ago 05 2011

Protege tu web o blog en WordPress con WebsiteDefender (Beta)

Category: Hacking | Redes,Seguridad Informatica,Software | CMS,Webmasterdabo @ 5:11 pm

Como comento en el título, el servicio está en estado de “Beta” pero es plenamente operativo. Si hablamos de WebsiteDefender, estamos haciendo mención por ejemplo a los creadores (entre otros) del plugin “Secure WordPress“.

Hace unos días, me llegó a través del formulario de contacto de davidhernandez.es (donde aglutino los servicios que ofrezco a nivel profesional) una consulta para asegurar una instalación de un WordPress que contaba con una pasarela de pago segura, registro de usuarios y una tienda virtual integrada en él.

Tipos de alertas y avisos;

 

Entre otras modificaciones y revisiones que hice, di de alta una cuenta para el cliente en WebsiteDefender y los resultados fueron cuasi-inmediatos en el primer “scan” realizado y que vi en la bandeja de entrada de mi correo electrónico.

Como ejemplo, reproduzco con datos (algunos simulados) de mi blog cuestiones que vi en el del cliente. WebsiteDefender. además de comprobar el estado de tus DNS, tiempo de expiración del dominio, si tu web o IP está incluida en alguna “blacklist” (lista negra) o catalogada como “spammer” (tal y como os comenté hace un tiempo aquí), también revisa si Google considera que eres “portador” de algún tipo de Malware tal y como se puede ver en esta captura de pantalla;

También compara si ha habido cambios en algún directorio, si tienes actualizaciones pendientes de algún plugin o si alguno es vulnerable, como sucedio con este caso que reproduzco/simulo en mi blog con el plugin “Register Plus“, plugin del que ni se sabe nada en la web de sus creadores ni en la sección de plugins de WordPress…Pero si lo tienes como era su caso instalado, ahí está “clavada” la versión 3.5.1 (y por los tiempos estará según veo…).

Aviso que puedes ver en tu tablero de WebsiteDefender;

The WordPress plugin register-plus from your WordPress installation in / is known to be affected by a security vulnerability.

Leer el resto de;”Protege tu web o blog en WordPress con WebsiteDefender (Beta)”

Tags: , , , , , , , , , ,

nov 16 2008

Como evitar el registro de spammers en WordPress y ocultar el tablero (Dashboard) a usuarios registrados

Category: Webmasterdabo @ 4:07 am

Llevaba unos meses con el registro desactivado en el blog porque estaba un poco harto de los registros automatizados de spammers.

Bien es cierto que no llegaban a escribir o meter spam en los comentarios, más que nada por este plugin en el que definí que pasados 30 días, los comentarios fueran desactivados automáticamente en una entrada, pero me iban engordando la lista de nuevos usuarios además de llegarme todo el día mails de registro de nuevos usuarios que realmente no lo eran.

Había probado alguna solución que se basaba en un código Captcha habilitado en la zona del registro pero no acaba de ir bien y al final he dado con la que al menos a mi me ha parecido la más acertada.

Register plus.

Es un plugin (con las opciones en castellano) que ofrece unas funciones más que interesantes para blogs con registro de usuarios activado, un breve resumen de las funciones más útiles;

  • Permitir o no que los usuarios puedan escoger su contraseña en el registro (por defecto WP envía una aleatoria)
  • Establecer un valor de fuerza de la contraseña personalizando el mensaje a mostrar sobre su fortaleza o no.
  • Prevenir registros con mails falsos mediante el envío de una url de confirmación al correo para validar el registro.
  • Habilitar códigos de invitación para blogs super-mega-exclusivos :D (no es mi caso-;)
  • Establecer un código captcha en el registro con Simple CAPTCHA o reCAPTCHA (lo más útil para mi)
  • Incluir en el proceso de registro un cuadro de texto con las condiciones de uso y política de privacidad.
  • Permitir o no correos duplicados en los usuarios registrados.
  • Definir que campos (nombre, web, etc) para cumplimentar quieres que aparezcan en el momento del registro.

Descarga de Register plus.

reCAPTCHA.

Necesario para usarlo con Register plus porque el plugin os pedirá una clave pública y privada de reCAPTCHA que conseguiréis fácilmente después de registraros en su website e incluir la url de vuestro blog para generar las claves. Es un sistema de protección gratuito frente a robots y spammers que no solo se usa para WordPress (Interesante “E-mail protection”).

Una vez generadas las claves pública y privada solo tenéis que introducirlas en los campos a rellenar en las opciones de “Register Plus”;

reCAPTCHA clave pública:

Finalmente y muy importante, en el fichero wp-login.php tenéis que incluir (podéis hacerlo arriba del todo) el siguente código para que funcione.

<?php session_start(); ?>

WP Hide Dashboard

Un plugin que hace que cuando un usuario que no sea administrador entre conectado al blog, no vea el tablero o “Dashboard” que contiene una información por defecto (me parece un fallo por parte de WordPress) que puede resultar sensible según en que casos. Descarga de WP Hide Dashboard.

En esta entrada de hace más de un año ya hablé de los posibles peligros de tener el tablero visible y como evitarlo.

Podéis ver el resultado en mi área de registro de usuarios (activado de nuevo)

Espero que al igual que a mi os haya resultado una información útil -;).

Tags: , , , , , , , , ,