso, como malware y enlaces de spam. Además, pueden contener vulnerabilidades que facilitan otros tipos de ataques perjudiciales para tu sitio de WordPress.

Dado que los temas nulled se distribuyen de manera ilegal, los desarrolladores no ofrecen soporte a los usuarios. En caso de problemas, deberás solucionarlos y asegurar tu sitio de WordPress por tu cuenta.

Para evitar estos riesgos, es aconsejable seleccionar temas de WordPress únicamente desde su directorio oficial o de desarrolladores de confianza, garantizando así la integridad y seguridad de tu sitio.

Configurar el certificado de seguridad SSL

El protocolo de transferencia de datos Secure Sockets Layer (SSL) cifra la información compartida entre los usuarios y los sitios web, dificultando significativamente a los atacantes el robo de datos sensibles.

Además de fortalecer la seguridad, los certificados SSL contribuyen a mejorar la optimización para motores de búsqueda (SEO), lo que se traduce en un aumento de visitantes y tráfico en el sitio web. Los sitios web que cuentan con un certificado de seguridad mostrarán “HTTPS” en lugar de “HTTP”, lo que facilita su identificación.

Después de instalar un certificado SSL en tu cuenta de hosting, es crucial activarlo en tu sitio web de WordPress. Plugins como Really Simple SSL o SSL Insecure Content Fixer simplifican este proceso, manejando los aspectos técnicos y la activación en pocos clics. La versión premium de Really Simple SSL incluso ofrece la opción de habilitar encabezados HSTS (Seguridad de transporte HTTP rigurosa), que obligan a utilizar HTTPS al acceder al sitio.

La última acción es cambiar la URL de tu sitio web de HTTP a HTTPS. Para ello, ve a “Ajustes” => “Generales” y modifica el campo “Dirección del sitio”. Este paso finaliza la transición hacia una conexión segura y encriptada en tu sitio de WordPress.

Eliminar los temas y plugins de WordPress que no se utilicen

Es cierto que mantener plugins y temas no utilizados, especialmente si no se han actualizado, puede ser perjudicial para la seguridad de tu sitio web. Los plugins y temas desactualizados aumentan el riesgo de ciberataques, ya que los piratas informáticos pueden aprovechar posibles vulnerabilidades para acceder a tu sitio.

Para desinstalar un plugin de WordPress que no se está utilizando, sigue estos pasos:

Ingresa a la sección “Plugins” y selecciona “Plugins instalados”.
Verás una lista de todos los plugins instalados. Bajo el nombre del plugin que deseas eliminar, haz clic en “Borrar”.

Este procedimiento contribuirá a mantener la seguridad de tu sitio, eliminando software innecesario y reduciendo las posibles superficies de ataque. Además, se recomienda revisar y eliminar regularmente cualquier plugin o tema que no estés utilizando para garantizar la seguridad continua de tu sitio web.

Es importante destacar que el botón de eliminar estará disponible recién después de desactivar un plugin en WordPress.

En cuanto a la eliminación de un tema no utilizado, sigue estos pasos:

Accede a “Apariencia” => “Temas” desde el panel de administración de WordPress.
Selecciona el tema que deseas eliminar.
Aparecerá una ventana emergente con información sobre el tema. En la esquina inferior derecha, haz clic en el botón “Eliminar”.

Al seguir estos pasos, podrás desinstalar el tema seleccionado y así mantener tu sitio web más limpio y seguro. La eliminación de temas y plugins innecesarios reduce las posibles amenazas de seguridad y contribuye a un entorno más eficiente y protegido.

Cómo usar plugins de seguridad de WordPress

El uso de plugins representa otra estrategia efectiva para mejorar la seguridad de WordPress. Es un método sencillo y conveniente para proteger tu sitio web. No obstante, es crucial evitar la instalación de todos los plugins de seguridad al mismo tiempo, ya que esto puede ralentizar el rendimiento de tu sitio.

Para comenzar, es recomendable evaluar tus necesidades específicas y elegir plugins que se adapten a ellas de manera efectiva. Algunos de los plugins de seguridad comunes incluyen soluciones para firewall, escaneo de malware, protección contra ataques de fuerza bruta y monitoreo de actividad.

Recuerda que la calidad es más importante que la cantidad al seleccionar plugins. Opta por soluciones confiables y bien revisadas que cumplan con tus requerimientos de seguridad sin comprometer el rendimiento de tu sitio web. Además, mantén tus plugins actualizados para asegurar que estén equipados con las últimas funciones de seguridad y correcciones de vulnerabilidades.

1- Configurar la autenticación de dos factores para Wp-admin

Puedes activar la autenticación de dos factores (2FA) para facilitar el proceso de iniciar sesión en WordPress. Este método de autenticación requiere la introducción de un código único para completar el proceso, agregando una segunda capa de seguridad a la página de inicio de sesión de WordPress.

Siguiendo nuestra guía explicada aquí podrás activar 2FA en tu WordPress.

2 – Realizar copias de seguridad regulares de WordPress

Un componente fundamental en la gestión de riesgos es realizar periódicamente copias de seguridad del sitio, ya que esto facilita la recuperación después de eventos adversos, como ciberataques o daños físicos al centro de datos. Es esencial abarcar todos los archivos relacionados con la instalación de WordPress, englobando tanto la base de datos como los archivos fundamentales, dentro del archivo de copia de seguridad.

Para realizar esta tarea en WordPress es necesario contar con algún plugin que se encargue de esta función, como UpdraftPlus.

3- Limitar la cantidad de intentos de inicio de sesión

WordPress permite a los usuarios realizar un número ilimitado de intentos de inicio de sesión en tu sitio web. No obstante, esta característica crea una oportunidad propicia para que los piratas informáticos intenten acceder mediante diversas combinaciones de contraseñas hasta dar con la correcta.

Por consiguiente, resulta fundamental restringir los intentos de inicio de sesión fallidos para prevenir este tipo de ataques en la web. Además, limitar la cantidad de intentos no exitosos te permite supervisar cualquier actividad sospechosa que pueda ocurrir en tu sitio.

La mayoría de los usuarios normalmente necesitan solo uno o unos pocos intentos fallidos, por lo que debes permanecer alerta ante cualquier dirección IP sospechosa que alcance el límite de intentos.

Una estrategia eficaz para reducir el número de intentos de inicio de sesión y fortalecer la seguridad en WordPress es emplear un plugin. Existen numerosas opciones disponibles, tales como:

Limit Login Attempts Reloaded: limita la cantidad de intentos fallidos para direcciones IP específicas, agrega usuarios a la lista blanca o los bloquea por completo, e informa a los usuarios sobre el tiempo de bloqueo restante.
Loginizer: proporciona características de seguridad de inicio de sesión como la autenticación de dos factores, reCAPTCHA y preguntas de inicio de sesión con desafíos.
Limit Attempts de BestWebSoft: bloquea automáticamente las direcciones IP que superan el límite de intentos de inicio de sesión y las agrega a una lista de rechazos.

Un riesgo de implementar esta medida de seguridad es que un usuario fiable sea bloqueado en la administración de WordPress. Sin embargo, no debes preocuparte, ya que existen numerosas formas de recuperar cuentas de WordPress bloqueadas.

4 – Convertir la URL de la página de inicio de sesión de WordPress en una nueva

Considera modificar la URL de acceso para mejorar la defensa contra ataques de fuerza bruta.

La URL predeterminada para iniciar sesión en todos los sitios web de WordPress es misitioweb.com/wp-admin. Sin embargo, el uso de esta dirección facilita el acceso no autorizado de hackers a tu página.

La utilización de plugins como WPS Hide Login y Change WP Admin Login te brinda la posibilidad de personalizar esta URL.

Si optas por el plugin WPS Hide Login, sigue estos pasos para cambiar la URL de inicio de sesión de WordPress:

Accede a “Ajustes” > “WPS Hide Login” en tu panel de control.
Completa el campo de URL de acceso con tu elección personalizada.
Para finalizar el proceso, haz clic en el botón “Guardar cambios”.

5 – Cerrar automáticamente la sesión de los usuarios inactivos

Numerosos usuarios tienden a dejar sus sesiones sin cerrar, lo que puede permitir que otras personas con el mismo dispositivo accedan a sus cuentas de usuario y utilicen información confidencial. Esta práctica es especialmente riesgosa para aquellos que emplean computadoras públicas en bibliotecas o cibercafés.

Por este motivo, es esencial configurar tu sitio web de WordPress para que los usuarios inactivos se desconecten automáticamente. Este enfoque es comúnmente adoptado por sitios web bancarios para prevenir accesos no autorizados y salvaguardar la información de sus clientes.

Una manera conveniente de cerrar automáticamente las cuentas de usuarios inactivos es mediante el uso de un plugin de seguridad de WordPress, como Inactive Logout. Este plugin tiene la capacidad de cerrar sesiones de usuarios inactivos y enviarles un mensaje personalizado para notificarles que su sesión está a punto de finalizar.

6 – Controlar las acciones de los usuarios

Para detectar cualquier actividad no autorizada o maliciosa que pueda comprometer la seguridad de tu sitio web, es crucial realizar un seguimiento de las acciones en tu área de administración.

Este enfoque se vuelve especialmente recomendable para aquellos que gestionan varios usuarios o autores que acceden al sitio web, ya que los usuarios podrían realizar ajustes no deseados, como cambiar temas o configurar plugins, que podrían afectar la integridad del sitio.

Al monitorear activamente estas actividades, podrás identificar responsables de cambios no autorizados y detectar si alguna persona no autorizada ha ingresado a tu sitio web de WordPress.

Una forma sencilla de llevar a cabo este monitoreo es mediante el uso de plugins específicos para WordPress, tales como:

WP Activity Log: Realiza un seguimiento de cambios en diversos aspectos del sitio web, incluyendo publicaciones, páginas, temas y plugins. También registra archivos que se añaden, eliminan o modifican.
Activity Log: Permite supervisar diversas actividades en el panel de administración de WordPress y establecer reglas para notificaciones por correo electrónico.
Simple History: Ofrece soporte para varios plugins de terceros como Jetpack, WP Crontrol y Beaver Builder, y registra toda la actividad relacionada con ellos.

7 – Examinar tu sitio en busca de malwares

Es esencial realizar exploraciones periódicas en tu sitio web, ya que los atacantes desarrollan constantemente nuevos métodos de ataque.

Afortunadamente, existe una amplia gama de plugins diseñados para escanear malware y fortalecer la seguridad en WordPress.

Nuestros expertos recomiendan la instalación y uso de los siguientes plugins de seguridad:

Wordfence: Este popular plugin de seguridad para WordPress proporciona actualizaciones en tiempo real de firmas de malware y alertas notificativas, informándote si tu sitio ha sido bloqueado por otra página debido a actividades sospechosas.
BulletProof Security: Ofrece herramientas de copia de seguridad y restauración de la base de datos, una función de cierre de sesión inactiva, y carpetas de plugins ocultas que refuerzan la protección de tu sitio web de WordPress.
Sucuri Security: Considerado uno de los mejores plugins de seguridad disponibles, Sucuri Security ofrece diversos certificados SSL, escaneos remotos de malware y funciones de acción de seguridad post-hack.

Conclusiones

La inyección de malware y los ataques de denegación de servicio distribuido (DDoS) representan solo algunas de las diversas manifestaciones que pueden adoptar los ciberataques. Dada la amplia adopción del sistema de gestión de contenidos (CMS), los hackers suelen dirigir sus ataques con frecuencia hacia los sitios web de WordPress.

En consecuencia, es imperativo que los propietarios de sitios web estén conscientes de cómo salvaguardar sus páginas contra estas amenazas.

Si te ha gustado este artículo, suscríbete a nuestro canal de YouTube para ver videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en Twitter, Facebook e Instagram.

WordPress: Agregar CAPTCHA para los formularios

Es indiscutible la importancia de resguardarse contra el spam, un problema persistente que, aunque ha experimentado una notable disminución en años recientes, continúa siendo una preocupación. Para salvaguardar los formularios de comentarios, registro y acceso en WordPress, es esencial incorporar CAPTCHA mediante plugins que ofrezcan medidas de seguridad adecuadas.

En este manual, se detallará cómo integrar CAPTCHA en todos los formularios de WordPress con el fin de combatir el correo no deseado en tu página web.

Es común que los sitios web en WordPress en producción reciban en algún momento mensajes de spam que contienen enlaces hacia páginas de reputación cuestionable y contenido irrelevante para los objetivos de la página.

Si bien contar con un cortafuegos robusto puede actuar como primera línea de defensa ante bots maliciosos, el uso de CAPTCHA representa una barrera adicional que obstaculiza los intentos de los spammers.

Una de las vulnerabilidades que permite al spam alcanzar sus objetivos radica en la falta de protección al crear formularios en WordPress, ya sea para comentarios, registros, entre otros. Esta carencia no solo puede perjudicar el SEO, sino también la reputación y presencia online del sitio.

Por consiguiente, se abordará el procedimiento para implementar reCAPTCHA mediante un plugin para WordPress, lo que permitirá proteger de manera sencilla y eficaz los principales formularios de tu sitio web.

¿Qué es Google reCAPTCHA?

El sistema reCAPTCHA de Google representa una versión mejorada del CAPTCHA.

¿Qué implica el CAPTCHA, entonces? Se trata de una medida de seguridad conocida como autenticación mediante preguntas y respuestas.

El CAPTCHA requiere que superes una sencilla prueba para demostrar que eres un ser humano y no una computadora o un robot, con el fin de proteger tus formularios del spam y la suplantación de contraseñas.

La prueba más común consiste en mostrar una imagen con una serie de letras y números distorsionados que debes ingresar correctamente.

Google ofrece dos versiones principales de CAPTCHA.

reCAPTCHA v2

Es un componente visual que requiere que marques una casilla de verificación para confirmar que no eres un robot. Aunque, en ocasiones, incluso después de completar esta validación inicial, podría solicitar verificaciones adicionales mostrando imágenes que debes seleccionar según las indicaciones dadas.

reCAPTCHA v3 (invisible)

En este contexto, ya no es necesario activar un checkbox, ya que Google reCAPTCHA evalúa el comportamiento del usuario durante su navegación en línea para discernir su naturaleza humana.

ReCAPTCHA v3 elimina la necesidad de que el usuario seleccione imágenes o ingrese texto. En cambio, el sistema analiza cómo interactúa el usuario con el sitio web para determinar su condición humana.

Por ejemplo, comportamientos como movimientos erráticos, clics constantes en botones o cualquier otra acción sospechosa pueden llevar al sistema a clasificar al usuario como un robot.

A lo largo del tiempo, el sistema construye un perfil del usuario basado en su historial de actividad. Esta información es utilizada para generar una puntuación que determinará si el usuario es considerado humano o robot. Dependiendo de esta evaluación, se facilitará el acceso al contenido o se requerirán pruebas adicionales para verificar la identidad del usuario.

Las diferencias principales entre reCAPTCHA v2 y v3 radican en el método utilizado para determinar si un usuario es un robot. Mientras que la versión v3 se centra en el análisis del comportamiento del usuario en el sitio web, la versión v2 ofrece la opción de presentar imágenes con caracteres distorsionados para su verificación.

¿Son necesarias las medidas de CAPTCHA en WordPress?

Es evidente que la implementación de CAPTCHA o reCAPTCHA, e incluso la versión más reciente, CAPTCHA Invisible V3, es crucial. ¿Por qué? Simplemente porque los spammers emplean bots para llevar a cabo actividades de SEO fuera de la página, vinculando sus sitios web con el tuyo.

Es cierto que un individuo podría realizar estas acciones de manera directa y manual, pero llevaría más tiempo y sería un proceso más tedioso, con un alcance limitado.

La introducción de medidas de seguridad en los formularios justo antes de su envío asegura que dicho envío sea auténtico y realizado por un humano, en lugar de un script o un robot.

¿Cómo se pueden obtener las claves de reCAPTCHA?

Para integrar CAPTCHA en WordPress, es necesario registrar el servicio reCAPTCHA de Google en tu sitio web.

Si dispones de una cuenta de Google, puedes acceder al sitio web oficial de Google reCAPTCHA. En la parte superior del sitio, encontrarás un enlace que te dirigirá a la Consola de Administración.

Si ya tienes un sitio web que funciona con reCAPTCHA, puedes agregar sitios adicionales al modelo gratuito usando el ícono «+» dentro de las limitaciones de sitios que permite este servicio en la Consola de Administración.

Si no tienes sitios, verás la siguiente pantalla directamente:

Al registrar un dominio en Google reCAPTCHA, es importante considerar los siguientes campos:

Etiqueta: asigna un nombre para identificar el dominio; incluir el nombre del dominio es una sugerencia útil. Esto permite gestionar múltiples dominios desde la misma consola, facilitando la asociación de cada clave con su respectiva instalación.
Tipo de reCAPTCHA: se recomienda seleccionar la versión v3, compatible con plugins como Contact Form 7 (versiones posteriores a la 5.1) y Elementor, entre otros.
Dominio: indica el dominio en el que se implementará el reCAPTCHA. Puedes especificar un subdominio junto con el dominio principal, por ejemplo, si posees una tienda online con el subdominio “tienda” (tienda.tu-dominio.com).

Una vez que hayas completado los campos necesarios, procede a hacer clic en “Enviar”. Si toda la información es correcta, serás redirigido a una pantalla donde encontrarás una opción desplegable que proporciona claves de reCAPTCHA públicas y privadas para el dominio especificado.

Copia estas claves y luego guárdalas en un lugar seguro.

Configurar reCAPTCHA de Google en WordPress

Para incorporar un CAPTCHA en WordPress, puedes optar por uno de los numerosos plugins disponibles en el directorio oficial de plugins de WordPress.

En esta guía, he seleccionado el plugin reCAPTCHA by BestWebSoft para ilustrar el proceso de registro.

Este plugin integra reCAPTCHA, el sistema de verificación de Google diseñado para combatir el spam y los ataques de bots, añadiendo una capa extra de seguridad a tu sitio web WordPress.

Algunas de las características destacadas de este plugin son:

Fácil instalación y configuración, sin necesidad de conocimientos técnicos o edición de código.
Compatible con varias versiones de reCAPTCHA, incluyendo las versiones 2 y 3.
Permite personalizar la apariencia del formulario de verificación.
Funciona con diversos formularios y plugins populares de WordPress.
Registra intentos de verificación para detectar posibles ataques de bots.
Cumple con las normativas del RGPD (Reglamento General de Protección de Datos).
Permite establecer restricciones de acceso basadas en dirección IP, país y otros factores.

Para instalar este plugin, busca “reCAPTCHA” en la sección de Plugins > Añadir nuevo en el panel de administración de WordPress y selecciona el plugin “reCAPTCHA by BestWebSoft”. Una vez instalado y activado, encontrarás una nueva opción en el menú llamada “reCAPTCHA”. Desde allí, en la sección de ajustes, podrás configurar el servicio para que se active en tu sitio web.

Al final de la primera pestaña de ajustes, encontrarás la opción para deshabilitar la presentación de reCAPTCHA para ciertos perfiles de usuario, como el administrador. Esto evita que los usuarios internos tengan que validar frecuentemente.

Una vez que hayas configurado todos los aspectos del plugin y guardado los cambios, verifica que todos los formularios donde lo hayas activado lo muestren y funcionen correctamente.

Conclusión

La adopción de Google reCAPTCHA v3 para asegurar los formularios con CAPTCHA en WordPress se posiciona como una medida esencial en la lucha contra el spam y las actividades maliciosas. Esta herramienta de seguridad avanzada no solo resguarda de manera efectiva tu sitio web, sino que también optimiza la experiencia del usuario al eliminar la necesidad de realizar verificaciones manuales.

Al implementar Google reCAPTCHA v3, se garantiza la integridad y fiabilidad de los formularios, proporcionando a los visitantes una interacción segura y sin inconvenientes.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram.

Cómo aprovechar al máximo el archivo .htaccess y cómo usarlo en tu sitio web

Mientras navegas por el administrador de archivo de tu hosting o en alguna sesión de FTP, te has encontrado con el archivo htaccess. Y si tu sitio web está diseñado con WordPress es más común encontrarlo, si no lo tienen también podrás crearlo fácilmente. En este artículo conocerás más sobre este archivo, aprovechando su potencial.

¿Qué es el archivo .htaccess?

El archivo .htaccess, abreviatura de Hypertext Access, es un archivo de configuración bastante utilizado en el servidor web Apache. Este archivo generalmente se encuentra en el directorio raíz de un sitio web, es decir en la carpeta pública (public_html) y su nombre comienza con un punto, lo que lo hace invisible por defecto en los sistemas operativos Unix, además de que no posee extensión. El archivo .htaccess contiene directivas que modifican la configuración de Apache para un directorio en particular y sus subdirectorios, sin modificar la configuración global del servidor.

Funciones y características del archivo .htaccess

El archivo .htaccess permite una amplia gama de funcionalidades y características que impactan la forma en que se comporta un sitio web. Algunos de los usos más comunes son:

1. Redirecciones

Con el archivo .htaccess, se pueden establecer redirecciones, ya sea para redireccionar URLs específicas o para redirigir todo un dominio a otro. Esto es útil cuando se realiza una reestructuración del sitio web o cuando se desea redirigir a los usuarios a una página de mantenimiento temporalmente.

2. Control de acceso

El archivo .htaccess permite controlar el acceso a determinados archivos o directorios. Por ejemplo, se puede restringir el acceso a una carpeta con archivos confidenciales o requerir autenticación para acceder a ciertas páginas.

3. Personalización de errores

Es posible personalizar las páginas de error que los visitantes verán cuando se produzca un error en el sitio web, como el error 404. Esto permite mostrar mensajes más amigables y personalizados en lugar de los mensajes predeterminados del servidor web.

4. Bloqueo de IPs o dominios

Con el archivo .htaccess, es posible bloquear el acceso a ciertos usuarios, IPs o dominios no deseados. Esto puede ser útil para bloquear intentos de acceso no autorizados o para evitar el acceso desde ciertas ubicaciones geográficas.

5. Mejora del rendimiento

En opciones más avanzadas el archivo .htaccess también se puede utilizar para habilitar compresión de archivos, caché de contenido y otras técnicas de optimización que ayudan a mejorar el rendimiento del sitio web.

Importancia y aplicación del archivo .htaccess

Una vez mencionadas las funciones más comunes del archivo .htaccess es de suma importancia comentar el papel fundamental en la configuración y personalización de un sitio web. Su capacidad para controlar varios aspectos del servidor web Apache ofrece a los administradores del sitio una forma eficiente de modificar y mejorar el funcionamiento de sus sitios web sin tener que realizar cambios directamente en la configuración del servidor.

Con el conocimiento y la comprensión adecuados de cómo funciona el archivo .htaccess, los profesionales de diseño y desarrollo web pueden aprovechar al máximo esta herramienta para lograr un sitio web más seguro, eficiente y adaptado a sus necesidades.

Ahora veamos un poco el accionar del archivo .htaccess

Redirecciones y reescritura de URL

Las redirecciones son acciones que permiten redirigir a los usuarios que intentan acceder a una URL en particular hacia una dirección diferente. Para ver un ejemplo de esto, imaginemos que queremos redirigir un dominio a un sitio web sin WWW o de la forma contraria.

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.midominio.com [NC]
RewriteRule ^(.*)$ https://midominio.com/$1 [L,R=301]

Estas tres líneas redirigir tu dominio a la versión sin WWW, para entrar en contexto, RewriteEngine, RewriteCond y RewriteRule son directiva y ofrecen su propia forma de configuración y puede ser utilizado según las necesidades específicas de nuestro sitio web. Ahora para el caso contrario en que necesitemos redireccionar a un dominio con WWW, se puede utilizar:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^midominio.com [NC]
RewriteRule ^(.*)$ https://www.midominio.com/$1 [L,R=301]

Protección y seguridad del sitio web

Existen varios tipos de ataques a los que un sitio web puede estar expuesto, tales como ataques de inyección SQL, ataques DDoS, cross-site scripting (XSS) y más. Mediante el archivo .htaccess, podemos implementar medidas de seguridad para prevenir y mitigar estos ataques.

# Proteger ante DDOS de 10 Mb
LimitRequestBody 10240000

También suelen utilizarse para bloquear bots y crawlers molestos que consumen ancho de banda en nuestro sitio web. Estos bots los podemos detectar con la herramienta AWStats de nuestro panel de control. Para bloquearlos desde el htaccess debemos escribir las siguientes líneas:

# Bloquear Bots
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^SemrushBot [NC]
RewriteRule ^.* - [F,L]

En este caso bloquea el bot de SemrushBot, pero también hay muchos otros como SeekportBot, PetalBot. Recuerda que no todos los bots son malos, también existen los bots de los motores de búsqueda, como el de Googlebot, Bingbot, Yandexbot, entre otros.

Por otro lado, puedes bloquear el acceso a una o varias IPs de una forma muy sencilla, vemos el ejemplo:

order allow,deny
deny from x.x.x.x
allow from all

Donde en x.x.x.x especificas la IP y puedes agregas más lineas para listar otras IPs.

Ver nuestro artículo: WordPress: .htaccess

Esperamos que este artículo le haya ayudado a conocer como utilizar el archivo .htaccess, su funcionamiento y lo importante que puede ser para su sitio web.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de WordPress. También puede encontrarnos en Twitter, Facebook e Instagram.

WordPress: Limpiar un hackeo

Es posible que te hayan infectado, hackeado. Cualquiera de estas opciones es factible si tu sitio tiene un problema de seguridad por falta de actualización o por disponer activado o no una plantilla o plugin que ha sido mal desarrollado.

Antes que nada: Haz una copia de seguridad o respaldo/backup desde el panel de control de tu dominio.
Podrás crear tu copia de seguridad siguiendo estos pasos:
https://ayuda.sitioshispanos.com/menu-principal/guias/web-hosting/copias-de-seguridad

Ahora si, comencemos. Uno de los primeros pasos es el de bloquear el acceso a todo el mundo para que no pueda acceder. Puedes cerrar el sitio web (ponerla en modo mantenimiento); o directamente “romper” el dominio renombrado la carpeta donde está instalada la web (En cPanel, dicha carpeta se llama /public_html; por dar un ejemplo).

Una vez has cerrado el acceso, lo siguiente es proceder a cambiar las principales contraseñas del sitio. Es necesario modificar las passwords de todos los administradores del WordPress y las del alojamiento / FTP, e incluso la de la base de datos.

Una vez hemos hecho esto, lo siguiente es reinstalar WordPress.

Aunque restaures los archivos de WordPress, seguramente te los volverán a modificar al día siguiente si no se ataca el problema de la raíz: ¿Por dónde han entrado?

Mucha gente se piensa que solo subiendo todo de nuevo, sobrescribiendo los archivos, resolverá el problema. No sirve solo subir todo de nuevo sobrescribiendo los archivos. Seguro que volverás a tener problemas en breve.

En primer lugar, y es importante. En el momento es que comenzó a pasar todo, ¿Tenias plugins, WordPress o el theme sin actualizar? Esto nos indicará si es un problema de descuido de la instalación.

Una cosa que puede suceder, es que “limpies” WordPress, pero ni los plugins, ni el theme, ni otros directorios de WordPress.

Lo que se tienes que hacer para limpiar una instalación de forma correcta y por este orden es:

En los ordenadores que acceden vía FTP al servidor:

1 – Pasa un buen antivirus para asegurarte que no tengas ningún troyano. Es importante saber que la computadora por la que se accede al sitio.

2 – Si usas FileZilla, actualiza a la última versión para tener las contraseñas encriptadas, no en texto plano como las tienen las antiguas versiones. Has lo mismo con cualquier otro cliente FTP que uses.

Pasar antivirus también en ordenadores que tienen acceso a la administración de WordPress.

Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.En el servidor o en el panel de control del sitio:

1 – Cambia las contraseñas del FTP. Asegurarse que sean seguras. Sobre todo, hazlo después de haberte asegurado que tu ordenador no tiene ningún tipo de infección, o te las volverá a capturar el posible troyano.
Las configuraciones FTP las podrás ver en esta guía:
https://ayuda.sitioshispanos.com/menu-principal/guias/web-hosting/sesiones-ftp

En WordPress:

Consigue copias limpias del Themes si no las tienes ya.
Consigue copias limpias de todos los plugins que utilices y en sus últimas versiones.
Descárgate todo el directorio uploads de WordPress a tu ordenador. Si usas plugins que creen directorios dentro de wp-content para subir archivos, descárgalo también. Hay plugins que crean directorios propios principalmente para subir imágenes. Pero ten cuidado, estate seguro que ese directorio es legítimo, no vayas a descargarte para su posterior subida el directorio que ha creado el hackeo.
Descárgate la base de datos a tu ordenador. Puedes usar el gestor de bases de datos que ofrece nuestro servicio de hosting, por regla general será phpMyAdmin.
Ve a los usuarios de WordPress, y mira que no haya ninguno que no debiera estar ahí. Si hay algún usuario que no debiera estar, bórralo.
Ve a la base de datos, y mira la tabla {prefijo}_users que no haya ninguno que no debiera estar ahí. Si lo hubiera, apunta el ID de usuario y elimínalo. TEN CUIDADO, PRESUPONGO QUE REALIZASTE UNA COPIA DE LA BASE DE DATOS TAL Y COMO TE HE DICHO EN UN PUNTO ANTERIOR.
En el caso en que hubiera algún usuario que no debía estar en {prefijo}_users ve a la tabla {prefijo}_usersmeta y busca todos los metadatos del ID de los usuarios que has eliminado y eliminalos todos.
Copia a tu ordenador el archivo wp-config.php.
Una vez copiado, ábrelo y mira que no haya nada que no debiera estar ahí. Si lo hubiera, bórralo.
Pasa el antivirus por el directorio uploads que te has descargado. Por regla general los antivirus detectan malware, uploaders, etc. Si te has descargado otros directorios de otros plugins, revísalos igualmente con el antivirus.
Entra uno a uno en todos los directorios dentro de uploads y de los otros directorios creados por otros plugins y mira que no haya nada que no debería estar ahí, como archivos php, exe, ISO, etc. Si hay archivos index.php, ábrelos y mira que no haya nada raro.
Borra TODO lo que hay en la web. ¿Todo?. Si, TODO. Pero ten en cuenta que debes ya haber copiado wp-config.php, el directorio uploads, los otros directorios creados por plugins, si los hubieran, a tu ordenador. TEN CUIDADO, hablo de todo lo relacionado con WordPress. Si tuvieras cosas que no pertenecen a WordPress (otros directorios, otros CMS, etc..) no los borres, pero tendrás que revisarlos también por si están entrando por ahí.
Sube una copia limpia de WordPress.
Sube el directorio uploads ya comprobado y limpio y los otros directorios creados por plugins si existieran, igualmente revisados y limpios.
Sube una copia limpia de todos los plugins que usas en tu sitio.
Sube el theme limpio.
Sube el archivo wp-config.php (ya comprobado).
Entra en la administración de WordPress y guarda de nuevo los enlaces permanentes para que te cree un .htaccess nuevo.
Que todos los usuarios cambien sus contraseñas, por si han sido capturadas por algún script. Si esto no se puede hacer inmediatamente, cambia tu directamente las contraseñas apretando en la edición de cada usuario en restablecer contraseña, WordPress generará contraseñas nueva y seguras.

Permisos de archivos y directorios en el servidor

Este apartado es uno de los más importantes. Podemos tener todo actualizado y sin vulnerabilidades, pero si aplicamos permisos incorrecto desde el punto de vista de la seguridad a los archivos y directorios, estamos dejando el campo abierto a los hackeos.

¿Alguna vez has tenido que dar un permiso 777 a un directorio o archivo? si es así, tienes un gran problema. El dar permisos 777 es como dejarse la ventana o la puerta abierta en tu casa, con la diferencia que los hackers saben por regla general que esa ventana o puerta será el directorio /wp-content/uploads o /wp-content/cache, etc.

Asegúrate que todos los permisos para directorios sean 755 y para los archivos 644; a excepción, si quieres, del archivo wp-config.php que se le puede dar permisos 440, pero no es obligatorio.

Esperamos que esta guía haya sido de ayuda.

Como has podido ver, te pueden estar entrando de varias formas.

Tienen acceso al FTP
Tienen contraseñas de usuarios con permisos
El theme está modificado
Plugins modificados con vulnerabilidades
Archivos que te hayan subido por vulnerabilidad.
Permisos erróneos o peligrosos en archivos o directorio (777)
Marcado el «Recordarme» en el formulario de identificación y posterior captura de la cookie del navegador.

Por último, les recordamos:

Reglas básica de seguridad:

Tener siempre TODO actualizado a la última versión. El dejar algo sin actualizar, puede significar el dejar una puerta abierta a los hackers.
Nunca escribir con un usuario con rol de administrador, hacerlo significa que el hacker puede saber el nombre de usuario del administrador. Si ya los has hecho, crea un nuevo usuario con rol administrador, accede mediante este nuevo usuario, y degrada a Editor el que estabas utilizando hasta ahora.
Utilizar siempre contraseñas seguras. Cuanto más larga, mejor. Por regla general, si la contraseña la puedes recordar, es que no es lo suficientemente fuerte. La forma más sencilla de solucionar este problema, es la utilización de gestores de contraseñas, y no hablo de los que incluyen los navegadores, si no de software adquirido como podría ser LastPass (https://www.lastpass.com/es).
Nunca dar permisos 777 a un directorio o archivo.
Nunca utilizar la misma contraseña en dos sitios diferentes. Si se hacen con tu usuario y contraseña, tendrían acceso absolutamente a todos tus sitios.
Nunca, nunca te conectes a una WIFI gratuita si no estás utilizando un VPN. El hacerlo puede significar que un hacker esté capturando todo lo que haces consiguiendo todas tus contraseñas. Y mucho menos accedas a tu WordPress a menos que uses el VPN o tu sitios esté bajo cifrado (HTTPS/TLS).
Realizar backups de manera semanal de tu sitio. Esto hará que en caso de un problema, sea del tipo que sea, se pueda restaurar la web de forma rápida.
Y por supuesto, nunca, nunca, nunca, descargarse themes o plugins de sitios desconocidos.

10 razones principales por las que los sitios de WordPress son pirateados (y como prevenirlas)

Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Representa más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a explotar sitios menos seguros.

Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de que los sitios de WordPress sean pirateados y cómo evitar que su sitio web sea pirateado.

1. Uso de contraseñas débiles

Las contraseñas son las llaves de su sitio de WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web.

Su cuenta de administrador de WordPress

La cuenta del panel de control de su web hosting

Las cuentas FTP

Las bases de datos MySql utilizadas por su sitio WordPress

Las casillas de email

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los piratas informáticos descifren las contraseñas utilizando algunas herramientas básicas de piratería.

2. Acceso desprotegido al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles la tarea agregando capas de autenticación a su directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress de varios autores o usuarios múltiples, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos ingresar a su área de administración de WordPress.

3. Permisos de archivo incorrectos

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y cambiar estos archivos.

Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como permiso de archivo.

4. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando su sitio vulnerable intencionalmente.

Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

5. No actualizar los complementos o el tema

Al igual que el software principal de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable.

Las fallas de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto.

Asegúrese de mantener actualizados su tema y complementos de WordPress.

6. Uso de FTP simple en lugar de SFTP/SSH

Las cuentas FTP se utilizan para cargar archivos en su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse usando FTP, SFTP o SSH.

Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitarías cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo necesita cambiar el protocolo a ‘SFTP – SSH’ cuando se conecte a su sitio web.

7. Usando Admin como nombre de usuario de WordPress

No se recomienda usar ‘admin’ como su nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.

8. Temas y complementos anulados (crackeados)

Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress de pago de forma gratuita. A veces es fácil tener la tentación de usar esos complementos y temas anulados en su sitio.

Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.

Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos/temas o los repositorios oficiales de WordPress.

Si no puede pagar o no quiere comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y, lo que es más importante, mantendrán su sitio web seguro.

9. No asegurar la configuración de WordPress (Archivo wp-config.php)

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de inicio de sesión en la base de datos de WordPress. Si está comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.

Puede agregar una capa adicional de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>

10. No cambiar el prefijo de tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.

Se recomienda que utilice un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los piratas informáticos adivinar los nombres de las tablas de su base de datos.

Fuente: https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/

WordPress: Limpiando el hackeo de Anonymous Fox

Estamos actualizando los pasos para limpiar los sitios WordPress infectados por Anonymous Fox. Hasta ahora el procedimiento sería el siguiente:

1) Dirijase en su cPanel a Seguridad => ImunifyAV.

Allí verá un listado de los archivos infectados detectados por nuestro antivirus. Eliminelos usando el Administrador de Archivos de cPanel o un programa FTP.
Si la ruta de el archivo a eliminar se encuentra en una carpeta desconocida, elimine directamente la carpeta; más aun si dicha carpeta está dentro de /plugins.
Por ejemplo: /home/usuariocpanel/public_html/site/wp-content/plugins/aknxryu/dwmruibv.php

En lugar de borrar el archivo dwmruibv.php, se ahorra varios pasos borrando la carpeta /aknxryu que es, obviamente, un plugin falso.

Un vistazo a los plugins falsos instalados por el virus

2) Borre las casillas de correo creadas por el virus.

El hackeo implica vulnerar un WordPress desde un plugin falso, desde ese plugin pueden modificar, via virus, el archivo contactmail de cPanel, y de esa forma pueden enviarse el password de cPanel.

Una vez dentro, usan archivos de cPanel para crear casillas de correos. Vaya a Correo Electronico => Cuentas de Correo Electronico y eliminelas.
Ejemplo de casillas que crea el virus:

admin@
administrator@
backing@
back-up@
backup@
chief@
call@
client@
clients@

Son entre entre 15 y 20 casillas de correos las que crea el virus.

3) Este virus crea usuarios del admin de su WordPress para tener acceso al mismo.
En cPanel, vaya a Base de Datos => PHPmyadmin.

Abra la base de datos de su sitio. En casi todos los sitios la base tiene el mismo nombre: usercpanel_wp123 (Es siempre un numero al azar).
Busque ahora la en dicha base la tabla wp_users.
Elimine todos los usuarios creados por el virus. Si el que posee su casilla de correo fue editada; restaure la misma editando los datos y modificando la contraseña; tal como lo muestra esta guia: https://www.youtube.com/watch?v=cb5GTYGXrwg

Use nombres de usuario y passwords complejos. Evite nombres conocidos como “admin”.

4) Es momento de ir a Dominios => WordPress Toolkits.
Lo mas probable es que al entrar vea un mensaje indicando que la instalacion de WordPress esta dañada.
Para solucionar esto, haga clic en el botón “Comprobar la integridad de WordPress”.

Le saldrá una pantalla con varias opciones; seleccione “Restaurar núcleo de WordPress” para reinstalar los archivos necesarios para que WordPress funcione correctamente.

5) Es momento de volver al Administrador de Archivos de cPanel.
Una vez allí, dirijase a la carpeta de WordPress llamada /wp-includes. La misma se encuentra dentro de la instalación de WP; en la ruta por defecto de /public_html/wp-includes.

Una vez dentro, busque por el archivo plugin.php; haga clic con el botón derecho sobre dicho archivo y seleccione la opcion “Change Permissions”. Asegurese que dicho archivo solo quede con permisos 444, es decir, que tenga tildada solo la opcion “Leer” en cada modo.

6) Es tiampo de modificar las contraseñas de acceso a la cuenta: Usuario de admin de WP; user de base de datos y cPanel.

La password del usuario admin de su WordPress la debería haber editado en el paso 3 donde se eliminaron usuarios creados por el virus.
La password del usuario de base de datos la puede cambiar desde el cPanel; en Base de Datos => Bases de Datos MySQL => Usuarios actuales => Cambiar Contraseña.
La password de cpanel puede modificarla desde su area de cliente en https://www.sitioshispanos.com/es/clientarea.php , yendo a Servicios => Mis Servicios => Haga clic sobre el servicio en cuestion => En la columna de Acciones, verá la opción “Cambiar Contraseña”.

7) Actualizar WordPress a la última versión disponible. Elimine cualquier instalación de WordPress que no se use.

8) Actualizar los Plugins, Woocomerce y Theme a la ultima versión y no mantenga instalados plugins que no se usen.

9) Usar la ultima versión de PHP disponible: https://www.php.net/supported-versions.php

10) Limite el numero de Logins fallidos (generalmente mediante un plugin de seguridad)

EJ: https://wordpress.org/plugins/wp-limit-login-attempts/

11) Deshabilitar el editor de archivos de WordPress (Theme Editor)

Agregue esta linea en el archivo wp-config.php

define( 'DISALLOW_FILE_EDIT', true );

Cambiando de “true” a “false” esta linea podrá activar y desactivar la opción segun la necesidad de usarla.

12) Deshabilitar XML-RPC

Agregar este código en el .htaccess principal de la instalación de WordPress:

 # Block WordPress xmlrpc.php requests

 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Puedes reemplazar xxx.xxx.xxx.xxx por la ip a la que deseas darle acceso, o puedes eliminar esa línea para un bloqueo total.

El codigo, por defecto, que crea WordPress en los htaccess es este, agregue el codigo de arriba debajo del codigo de WordPress:

 # BEGIN WordPress

        RewriteEngine On

        RewriteBase /

        RewriteRule ^index\.php$ - [L]

        RewriteCond %{REQUEST_FILENAME} !-f

        RewriteCond %{REQUEST_FILENAME} !-d

        RewriteRule . /index.php [L]

        # END WordPress

13) Deshabilitar la creación de archivos PHP en directorios de WordPress

Es recomendable crear un .htaccess, si no existe, con este mismo codigo en /wp-includes/ y /wp-content/uploads/

 <Files *.php>

        deny from all

        </Files>

Asegurar el wp-config.php
Prevenir que se pueda editar el archivo wp-config.php desde el navegador Agregar este codigo al .htaccess principal

# protect wpconfig.php 

    <files wp-config.php> 

        order allow,deny 

        deny from all 

    </files>

Luego modificar los permisos del archivo a 600

14) Busque en “Cuentas FTP” que no haya sesiones raras creadas, si hay sesiones, cualquiera, es recomendable cambiarles el password.

15) Busque en “Mysql Remoto” que no haya ips raras o desconocidas agregadas.

El Peligro del Phishing: manipulación emocional a través del correo electrónico

El phishing ha evolucionado de manera alarmante en los últimos años, convirtiéndose en una amenaza persistente en el mundo digital. Esta técnica de ingeniería social se vale de la manipulación psicológica para engañar a individuos y obtener información confidencial, como contraseñas, números de tarjetas de crédito o datos personales. Uno de los métodos más comunes utilizados por los ciberdelincuentes es la explotación de las emociones a través de correos electrónicos fraudulentos.

¿Cómo Actúan sobre las Emociones?

Miedo y Urgencia: Los correos electrónicos de phishing a menudo utilizan tácticas para generar miedo y urgencia en el destinatario. Mensajes que alertan sobre actividades sospechosas en la cuenta bancaria, cierre inminente de una cuenta o la pérdida de acceso a servicios esenciales son diseñados para impulsar una respuesta rápida sin pensar.
Curiosidad y Ofertas Atractivas: Los estafadores también aprovechan la curiosidad humana y la promesa de ofertas irresistibles. Correos que anuncian premios sorpresa, descuentos exclusivos o contenido exclusivo pueden seducir a las personas a hacer clic sin pensar, desencadenando así la trampa del phishing.
Empatía y Solidaridad: Algunos ataques de phishing se disfrazan de organizaciones benéficas, solicitando donaciones para causas aparentemente nobles. Aprovechando la empatía y la solidaridad de las personas, estos correos electrónicos buscan explotar la buena voluntad en lugar de la codicia.
Identificación Personal: Los estafadores también pueden utilizar información personal conocida por el destinatario para aumentar la apariencia de autenticidad. Esto incluye nombres de amigos, colegas o detalles específicos sobre la vida de la persona, creando así un sentido de confianza que facilita la caída en la trampa.

Cómo Protegernos:

Verificación de la Fuente: Siempre se debe verificar la autenticidad del remitente antes de interactuar con un correo electrónico. No hacer clic en enlaces ni descargar archivos adjuntos de fuentes desconocidas.
Examinar Detalles del Correo: Analizar cuidadosamente la redacción, la gramática y los detalles del correo electrónico. Los correos de phishing a menudo contienen errores que revelan su naturaleza fraudulenta.
Evitar la Respuesta Inmediata: No ceder a la urgencia. Si un correo electrónico induce miedo o presiona para realizar una acción inmediata, es crucial pausar y considerar la situación con calma antes de actuar.
Actualización y Educación Continua: Mantener los programas de seguridad y antivirus actualizados, y educarse constantemente sobre las últimas tácticas de phishing ayuda a fortalecer las defensas contra estas amenazas.

En conclusión, comprender cómo los estafadores aprovechan nuestras emociones es esencial para protegernos contra el phishing. La vigilancia y la educación son nuestras mejores defensas en este mundo digital cada vez más sofisticado y amenazante.

Fraudes y engaños por Internet con Emiliano Piscitelli

En algún momento de nuestra experiencia en Internet hemos recibido emails que nos piden realizar un cambio de contraseña o hemos recibido llamados telefónicos solicitando datos o información, aparentemente de empresas o instituciones reconocidas. Pero estamos seguros de si el contacto es confiable o fiable?

En esta emisión del ciclo de Referentes en Tecnología charlamos con Emiliano Piscitelli, especialista en Ingeniería Social, sobre cómo los cyber delincuentes nos manipulan para obtener información y realizar algún fraude aprovechando el contexto del COVID-19 y el aumento del uso de herramientas digitales.

Su experiencia en la tecnología comenzó de muy chico accediendo a equipos de la época, en ese momento una Sinclair Spectrum que se conectaba a la TV, leyendo revistas y empezando a programar en BASIC cómo hobby.

En lo profesional comenzó realizando tareas de soporte técnico y electrónica, pero desde hace 12 años tuvo la oportunidad de formar su empresa de Seguridad Informática y especializarse en Ingeniería Social, entendiendo la importancia del factor humano.

La ingeniería social es una mezcla entre arte y ciencia que tiene cómo objetivo manipular o influenciar a una persona o grupo de personas con un fin determinado, pudiendo ser ese fin bueno o malo.
Nos cuenta Emiliano

Charlamos sobre la importancia de la educación y la concientización para proteger la seguridad de las empresas a través de las personas. Educar para que las personas puedan generar hábitos seguro del uso de la tecnología y la información.

Cómo principal medida evitemos el “click fácil”.

Te invitamos a que veas esta excelente charla donde repasamos consejos para evitar fraudes que nos llegan a través de emails, mensajes de WhatsApp o llamados telefónicos, y aprenderemos un método desarrollado por Emiliano llamado P.I.C.O., que nos permite identificar estafas online conociendo Pretexto, Impostor, Contexto y Oportunidad.

Suscríbete al canal

Si queres conocer más charlas

Seguridad informática y ekoparty 2020 con Federico Kirschbaum

Fede Kirschbaum es CTO de Faraday, empresa dedicada a la investigación, pentesting e ingeniería de seguridad en redes.

Si conoces la ekoparty sabrás que Fede es uno de los co-fundadores y organizador. Si no la conoces, te contamos que es la conferencia Latinoamericana mas grande de Seguridad Informática.

En esta distendida charla del ciclo de webinars, nos interesa conocer los inicios de cada entrevistado, sus primeras experiencias con errores y aciertos y cómo fue ese avance hasta el lugar profesional actual.

Desarmar la primer computadora familiar , Instalar Linux desde disquetes, conectarse a Internet por dial-up (con grandes sumas en la factura del mes) o montar un pequeño servidor en un ciber café a inicios del 2000, es el camino que muchos profesionales toman primero como hobby para después convertirse en profesionales del sector.

Sumarse a comunidades para compartir experiencias, aprender de otros referentes y experimentar como vulnerar algun sistema es crucial para avanzar y descubrir cómo dedicarse a lo que uno quiere.

En esta charla de 1:40hs repasamos también la actualidad en el contexto COVID-19, la historia de la Ekoparty y los hábitos que genera la tecnología en las personas.