WordPress

CUIDADO: Malwares en WordPress que solo afectan a base de datos

Es sabido que WordPress es el CMS más utilizado en todo el mundo. Su facilidad de uso y la gran cantidad de plugins, hacen de WordPress el mejor CMS posible. ¿Pero tiene alguna desventajas ser el mejor? Por desgracia sí. Y ahora te lo contamos:

A diario WordPress y sus plugins reciben ataques para infectar su código. Estos malwares pueden hacer que tu WordPress deje de funcionar correctamente, o que no funcione absolutamente nada mostrando algún error 500. Pero hay más cosas que le pueden ocurrir a tu WordPress como por ejemplo que empiece a mostrar enlaces a otras webs o incluso que alguna secciones o toda la web al completo se redireccione a algún otro dominio.

Cuanto este tipo de infecciones o inyecciones de código, afectan a los ficheros de WordPress o de algún plugin, son relativamente fáciles de detectar. Eso no significa que sea fácil de desinfectar, pero sí al menos de detectar. Lo realmente complicado es cuando estas infecciones afectan a la base de datos, o peor aún solo a la base datos sin modificar ningún fichero. En ese momento el malware se vuelve un poco más invisible. Más aún cuando inyecta código encriptado para que no tengas opción por ejemplo a buscar el dominio a donde tu web se redirecciona.

En definitiva, los malwares se hacen cada vez más sofisticados y más difíciles de detectar. Por supuesto, los creadores de malwares también saben que existen las copias de seguridad y es por ello que lo tienen en cuenta, pudiendo llegar a infectar una web pero no realizar ninguna acción hasta pasado meses. De esta forma aunque restaures un backup, podría aún estar infectado el código y más adelante podría volver a ocurrir lo mismo. De ahí que sea importante tener algún sistema de detección. Uno de los más populares es wordfence que tiene versión gratuita y de pago. Nosotros por supuesto también recomendamos usar nuestro Servicio de Protección Permanente pensado para que tu web esté totalmente protegida de malwares sin tener que preocuparte de nada. Compatible con cualquier gestor de contenidos (WordPress, PrestaShop…). Revisa diariamente todos los archivos de tu web en busca y captura de intrusos. Y si la infección estuviera en base de datos, nuestros técnicos lo revisan manualmente para que tu web esté siempre libre de malwares. Tan solo debes tener el alojamiento web o servidor con nosotros, y nosotros nos encargamos de todo. Puede solicitar más información desde aquí: Solicitar información sobre el Servicio de Protección Permanente

Ejemplo de infección real en base de datos ocurrido con el plugin Yuzo Related Posts

Lo que te vamos a contar a continuación, es un caso en los que por ejemplo Wordfence aún no puede hacer nada. Wordfence revisa el código y algo que hace también es avisarte si hay actualizaciones. Ya que es muy muy importante que tengas WordPress y plugins siempre actualizados. ¿Pero qué ocurre cuando el desarrollador no actualiza el plugin? En ese momento, si hay alguna vulnerabilidad en ese plugin, y no se soluciona, tendrás un agujero de seguridad en tu WordPress. Algo que sí hace Wordfence sobre esto es avisarte si un plugin está obsoleto, pero mientras se considera obsoleto ha podido pasar mucho tiempo y muchas webs podrían haber sido infectadas. Por ejemplo un caso reciente de  hace muy pocos días ha sido con el plugin Yuzo Related Posts. Una vulnerabilidad en este plugin hacía que atacantes pudieran insertar código en la base de datos, sin tener que modificar ningún fichero. El código insertado era javascript ofuscado con redirecciones a otras webs. Lo podéis ver en la captura:

malware en Yuzo Related Posts

Como se puede ver en la captura, el malware añadía código javascript, seguido de una función eval para poder encriptar el contenido del script. Esto hace que no se pueda detectar fácilmente qué hace ese código o a donde redirecciona. Aunque hay software para desencriptar o desofuscar este tipo de código, y se puede ver lo siguiente:

malware Yuzo Related Posts desencriptado

En este caso modifica tu web cuando se ha cargado, y le añade un elemento con un enlace a hellofromhony al que después se redirecciona.

En este caso, el desarrollador del plugin retiró el plugin hace algo más de 1 semana del repositorio de WordPress:

Yuzo Related Posts retirado de WordPress

 

Aún así, curiosamente el plugin tiene actualizaciones muy recientes. Algo contradictorio pero que quizás se deba a la gran cantidad de webs infectadas por este tipo de malware con este plugin.

Como comentábamos, Wordfence no detectó un caso como este y dado la complejidad de la infección, en este caso ni prevenía la infección ni avisaba de la infección ni tampoco de que el plugin era peligroso o estaba retirado o sin mantenimiento.

 

Como conclusión:

  • En nuestra opinión WordPress sigue siendo el mejor CMS que puedes usar
  • WordPress es uno de los CMS más atacados por ser el más usado
  • Usar el plugin Wordfence es necesario o una buena opción pero no suficiente
  • Te recomendamos nuestro Servicio de Protección Permanente para una mayor tranquilidad

 

¡Ya está disponible el polémico WordPress 5.0! ¿Cuándo actualizar?

Si te gusta WordPress, si lo usas y tienes alguna web con este CMS, seguro que siempre has confiado mucho en sus actualizaciones. Y hasta ahora siempre han sido muy estables y era muy recomendable actualizar cuanto antes cualquier nueva versión de WordPress. Por supuesto siempre puede haber algún plugin incompatible, algún theme incompatible, pero hasta ahora todas las actualizaciones de WordPress han sido muy fiable. Pues bien, con la nueva versión 5.0 la comunidad de WordPress ha puesto el grito en el cielo al descubrir importantes bugs en muchos plugins muy utilizados que hacen que esta nueva versión publicada no sea del todo estable.

Se está tendiendo a decir que no actualices WordPress a su versión 5.0 y los usuarios tienen el miedo en el cuerpo. Por una parte, siempre se ha dicho y es cierto, que cuando hay actualizaciones de WordPress hay que actualizar porque tienen corregidas vulnerabilidades, y por seguridad, siempre es recomendable actualizar cuanto antes. Pero en este caso, al menos por lo que WordPress publica en https://wordpress.org/support/wordpress-version/version-5-0/ no hay mejoras de seguridad y no es uno de los objetivos de esta nueva versión. Por lo que por ese aspecto, no corre ninguna prisa actualizar a la versión 5.0

Tienes muchos más detalles en inglés de todo lo nuevo que trae WordPress 5.0 en su blog oficial: https://wordpress.org/news/2018/12/bebo/

Pero de lo que mucha gente habla es del nuevo editor llamado Gutenberg basado en bloques:

  • Más flexibilidad a la hora de mostrar el contenido.
  • Puedes incrustar automáticamente cualquier tipo de contenido.
  • El contenido se divide en bloques haciendo muy fácil modificar cualquier cosa.
  • Hay una gran cantidad de bloques por defecto disponibles: párrafo, encabezado, texto preformateado, cita, imagen, galería, imagen de portada, video, audio, columnas con bloques anidados, archivos, código, etc.

Todo esto con la gran ventaja de que los bloques son reutilizables.

Para los que prefieran el editor clásico, estará disponible hasta 2021. Y algunos valientes que ya se han decidido a pasar a WordPress 5.0 lo han hecho manteniendo el editor clásico por los problemas que está dando el nuevo editor.

Concluyendo: si tienes una web con WordPress y para ti es importante la estabilidad, ya sea porque tienes una tienda o que tu negocio depende del tráfico de tu web. Te recomendamos no actualizar. Se comenta que en enero habrá novedades, y parece una mejor fecha para actualizar o para esperar correcciones de esta nueva versión.

Por otro lado, si usas plugins de constructores tipo “Page Builder“, es muy probable que todas estas páginas se vean afectadas. Por lo que igualmente si es tu caso, mejor esperar.

Si usas el plugin para campos personalizados “Advanced Custom Fields“, los desarrolladores del plugin ya han comentado que están teniendo incompatibilidades con el nuevo editor, y están trabajando en ellos. Pero igualmente si usas este plugin, no te funcionará.

Si para las traducciones usas el plugin “WPML”, más de lo mismo. Los desarrolladores de WPML comentan que de momento su plugin no es compatible, así que tampoco puedes actualizar aún.

Por todo esto, y probablemente por muchas cosas más que aún están por salir, te recomendamos esperar, paciencia y no dudes en consultarnos cualquier inquietud ¡Para eso estamos!

Desactivar todos los plugins de WordPress sin tener acceso al panel

Si estás desesperado porque no puedes acceder a tu panel de wordpress, te aconsejamos desactivar todos los plugins para ir luego activando uno a uno y ver si alguno de ellos es el que está causando el conflicto. Normalmente suele funcionar. Pero claro… partiendo de que no tienes acceso al panel, te preguntarás… ¿y cómo desactivo yo los plugins? Pues muy fácil, te vamos a explicar paso a paso para que puedas hacerlo a través de Plesk:

Paso 1: Abre tu panel Plesk, si eres cliente de Aquí hay dominios, lo tienes fácil, entra en tu área de cliente, ve a tus Servicios y haz clic en el Plan de alojamiento que tengas contratado. Haz clic en el botón “Acceder al Panel de Control Plesk”.

Paso 2: Haz clic en Bases de datos y luego en phpMyAdmin (ver captura)

Paso 3: Abre la tabla “wp_options” (el prefijo “wp_” puede ser diferente, es algo que se elige en la instalación de WordPress).

Paso 4: Busca en la columna “option_name” la fila “active_plugins” (suele estar en la segunda página de los resultados) y haz clic en el botón Editar de esa fila.

Paso 5: Borra lo que hay en el cuadro option_value y escribe a:0:{} , haz clic en Continuar. Ya deben aparecer todos los plugins desactivados.

Hay otra forma de hacerlo bastante simple, que sería entrando en tu ftp y accediendo a la carpeta /wp-content. Verás la carpeta /plugins. Solo tienes que renombrarla, por ejemplo, ponerle /plugins-old y crear otra carpeta llamada /plugins que esté vacía. En este momento ya puedes acceder a tu panel de WordPress y si vuelves a poner las carpetas como estaban, es decir, borrar /plugins y volver a renombrar la de /plugins-old a /plugins, podrás ir activando cada plugin y ver cuándo se da el error.

Cómo configurar WordPress para enviar correos mediante SMTP

En lugar de usar la función php mail para que WordPress envíe correo, podemos usar de forma recomendable el envío por SMTP. Lo puedes hacer fácilmente con un plugin. Hacerlo es muy fácil y ayudará a que tu correo llegue al buzón de entrada en lugar de al buzón de spam.

Lo primero que necesitamos es crear una cuenta de correo en nuestro dominio para enviar los correos. (Si ya tienes una la puedes usar también y saltarte este paso)

Para ello nos vamos a nuestro Plesk y pulsamos en la pestaña Correo, y luego más abajo en Crear dirección de email

SMTP1

 

En la siguiente pantalla Introducimos:
El nombre de la Dirección de email (no es necesario que tenga acceso al panel).
La Contraseña.
El acceso al Buzón sí que es necesario (se dejan los tamaños predeterminados por defecto).
Y se pulsa en Aceptar.

SMTP2

 

Accede a tu escritorio de WordPress para instalar el plugin: WP-Mail-SMTP

 

Accede al panel de WordPress y en el apartado Plugins pulsamos en Añadir nuevo. Y buscamos lo siguiente: WP-Mail-SMTP. Y le damos a instalar el plugin de Callum Mcdonald. Hay muchos plugins para esto, pero este tutorial trata sobre la configuración de este plugin en concreto que es ligero, simple y cumple su cometido.

SMTP3

 

También puede encontrarse para su descarga e instalación manual aquí: https://es.wordpress.org/plugins/wp-mail-smtp/


ACTUALIZACIÓN 06/07/2017:

Recientemente nos hemos encontrado WordPress donde dicho plugin no funciona correctamente con las versiones más recientes de WordPress. En esos casos hemos probado el plugin Postman SMTP y ha funcionado correctamente. La configuración es la misma. Se puede descargar desde WordPress o desde https://wordpress.org/plugins/postman-smtp/


Una vez instalado, en el listado de nuestros plugins, buscamos WP-Mail-SMTP y pulsamos en Settings, o alternativamente nos vamos en el panel de WordPress a Ajustes->Email. En ambos casos llegaremos a la pantalla de configuración del plugin.

En ella:
Dejamos From Email y From Name en blanco.
En Mailer seleccionamos .
Return Path en blanco.
En SMTP Host ponemos localhost.
En SMTP Port ponemos 587.
En Encryption seleccionamos No encryption.
En Autentification seleccionamos Yes: Use SMTP Autentification.
En Username ponemos el nombre del correo que creamos en Plesk seguido de @ y el nombre del dominio (smtp@midominio.es en nuestro ejemplo).
Y en Password la contraseña que elegimos para ese correo en Plesk.
Finalmente pulsamos en Guardar cambios y ya estará todo listo.

SMTP4

Related Posts by Zemanta, un plugin de posts relacionados en WordPress

zemanta

Hoy os voy a hablar de un plugin llamado Related Posts by Zemanta que me gusta mucho para activar posts relacionados, he probado muchísimos, pero me quedo con este. ¿Y por qué es bueno tener posts relacionados en tus artículos? Porque conseguirás que la experiencia de un usuario no acabe en la lectura del primer post. Colocando posts relacionados en la parte inferior del post, conseguirás que hagan clic en otro post y no salgan de tu blog tan rápido. Además de ser bueno para ti, también lo será para los usuarios ya que les ayudará a encontrar artículos que puedan ser de su interés. Además podrás contabilizar los clics de tus usuarios gracias a las estadísticas integradas:

Estadísticas Zemanta

También puedes personalizar el diseño, además de traer varios temas para elegir, también puedes hacer uso de CSS, sin abrir la hoja de estilos:

CSS

Tienes la posibilidad de cambiar el tamaño de las imágenes y de incluir solo las categorías que te interesen. Y por último, comentar también, que el diseño es responsive y se adaptará perfectamente a cualquier dispositivo móvil:

Responsive Zemanta

 

Detectar malwares en WordPress

wordpress-malwares

De nuevo volvemos a tratar un tema importante en los sitios webs: la seguridad en WordPress.
Siempre hablamos de precauciones para evitar malwares, pero hoy hablaremos de cómo detectar y hacer frente a ellos cuando un sitio ya ha sido infectado.

Leer más

Proteger WordPress de ataques y malwares

seguridad-wordpressComo siempre mencionamos, WordPress se ha convertido en uno de los CMS más utilizados en sitios de gestión de contenidos. Gracias a su crecimiento, ha logrado que muchas empresas utilicen WordPress para sus webs oficiales, blogs corporativos y hasta sitios de comercio electrónico. Por desgracia, como consecuencia de ello se ha vuelto objetivo hackers y ataques masivos de sitios webs. Y si crees que esto a ti no te puede pasar, te equivocas, esto no solo ocurre a sitios webs populares, así que para proteger tu WordPress te detallamos algunos aspectos que deberías tener en cuenta. Leer más

Limpiar malware de RR.NU de WordPress

limpiar-wpSi tienes un sitio WordPres ya sabrás que es sumamente importante mantener todo actualizado, tanto la versión de WordPress como los themes y plugins que utilices, siempre que sea posible. Esto es por seguridad, ya que no mantener las actualizaciones son blancos potenciales para los ataques maliciosos. Bien, sabemos que es mejor prevenir que curar pero… ¿qué hacemos cuando ya hemos sufrido un ataque? Una opción rápida, sencilla y eficaz sería restaurar la última versión de una copia de seguridad que estés seguro que no esté infectada. Esto te permitirá que tu sitio no este fuera de linea o sea penalizado por la infección. Siempre recuerda hacer copias de seguridad tanto del sitio cuando está limpio como cuando está infectado para restaurar el antiguo sitio. Otra alternativa sería realizar la limpieza del sitio infectado para intentar eliminar el código inyectado. Leer más

Cómo averiguar la versión de tu WordPress

Saber la versión que estás usando en tu WordPress es tan fácil como poner en el navegador:

http://tusitio.com/readme.html (debes cambiar tusitio.com por tu dominio o mejor dicho, por la url donde tengas tu blog).

Por ejemplo:

http://www.aquihaydominios.com/blog/readme.html

Averiguar la versión de WordPress

Hay más formas de conocer la versión, pero desde nuestro punto de vista, esta es la más fácil. ¿O conoces otra más fácil? Si es así… Cuéntanos!