Chaos Blogging
10 tips para proteger su blog
Una nota sobre “seguridad” antes de continuar con el tema de los embudos de venta en los Negocios por Internet.
(en colaboración con Raisa Garrido)
En ocasiones creemos que sólo los sitios oficiales son blanco de ataques informáticos. Sin embargo es común que tengamos algún tipo de “actividad ilegal” sucediendo en nuestros sitios; desde la copia de contenidos, scripts, fotos, etc hasta la franca violación de la estructura del sitio.
Completando los 10 tips de seguridad ofrecidos por Raisa Garrido en su blog, aquí listo 5 que le pueden ser de gran utilidad.
6- Chequee los permisos de carpetas y archivos en su servidor.
La configuración incorrecta de los permisos de archivos es la fisura de seguridad preferida de los usuarios maliciosos y hackers para atacar su blog. Una sola configuración errónea de permisos puede exponer todo su directorio. Por tanto es recomendable que tenga debidamente configurados los permisos en cada nivel.
Los permisos controlan quién puede “leer, escribir o ejecutar” acciones en los archivos o carpetas en su directorio raíz.
La razón de ser de los permisos es, sencillamente, que algunos archivos están destinados a ser públicos y otros no.
Si su servidor es UNIX, básicamente la estructura sería la siguiente.
(con clic derecho sobre la carpeta o archivo a proteger /Change Permissions/)
– 644 para archivos
– 755 para carpetas
– 666 si necesita permitir el acceso temporal a un archivo o carpeta
– 777 (acceso total) si falla lo anterior
Una vez terminado lo que quería hacer, restituya los permisos a 644 o 755 según sea el caso, antes de salir del servidor.
Cuando se configuren estos permisos se debe tener en cuenta que hay carpetas dentro de WordPress que algunos plugins necesitan acceder para funcionar correctamente. Una vez cambiemos los permisos se deberá comprobar que todos los plugins instalados funcionan. Esto es un tanto trabajoso, pero vale la pena.
7- Prevención de “ataques de fuerza bruta”
Los “ataques de fuerza bruta” son una técnica de ruptura de contraseñas con el uso de scripts y softwares.
En esencia, es un método de “desencriptación” de datos que prueba todas las combinaciones posibles para una contraseña, desde un diccionario definido.
Para evitar esto, la mejor opción es tener una contraseña muy fuerte. Además de eso, puede limitar los intentos de entrada a su blog desde la sección “admin” utilizando un plugin de “bloqueo de seguridad de inicio de sesión”.
Esto asegurará limitar el número de intentos para obtener acceso al área de administración de su blog.
8- Proteja su archivo de configuración
WordPress almacena todos sus datos, incluyendo su nombre de usuario y contraseña en texto plano en el archivo wp-config.php.
Si sus permisos están configurados erróneamente, esta información puede ser accesible, con lo que el sitio quedaría expuesto.
Para prevenir esta situación, copie el siguiente código en el archivo .htaccess:
PHP:
# protect wpconfig.php
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>
Esta variable establece los permisos correctos para wp-config.php y evita que alguien pueda ver este archivo.
PELIGRO:
Primero que todo, tras localizar el file “.htaccess” en el directorio raíz de su blog en “Panel de Control/ File Manager/ su-dominio.com/ public_html/.htaccess” respalde este archivo duplicándolo y renombrando la copia como “backup.htaccess”.
De este modo, en caso de tener un problema de acceso tras modificar el archivo, simplemente borra el archivo modificado y restituye el original.
9- Deshabilite el acceso anónimo via FTP a su servicio de hosting.
Para restringir el acceso anónimo a su sitio vía FTP, simplemente desactive la casilla “Anonymous FTP Enabled” en su Panel de Control/ Files/ FTP Accounts.
10 – Proteja su blog vía .htaccess
En su archivo .htaccess (recuerde la nota PELIGRO en el tip 8), sencillamente pegue el siguiente comando:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Esta regla de .htaccess protege al blog de “inyecciones de scripts” (scripts injection) y con ello, de la modificación indeseada de las variables _REQUEST / PHP GLOBALS en el código base de WordPress; garantizando una seguridad de nivel más profundo.
Un uso erróneo de esta regla, sin embargo, puede desestabilizar su blog por lo que aconsejamos precaución.
Si usted usa %postname% u otra variable en sus permalinks para favorecer el idexing de su sitio vía SEO, es posible que el uso de este código afecte esa estructura. De ser así, debe escoger “entre nivel de protección” y “nivel de exposición” a los buscadores; lo cuál es siempre una elección personal.
Y como ejemplo de lo incómoda que puede ser la “resurrección” cuando no nos protegemos debidamente, ahora mismo tengo mi blog en proceso de “recuperación” de algunos gráficos desaparecidos misteriosamente.
Nada, que “en casa del herrero, cuchillo de palo”.
Hola Omar,
Definitivamente este es un momento por el que nadie quisiera pasar, llegar y ver que no hay nada en nuestro blog…, pero si tenemos el cuidado de tomar algunas medidas de seguridad y hacer un respaldo pues el mal rato no ser’a largo.
Saludos
Hola Raisa, efectivamente… Y siempre será más fácil proteger que recuperar.
A veces lo vamos dejando, ocupados en otras cosas, hasta que un día empiezan a desaparecer cosas de nuestro blog y ahí mismo empieza el lio.
Saludos
Hola Omar, excelente la Información que compartes, estos 5 tips mas completan los 5 primero, gracias por la ayuda para estar prevenidos contra los ataques, saludos y éxitos
Saludos, Miguel… hay muchas otras técnicas, un poco más “abrurridas” porque involucran coding a nivel de programación base, etc pero con estos 10 tips se puede estar protegidos.
Gracias por pasar 🙂
Hola Omar!
Buenísimo como han completado estos tips junto con Raisa.
Creo que con la manera clara y sencilla que los han puesto, muchas personas van a poder protejer sus blogs, que en últimas son un activo muy importante para todo Networker.
Un abrazo!! Que estés superbién! 😀
Freddy
¡Gracias Freddy!
Si, me dio mucho gusto colaborar con Raisa y es una estrategia que posiblemente continuemos utilizando. Así se puede cubrir mejor un tema sin que se haga demasido largo 🙂
Saludos
Siguiendo las señalizaciones de Raisa me encuentro con más consejos para proteger nuestros blogs.
Personalmente cuido más mi blog que mi coche jiji
Ya he pasado por el mal trago de ver mi blog hackeado, lo que me hizo reflexionar para evitar estos incidentes en el futuro.
Uff espero que nunca más se repita.
Soy consciente que muchos descuidan esta parte así como la descuidaba yo.
Es por eso que me alegra encontrarme con estas soluciones. Sin más preámbulos voy a revisar mi blog y aplicar los consejos que aqui mencionas.
Por supuesto, vale la pena divulgar este artículo para que más y más emprendedores tomemos estos cuidados en consideración.
Son muy útiles estos consejos.
Un abrazo y mil gracias!
¡Hola Mari carmen, qué gusto tenerte por acá!
Recuerdo que al comenzar en Internet no tenía ni idea de que había que proteger nada. Creía que los sitios eran seguros “porque sí”. Después nos vamos enterando de que no es así, cuando las cosas comienzan a fallar…
Estos tips propuestos por Raisa (me puso a trabajar 🙂 son relativamente fáciles de implementar pero significan una gran diferencia para la seguridad de nuestros sitios.
Hay una contradicción entre el “mito del hacking” y la realidad de que a veces es más frecuente de lo que creemos.
Por una parte, a veces creemos que todo lo que pasa en nuestros blogs es un ataque; hasta que aprendemos que las bases de datos en los servidores a veces “se marean”. Pero por otra parte, también tendemos a pensar “¿y por qué me hackearían a mi?” sin darnos cuenta de que no se trata sólo de “hackers profesionales” atacando sitios de los gobiernos, sino muchas veces de adolescentes aburridos implementando scripts dañinos sólo porque no tienen nada mejor que hacer.
La red está llena de estos sitios que enseñan técnicas de hacking, exploits, etc…
Así que para preveer, es mejor tomarse el tiempo e implementar un par de medidas de seguridad.
Saludos y gracias por pasar 🙂