Una de las principales preocupaciones de los usuarios de WordPress es el acceso al panel de administración, pues por defecto se encuentra en la ruta /wp-admin y está compuesto de un simple formulario que puede ser atacado por fuerza bruta. Por eso les voy a recomendar dos complementos para aumentar la seguridad de tu sesión en WordPress, al implementar autenticación de dos factores (Two Factor Authentication) y cambiar la ruta por defecto del formulario de inicio de sesión:

  • Rename WP Login: es un plugin muy liviano y sencillo, simplemente te permite definir una url personalizada para el formulario de inicio de sesión en la pantalla de enlaces permanentes, como por ejemplo http://tusitio.org/entrar-al-admin/. Aunque en el título dice que el plugin no tiene soporte, el autor se refiere a que no posee tiempo para resolver cualquier duda que se presente en los foros , sin embargo, acepta parches de código, nuevas funcionalidades, correcciones de bugs, entre otros. Por lo que puedes instalarlo sin preocuparte de que esté obsoleto.
  • Clef: un plugin recomendado por Manuel Camacho, consiste en una autenticación de 2 factores, es decir, aparte de brindar una información que solo tú conoces, debes dar información generada de un objeto que tienes contigo (el móvil o una tarjeta por ejemplo). En este caso, una vez que instalas el plugin la pantalla de inicio de sesión cambia a una especie de QR dinámico, el cual debes escanear con tu teléfono móvil a través de la aplicación Clef, una vez que reconoce el patrón único automáticamente inicia sesión en el sitio, lo chévere es que desde el teléfono controlas el tiempo de sesión e inclusive cerrarla remotamente. También se configurar para usar el inicio tradicional como respaldo en caso de que no tengas el teléfono contigo.

 

Utiliza Clef para aumentar seguridad de tu sesión en WordPress

Ejemplo de como funciona Clef

Con estos 2 sencillos plugins que puedes instalar y configurar en poco tiempo, podrás seguridad de tu sesión en WordPress, o mejor aún, el de tus clientes. Finalmente, si conocen alguna alternativa o desean compartir información adicional, no duden en dejar un comentario para mejorar la seguridad de nuestros sitios.

Editado el 15/06/2016: Ya el servicio de Clef no está disponible 🙁 puedes usar Google Authenticator para validar tus credenciales.

 

Por recomendación de Ghostbar empece a leer este libro, pues siempre me ha llamado la atención el mundo cypherpunk y al ver que Julian Assange era uno de los autores me animé aún mas.

El contenido del libro no es una historia o resumen de esta cultura, sino mas bien sobre la problemática mundial, de la violación de la privacidad de los ciudadanos por parte de sus gobiernos, y como la comunidad cypherpunk ha ayudado a enfrentar el problema. La forma de exponer esto, es a través de una serie de debates (no sé si hay un tipo de nombre para este tipo de narrativa) entre distintos miembros de Wikileaks, comentan su opinión del tema y muchas veces cuentan experiencias propias, las cuales ayudan a comprender que muchas cosas mencionadas, no son ciencia ficción sino ya ocurren actualmente en distintas partes del mundo.

De los temas me gustaron, fue al principio del libro donde promueve el cifrado de datos y hace comparaciones con la naturaleza, como funcionan las tarjetas de crédito y como todo es procesado en EEUU permitiendo espiarte desde cualquier parte del mundo (ahora entiendo la paranoia de Richard Stallman), como Gaddafi compraba satélites espías a Francia para usarlo en sus ciudadanos, entre otros. Ademas, por la situación que estamos pasando en Venezuela, me identifiqué con algunos puntos.

Cypherpunks: Freedom and the Future of the Internet

Portada del libro

Si les llama la atención la criptografía, deseas conocer como los gobiernos espían a sus ciudadanos, deseas apoyar Juliar Assange, crees en la protección y privacidad de tus datos, no puedes dejar de leer este libro. Así que búscalo en tu tienda favorita.

Hace unos años (digamos unos 10 a 15 años) escuchar una noticia sobre un ataque a una página, de virus peligroso recorriendo todo Internet, de liberación de información de las tarjetas de crédito y cosas similares, era algo de poca frecuencia. Recuerdo que si ocurría era ignorada por la mayoría debido al poco acceso a Internet por parte de la población y cuando veiamos esos «Hackers» en las películas la mayoría pensaba en personajes de ficción (en realidad son falsos, en la vida real todo es diferente) provenientes del futuro. Sin embargo, en los últimos meses he observado un auge en este tipo de noticias y mayor atención por las personas porque ahora son víctimas de estos ataques, por ejemplo tal vez el mas conocido recimiente, es el ataque a Playstation Network y demás servicios de Sony, donde dejaron inoperativo algunos de los servicios y robaron información de sus clientes como el número de sus tarjetas de crédito, mucha gente me preguntó si era peligroso, que podía hacer para protegerse y noté que eran personas con bajos conocimientos de informática.

Con el reciente surgimiento de grupos de personas con grandes conocimientos en seguridad informática como Luzsec y Anonymous (con ideales muy distintos), vemos como han logrado hacer que las personas y compañías tomen mayor seriedad sobre la seguridad informática, pues han visto como grandes empresas en las que confiaban su información debido a su reputación comercial, han caido en manos de los piratas quienes puden hacer cualquier cosas con los datos extraidos. Algunos ven estos grupos como ladrones, terroristas, peligrosos que desean acabar con los sistemas de compañías u organizaciones. Otros los vemos como salvadores, activistas (o mejor hacktivistas), curiosos que intentan demostrar la vulnerabilidad del uso de la tecnología en nuestras vidas.

Cosas como el ataque a Sony, Nintendo, Sega, los defaces a páginas del FBI, FOX, liberación de información de las embajadas de Estados Unidos, artículos que encontramos en Wikileaks, decodificación de videos secretos de la guerra de Iraq, entre otros. Son cosas que cada vez serán mas normales, pues al ir migrando mas actividades a Internet, aumentamos la probabilidad de sufrir las consecuencias de estos actos, pues ningún sistema es seguro y en la medida que almacenos información delicada, llamaremos la atención de curiosos.

No todo es malo ni estoy proponiendo evitar el uso de la tecnología, solo recomiendo tener cuidado de la información almacenada y verificar las compañías donde contratamos sus servicio; éstas deben tener buena reputación sobre la seguridad de sus datos, ofrecer soluciones en caso de ataques, fama, etc. Además, gracias a lo acontecimientos comentados anteriormente muchas empresas y organizaciones estan empezando a tomarse en serio la seguridad de sus sistemas, pues estan viendo como se hace mas popular el conocimiento del funcionamiento de sistemas (sobre todo en la parte de vulnerabilidades) y necesitan estar preparados para evitar ataques a sus máquinas.

Espero que en el futuro nuestros sistemas y software sean mas seguros, asi tendremos total confianza de usarlos. Sin embargo, espero también el surgimiento de grupos como Anonymous y Luzsec para seguir defendiendo nuestros derechos, liberando información como protestas ante ciertas acciones, atacando sistemas para alertar a las compañias e incrementen su seguridad para ofrecernos mejores servicios.

Siempre he sido muy cuidadoso con la seguridad de este blog, sin embargo, hace unos días sufrí un ataque a la base de datos del blog por un descuido que tuve y no me di cuenta de ese problema durante los 4 años que tengo usando WordPress como software para manejar el blog de este sitio. Pero todo ya fue solucionado, elevé mucho mas los niveles de seguridad y solo se perdieron los comentarios de 1 semana, por esta razón, me animé a comentarle sobre tips que deberían seguir todos para evitar posibles ataques a sus blogs:

  • Siempre tener presente que puedes ser víctima de un ataque, la mayoría de la gente piensa que no puede ser víctima de los ataques porque su blog no contiene temas interesantes, temas que ofendan a otra gente, temas con posiblidad de venta comercial entre otros. Sin embargo, es el peor error ya que los crackers simplemente se enfocan en la parte tecnológica del blog y no les importa el tema del mismo, si el blog tiene un fallo, buscarán explotarlo y atacarlo, punto.
  • La mejor manera para empezar a tener un blog seguro consiste en usar buenas contraseñas para la administración (también para la base datos y cuentas FTP), mis recomendaciones son usar: letras, numeros, mayúsculas y signos especiales. En vez de usar una palabra, usemos una frase favorita cambiando las vocales por números, la primera letra de cada palabra en mayúscula eliminando los espacios como se observa en el siguiente ejemplo: M3Gust431bl0gd3Sk4t0x (me gusta el blog de skatox). Si son mas paranoicos, simplemente escriban la frase dos veces y aumentarán exponencialmente la posibilidad de robo, además es recomendable: cambiarla cada 6 meses, evitar anotarla en algún lado, darla a conocer a otra persona, usarla en sitios o computadoras públicas y aceptar que el navegador la guarde para evitar escribirla cada vez que deseemos escribir un artículo.
  • Estar atentos a los cambios de seguridad con las nuevas versiones del software del blog, este punto lo descubrí recientemente y es muy importante en sitios que llevan mucho tiempo en línea, generalmente mucho software para gestionar blogs (ejem, WordPress) agrega con el tiempo nuevas opciones de seguridad,las cuales muchas veces no se activan por defecto, es por ello, estar siempre atento a estos cambios para activarlos. Ademas, en los sitios con mucho tiempo en línea, se suele conservar los mismos archivos de configuración desde su instalación inicial, siendo obsoletos después de unos años al faltarles parámetros introducidos en nuevas versiones.
  • Evitar exceso de código de terceros: plugins, código HTML/Javascript copiado de otros sitios, entre otros. Pues pueden introducir nuevas vulnerabilidades y no tener soporte de actualizaciones, es decir, no hay garantía de corrección de fallas en los mismos. Si tenemos instalados plugins o código de terceros, también se debe visitar periódicamente estas páginas en busca de actualizaciones o corrección a problemas existentes.
  • Tratar de evitar acceder a la página administrativa desde sitios públicos (como un punto inalámbrico de un restaurante), desde cibercafes o computadoras de uso publico, tratar de cifrar las conexiones accediento mediante Https o SFTP/FTPS para el caso de transmición  de datos. Con esto evitarás que intercepeten tus datos, sean manipulados o extraidos.
  • Si tienen el blog alojado en un servidor propio, chequear la correcta permisología de los archivos, revisar los archivos .htaccess, evitar que las carpetas de configuración y de administración sean indexadas por los motores de búsqueda (usando el robot.txt), chequear que se esté usando las últimas versiones de los servicios y si es posible, escribir un buen firewall para controlar aún mas el acceso al servidor.

Con estos tips es suficiente para conseguir una excelente seguridad en tu blog, en unas próximas semanas escribiré detalles para hacerlo con WordPress. Recuerden siempre estar atentos a todo detalle para evitar ser atacados.