Guía de seguridad en WordPress (IV)

Seguimos con la guía de seguridad en WordPress “en fascículos” y vamos ahora con la cuarta parte, continuación de los textos que ya publicamos aquí.

Este artículo es el tercero de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.

wordpress

Combatiendo scripts r57 y similares

Como fue dicho anteriormente, el script r57 da al atacante un rango amplio de posibilidades y capacidades; pero esto sólo funcionará hasta que el Shell esté en nuestro servidor; y podemos evitar que funcionen con algunos comandos que busquen los archivos .PHP localizados en la carpeta www; luego, en dichos archivos, el comando buscará cualquier mención de r57 no sólo en el nombre del archivo sino también en el contenido. Si es encontrado, el comando omitirá mostrar resultados duplicados; sin embargo, borrará esos archivos permanentemente y sin hacer preguntas. Podemos buscar también por archivos .TXT en vez de .PHP.

Una manera muy efectiva de encontrar scripts maliciosos es usando CXS, que es un software comercial realmente excelente.

Código oscurecido, cómo evitar ser atacado desde las sombras

Ya se mencionó anteriormente que tanto plugins como temas pueden estar infectados, es momento de ver las razones por las cuales un tema puede ser tan riesgoso como un plugin.

Los temas pueden ser afectados si se agrega código oscurecido a ellos. Como usuario podrás no percatar ninguna diferencia o cambio particular en el comportamiento del tema; sin embargo, muchas cosas podrían estar pasando sin que estés consciente hasta que debido a los efectos sea ya demasiado tarde; como por ejemplo, puede ser que nuestro tema este redirigiendo a sitios desconocidos o estar lleno de etiquetas con términos que pueden hundir nuestro SEO.

Una herramienta que ayuda a combatir este tipo de ataques es el plugin TAC (Theme Authenticity Checker). Este plugin no sólo busca para encontrar código sospechoso o malicioso sino también links estáticos y código oscurecido.

El código oscurecido no es fácil de leer, como aquel que es generado usando base64; no sólo los temas infectados tienen código oscurecido, sino también otros temas que fueron construidos para que no fueran editados.

Volviendo al plugin, este plugin se encargará únicamente de encontrar el código oscurecido y el archivo donde fue encontrado; pero como se ha dicho antes, esas líneas de código están oscurecidas, por lo que para descubrir que contienen, necesitarás herramientas como  Otto decoder y Base64 decoder. Los pasos finales corren por tu cuenta; una vez detectado e identificado el código, puedes borrar los archivos o guardarlos para revisarlos después.

Otros pasos para protegerse de potenciales infecciones

Para quienes sientan que la instalación aún es vulnerable, pueden tomar acción y seguir estas instrucciones para reforzarla un poco mas.

– Restringir PHP para que tenga las reglas estrictamente necesarias; esto lo puedes hacer configurando el php.ini para evitar el uso de funciones peligrosas y no recomendadas, de ese modo puedes evitar que atacantes usen scripts como r57 o c99; ambos escritos en PHP.
– Asegúrate de que el servidor no permite a los clientes modificar el archivo .htaccess, recuerda que ese archivo permite cambiar las reglas que permiten o no que seas atacado con inyecciones SQL y demás.
– No todos los ataques se hacen con la intención de destruir, algunos ataques sólo necesitan tu sitio para que inunde internet con spam, y como usuario de la versión .org de wordpress, es tu responsabilidad detener el spam. Los siguientes puntos servirán en este objetivo.
– Implementar un firewall que se encargue de crear reglas para el acceso a puertos y servicios del servidor. Para hacerlo, puedes usar CSF (ConfigServer Security and Firewall.)
– Usar una herramienta que encuentre las vulnerabilidades del sitio también es una muy buena idea, una que es ampliamente recomendada es CXS (ConfigServer eXploit scanner.) Esta herramienta monitorea el FTP en tiempo real y cualquier descarga hecha sin autorización es automáticamente borrada; y Backtrack, que más que ser una simple herramienta, es una suite con múltiples opciones desde escáneres de vulnerabilidades hasta herramientas forenses.

Juan Pablo Sarmiento

Fundador de iconshock (iconos profesionales) y designshock (paquetes para diseñadores) y curador editorial en ByPeople, amante del diseño y la programación web.

1 comentario

  1. Si te hubiera conocido antes…