DaboBlog

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Compartir

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

#Disclaimer; Esta entrada debe ser considerada como un post o reflexión seguramente paranoide y bajo ese aviso (cuidando la salud mental de quienes tenéis a bien seguirme;) debe ser leída.

#Actualización, me han llamado hoy 27 de Septiembre desde Google (Irlanda) para aclararme el caso, concretamente la persona que añadió nuestras cuentas (Cristian) dándome una explicación. Lo pongo en los comentarios del post.

El título quizás es algo “novelesco”, también buscando quitarle trascendencia a algo que puede ser (como seguramente es) fruto de la casualidad, o para dejar la pregunta final a vuestro criterio. Para responder a esa pregunta; ¿Casualidad, causalidad o inseguridad? os pondré en antecedentes.

Mi colega Salva, mejor “Xsas” para los habituales del blog, y yo (a quien le comenté que quizás escribiría algo sobre el tema entre risas y sensación de “uhmm” -;), nos cruzamos un par de correos hablando de cómo hacer un backup de la cuenta de un cliente con su correo y otros datos funcionando bajo Google Apps (servicio proporcionado por Google).

Aclaro que no hubo conversación previa vía Twitter del tema, sólo por correos electrónicos, en ambos casos cuentas de Gmail / Google Apps lo que viene a ser lo mismo. El detalle de que ni en público ni en privado, comentamos nada en Twitter, tiene su peso para la sensación de “conspi-paranoia” que sufrimos en ese momento ;D.

Bien, hasta ahí todo normal, nuestra “extrañeza” llego cuando pasada más o menos una hora del último envío de correo, nos llegó un aviso casi a la vez, de que la cuenta oficial de Google Apps España nos estaba siguiendo en Twitter…Si os fijáis en la lista de a quien siguen, tal y como se ve en la captura de pantalla, efectivamente están las dos seguidas, primero la mía y luego, la cuenta de Quadux que es de Salva.

Cuando recibimos el aviso de Twitter, casi a la vez, vía mail nos cruzamos un “hostia” ¡Qué casualidad ! y ciertamente aquí puede haber opiniones para todos los gustos, ahí quedan 3 de las muchas opciones posibles.

Como dato adicional, he de decir que hace cerca de un mes escribí en Twitter algo así como “no uses como cuenta de admin tu cuenta personal en Google Apps” (para que, en el caso de un acceso no autorizado, puedas recuperar tu cuenta “normal”, aconsejaba hacer otra con un nombre “enrevesado” y administrar Google Apps desde esa). Puse como “hashtag“ (#) GoogleApps.

¿Casualidad?

Una mera casualidad, el súper algoritmo “Panda” de Google o los responsables de la cuenta de Google Apps España van buscando temas sobre administración de sistemas, la gestión de cuentas de Google, “hastags” o menciones que contengan “GoogleApps”, etc y encuentran lo que escribí en Twitter sobre Google Apps, “ven” la relación entre la cuenta de Salva y la mía y nos siguen a ambos. Sería lo normal pero ¡ qué casualidad ! que sea después de los mails. Aunque de eso van las casualidades ¿no?

¿Causalidad?

Causa-efecto. En los dos mails que nos enviamos, Salva y yo estábamos usando cuentas de Gmail / Google Apps, como dentro de los mensajes se hacía mención a Google Apps, su súper algoritmo (modo <conspi-paranoide> ON ;) rastrea las palabras, el mensaje viaja por Matrix y llega a “su sitio” en Google, acto seguido, (en una hora) nos sigue su cuenta de Google Apps España en Twitter. Sería algo muy factible en lo técnico a la par que más que censurable en cuanto a la privacidad.

¿Inseguridad?

 Este último punto vendría a colación si la respuesta fuese “causalidad“. Muchas veces, comentamos la gran cantidad de datos que maneja Google sobre todos nosotros (y muchas otras empresas) así como de los usos que hacen de datos “cruzados” las compañías. Bien para ofrecernos algún servicio determinado, saber nuestras preferencias de navegación, lugares visitados, etc (aquí se podría hablar de las cookies). Aunque no es menos cierto, que el administrador de tu correo, también puede leerlo sin llamarse Google…

Os comento que esta entrada ha estado como “borrador” durante unos días, esperando a que pasase un poco el tiempo para intentar quitarle trascendencia, sólo con el título escrito y con todos los papeles de no pasar de “borrador”. Pero también que, aún con las risas que nos echamos Salva y yo respecto a lo sucedido, uno se queda con “la mosca detrás de la oreja” como se suele decir. Si me preguntáis sobre mi respuesta, diría que claramente se trata de una casualidad, pero en este negocio de “los unos y ceros“, hay artistas (del código-;) que pueden convertir las “casualidades” en inquietantes “realidades” (y viceversa).

Compartir

Tags: backup, Dabo, Gmail, Google, Google Apps, Seguridad Informatica, Sistemas, Twitter

Llevaba tiempo sin escribir nada acerca de Mac OS X, a pesar de que muchos de los que visitáis DaboBlog usáis Mac OS (sobre todo por “Manzanas Traigo”, la parte Mac del podcast).

Esta entrada viene a colación de mi participación (hablando de GNU/Linux) como invitado tal y como me hice eco ayer, en el podcast de Treki23. A pesar de que mi falta de uso con Mac OS X me genera unas ciertas lagunas, me hago eco aquí de lo que comenté en el podcast ya que algunos usuarios tienen problemas con las copias de seguridad hechas con Time Machine en portátiles (u ordenadores fijos, ojo) con cifrado bajo FileVault.

Hace 3 años según acabo de leer, en un blog que podría considerarse hermano de este, Cajón Desastres, publiqué una entrada aconsejando el uso del cifrado de disco con FileVault, un extracto de mi texto original;

Si alguno de vosotros tenéis dos Macs, podréis comprobar con un cable firewire como en 2 minutos, el disco duro de uno de los equipos, se monta en el escritorio del otro con acceso total a todos los archivos del sistema…. Sólo hay que mantener pulsada la tecla “T” y arranca en “Target Mode”.

Da igual que tengáis una contraseña de administrador en el otro equipo, ya que con una reparación de permisos con el usuario root por ejemplo, todo vuestro home de usuario se podrá copiar íntegramente al otro ordenador.

Desconcertante ¿verdad?.

Cuando en el podcast hice una referencia a FileVault, Iván comentó los problemas que suele dar con las copias hechas con Time Machine a la hora de recuperar datos en el volumen cifrado en caso de desastre. He de decir que yo sufrí también un problema de ese tipo en una ocasión, provocado por un fallo o mal uso en primer lugar mío y no ayudado por la información que da Mac OS X sobre esta delicada operación.

Resumiendo y asumiendo que se tiene un conocimiento sobre el uso de Time Machine o la activación en el sistema de FileVault (recomiendo leer mi entrada en Cajón Desastres), la mejor información que os puedo transmitir, es que esperéis a que se cierre la sesión antes de desconectar el disco duro de un volumen de Time Machine con FileVault.

Y es que para que Time Machine pueda hacer una copia de seguridad de un Mac cifrado con FileVault, es necesario que el disco de backup esté presente cuando vuestra sesión se ha cerrado y antes del reinicio, veréis una pantalla con el mensaje de que se está haciendo la copia de seguridad de vuestro sistema.

El “despiste” (y los problemas de los usuarios) viene cuando ves arriba en el Finder que “Time Machine está haciendo una copia de seguridad” y cuando acaba crees que ya está. Tú sigues trabajando con el equipo, imagina que no lo sueles reiniciar, dejas que entre en suspensión, etc y cuando viene el problema resulta que te das cuenta de que no tienes una copia más que del sistema y las aplicaciones pero no de tu home de usuario…

Para comprobar que tengas realmente ese backup, sólo fíjate que en el disco de copia de seguridad de Time Machine, navegando por él, cuando llegues al directorio de tu home, tenga el icono de FileVault y que dentro de él, no haya más que una imagen de disco (llamada “Sparse bundle”) en lugar de todo el contenido que ves en tu equipo (documentos, imágenes, películas, etc).

Por último, debes saber que el único problema que tendrás con Time Machine y FileVault es que en caso de pérdida de datos o necesidad de restaurar algún fichero de tu home, no puedas “navegar en el tiempo” por Time Machine sino que se tiene que restaurar una copia completa de todo el sistema.

En Snow Leopard podrás ver que hay una opción también desde el programa de instalación del DVD para restaurar esa copia de Time Machine. Si está con FileVault ten paciencia y espera tranquilamente a que finalice el proceso para encontrar tu sistema cuando finalice tal y como lo tenías en el momento de la copia.

Pero repito, en necesario tanto no desconectar el disco de backup como reiniciar de vez en cuando el sistema para que Time Machine pueda ir haciendo los backups de lo que realmente te importa, tu home.

Compartir

Tags: backup, FileVault, Leopard, Mac, Mac OS X, Seguridad Informatica, Snow Leopard, Time Machine

(La contraseña, ojo que hay mucho mal pensado-;).

Me pasó en FileBox (488 Gb de espacio en la nube esa por 0 €), vi el feed de Genbeta me registré y…xD

Que viene a decir aquí arriba en rojo que “me paso de largo”, deformación “Dabowebera” xD, vaya con la contraseña de los “webos”, al final opté por usar algo más pequeño y peleón. Feliz puente !.

Compartir

Tags: backup, filebox, nube, Off Topic, Seguridad Informatica, webs