Categoría: Seguridad Informática

Copia de seguridad WordPress sin plugins

Copia de seguridad WordPress sin plugins

Las copias de seguridad son herramientas rutinarias de cualquier actividad digital que realizamos a diario.

La ventaja que tiene nuestro Gestor de contenido WordPress es precisamente darnos libertad en las diferentes formas que existen de poder hacerlo siendo compatible con multitud de formatos no depender exclusivamente de software de terceros. Ni tampoco depender de copias automáticas o manuales de nuestro proveedor de servicios web. 

De esta manera la información que tengamos más o menos sensible solamente pasa por nuestras manos.

Además a modo de acción técnica WordPress al estar basado en sistemas Linux tiene una gran compatibilidad con muchos sistemas informáticos.  Por eso es uno de los sistemas mas usados en lo que se refiere a servidores web.

Ya vimos en el artículo Copia de seguridad en WordPress cuáles eran los pasos fundamentales para hacer extracción a modo de resumen. 

Intentaré describir todo el proceso con máximo  detalle pero sin dilatar mucho porque soy consciente qué puede ser aburrido.

Nos descargamos el cliente de FTP en https://filezilla-project.org/

Accedemos a nuestros datos de FTP en la página web de nuestro proveedor de servicios web. En mi caso mi página web la tengo  alojada en:

https://www.ionos.es/

En el menú principal veo un campo para buscar

Pues bien si en el buscador pongo 

Y ya no sale “Datos de acceso a FTP” y pinchamos en el nombre de usuario que en mi caso 

lo tengo desenfocado por motivos evidentes

En la pantalla que me sale me interesa recoger:

Ya que son los datos que tengo que meter en la parte superior de mi cliente FTP “FileZilla”

Pues bien, me pongo a meter todos estos datos: Servidor / Host, Usuario, Contraseña, y Puerto.

Pues los pongo en los campos del cliente FTP Filezilla

Y le doy al botón de conexión rápida.

Con lo que voy a ver esto:

Tendrás que seleccionar una carpeta a la izquierda la cual me he creado para guardar esa copia de seguridad. En este caso se va a llamar “CopiaSeguridadWeb”.

Y a la derecha tendré que ir a la ubicación donde está mi web que en mi caso cuando instale WordPress la llamé “Dominio” 

Pues bien, si pulsamos en esta carpeta  “Dominio” con el botón derecho del ratón. Sale el menu siguiente:

Pues es tan sencillo como pulsar a descargar. Y veremos como se descarga toda la carpeta y todos los archivos que componen nuestro sitio web en la carpeta que creamos anteriormente que puse en mi escritorio con el nombre: “CopiaSeguridadWeb”.

Una vez que finalice el proceso. Ya tendríamos realizado esta copia de seguridad.

El siguiente paso sería, hacer una copia de seguridad de la base de datos. Que lo explicare en mi proximo articulo para no dilatar la publicación.

Gracias por vuestro tiempo. Un saludo.

Copia de seguridad en WordPress

Hacer una copia de seguridad es de vital importancia en cualquier tipo de trabajo que hagamos ya sea un simple documento de texto o en este caso nuestra página web o blog.

En WordPress contamos con multitud de plugins qué hacen esta tarea de manera automática tanto de manera local es decir en nuestro disco duro del ordenador o externo o en la nube.

A nivel de seguridad informática siempre es aconsejable tener dos copias de seguridad una en un soporte local físico disco duro y otras en la nube para una mayor protección de datos y mejor y rápida  restauración en caso problemas técnicos o un simple ataque informático. 

De esta manera tendremos toda nuestra información segura.

En otros artículos dedicaré una publicación tanto para hacer las copias de seguridad con estos plugins como también para hacer copias de seguridad de manera manual.

La copia de seguridad manual bajo mi modo de ver es la más eficaz y segura ya que no dependemos de terceros ni de planes de pago y sobre todo sabemos que los datos que manejamos que muchas veces son críticos solamente pasan por nuestras manos.

Por eso paso a hacer un pequeño resumen de cómo sería esta copia de seguridad manual qué más tarde explicaré de manera más detallada.

Lo primero que tenemos que hacer es hacer una copia de seguridad de toda nuestra web mediante FTP (FilesTransfer Protocol). No es ni más ni menos con protocolo para transferencia de archivos.  Como  puede ser HTTP (Hypertext Transfer Protocol). O el ahora actualizado HTTPS dónde lleva esta última “S”  ((Secure Sockets Layer (capa de sockets seguros)) por una capa más de seguridad SSL la cual securiza nuestra web. Y además esta certificada como segura. De hecho es la que usan la mayoría de sitios web seguros incluidos las de los bancos.

Bueno dejémonos de teorías y pasamos a sintetizar los pasos:

  1. Lo primero es que hagamos en nuestro disco duro en una carpeta mediante un software de transferencia de archivos FTP como por ejemplo “FileZilia”  https://filezilla-project.org/ todos los archivos de nuestro servidor web que ya veremos cuáles son los pasos.
  2. Una vez que lo hemos descargado a nuestro disco duro. Procederemos a descargarnos también la base de datos de la administración de MySQL. MySQL desde más de menos tu sistema de consultas de base de datos SQL qué es un lenguaje de consulta de datos de base de datos viene de sequenz query language.
  3. Y por último también nos descargamos el archivo que conecta nuestra base de datos con todo el espacio web para poder así tener en funcionamiento nuestra web o blog de WordPress. 
  4. Y ya tenemos esa copia de seguridad realizada.
  5. Más tarde mi consejo es crear un subdominio dentro de nuestra web dónde poder subir toda esta información. Crear una base de datos nueva dónde importar los datos de la base de datos que nos hemos descargado. Conectar está base de datos que hemos importado con información que hemos subido. 
  6. Y cuando veamos que todo funciona correctamente volveremos a reasignar nuestra url del dominio original a este espacio que ya hemos hecho copia de seguridad.

Sé que todo esto es un poco técnico y un poco aburrido pero en futuras publicaciones explicaré  paso a paso como todo es muy fácil.

Robustecer la seguridad de nuestro WordPress II

Independientemente de los plugins que podamos instalar otras herramientas que existen en el Marketplace de WordPress. 

Es de bastante utilidad, realizar algunos ajustes para tener todavía más seguridad en nuestro blog. 

Nos vamos en este caso al menú ajustes y después a comentarios.

Tenemos que activar la opción: “El comentario debe aprobarse manualmente”.

Por otro lado es importantisimo tener actualizados todas las partes que componen nuestro WordPress:

  • Tener actualizada nuestra versión de WordPress. Lo que comúnmente se llama el “cuore” del WordPress.
  • (Cuidado en tener una copia de seguridad realizada antes de tener actualizar por si falla algo).
    • Es recomendable hacer copias de seguridad manuales. No con PlugIns aque si que es verdad que algunos Plugins de pago tienen su utilidad es siempre mejor no estar limitado a otros proveedores.
    • Si quieres saber como se hace una copia de seguridad sin Plugins, Visita mi artículo de cómo hacer copia de seguridad por FTP.
  • Instalamos las actualizaciones de los Plugins. Pero antes de actualizarlos insisto. Hacer una copia de seguridad por si cualquier cosa falla poder volver al punto anterior donde todo funcionaba correctamente.

Robustecer la seguridad de nuestro WordPress I

Cuando establecemos medidas adicionales para hacer más seguro un sitio web o cualquier sistema de información esto es lo que se denomina robustecer.

En este caso vamos  a robustecer nuestro WordPress con  un plugin.

Seguimos estos pasos:

Después en el campo de búsqueda ponemos “Honeypot Anti-Spam” como se ve en la imagen.

Si bajamos con el Scroll hacia abajo podemos ver:

Le damos a Instalar ahora. Y después a Activar.

Esto lo que va a hacer es que va a crear un campo invisible en los comentarios de WordPress de nuestro blog donde los bots siempre lo van a rellenar. Y una vez que se rellené este plugin no va a permitir que ese comentario llegue a nuestro gestor de contenidos.

Para quienes no sepan lo que es un bot, un bot no es ni más ni menos algo que se le llama robots virtuales. Qué lo que hacen es rellenar formularios de forma automática tanto formularios de contacto, como comentarios de blogs.  realmente lo que es sin más es un programa pequeñito que mediante variables va a buscar los formularios en Internet y los va rellenando y de esa manera intenta meterse en la base de datos de WordPress. Y así, introduce malware. 

Este tipo de ataque es como se conoce a el ataque de tipo: ”inyección de SQL”

Parámetros Básicos de seguridad en WordPress

Nada mas instalar nuestro CMS (“content management system” (sistema de gestión de contenido)). Tenemos que:

  • Asegurarnos que cada usuario tiene su perfil correspondiente los privilegios que le correspondan. Solamente puede ser “Administrador” el usuario que gestiona el proyecto o el llamado “WebMaster”. El resto serán: Autores, Editores, etc.
  • Tanto el usuario que es administrador, como el resto de perfiles de usuarios que vayan a colaborar en nuestro proyecto cada uno de ellos tiene que tener unas contraseñas seguras.

Esto se hace en:

Voy a Usuarios/Todos los usuarios

Aquí veré todos los usuarios creados con sus perfiles y privilegios.

En concreto voy a ver los que tienen permisos de administrador que son los mas relevantes en cuanto a privilegios. Por eso tengo que pinchar en administrador como se pone aquí debajo.

Una vez veo los diferentes usuarios pincho en el que me interese securizar.

Pinchando en Editar veo esto:

En la parte de abajo compruebo que tiene un perfil de administrador. O del privilegio que yo le quiera dar.

Y si bajo un poco mas, veo esto:

Es aquí donde si pincho en “Establecer una nueva contraseña” podre darle una contraseña robusta difícil de huaquear.

Por ultimo le tendríamos que dar al botón de:

Con todo esto ya tendríamos a este usuario totalmente segurizado.

Nota: NUNCA poner nombres de usuario con nombres claves como por ejemplo “Admin” o una contraseña tipo “1234”. Seria muy muy fácil poderlo hackear por ejemplo con un método que se llama Fuerza Bruta. No doy mas pistas… 🙂

Preinstalación de WordPress con Seguridad

A la hora de elegir diferentes compañías de alojamiento. Nos suelen dar dos posibilidades:

Instalar WordPress de forma automática con un asistente propio de la compañía que nos ofrece ese alojamiento que suele esta en su panel de control.

O instalarlo nosotros de manera manual.

Sea cual sea la opción que tengamos. Tenemos que tener las siguetees consideraciones:

  • El prefijo de la base de datos no tenga “wp_****” siendo *** lo que sea. Ya que Por defecto WordPress utiliza el prefijo wp_ para todas sus tablas. Un atacante por medio de inyección SQL lo primero que intentará es crear un usuario buscando la tabla wp_users.  Afortunadamente podemos (y se recomienda) cambiarlo.
  • Contraseñas de la base de datos como de FTP, sean totalmente diferentes. Intentar que nada se parezca a nada.  Para hacer esto mucho mas fácil podemos ir a la pagina web: https://www.clavesegura.org/es

En este caso poniendo “todos los caracteres” y una “longitud” de 12. Obtendremos una contraseña robusta: syZ[SK8[UEG0 con mayúsculas, minúsculas, números y caracteres especiales que son las que es lo mínimo que tiene que tener una contraseña para ser segura.

Una vez instalado WordPress con estos parámetros de seguridad comentados. Tendremos que, tener una configuración mínima de este gestor de contenidos para poder operar con seguridad.

Elección del Hosting e instalación de WordPress.

El Hosting no es ni mas ni menos, que el lugar físico donde vamos a alojar la información. 

En este caso es en un alojamiento web donde instalaremos nuestro gestor de contenidos WordPress.

De toda la variedad de ofertas que tenemos en el mercado, a la hora de elegir en que compañía lo vamos a alojar, tenemos que tener en cuenta los siguetees puntos clave:

  • Tienen que tener: 
    • Cortafuegos.
    • Denegación de ataques por peticiones simultaneas. “ataques DoS”. Si queréis mas información al respecto me lo podéis pedir y hago un artículo para ello.
    • De lo mas importante es que tengan las cuentas aisladas
      • Cuentas en las cueles vamos a compartir un servidor compartido que es casi siempre lo que contratamos, pero en este tipo de servidores necesitamos que sean como “casas independientes” dentro del servidor. Es decir si entran a nuestro edificio de vecinos pueden robar a mi vecino pero a mi no por que tengo unas medidas de seguridad externas. Las medidas de seguridad internas de nuestra casa las describo en los artículos:
        • Configuración básica de WordPress con algunos ajustes por defecto.
        • Personalizar la configuración de WordPress para optimizar esa seguridad.

Seguridad Informática en WordPress

Si algo hay, en lo que tenemos que tener al día ya sea nuestra pagina web o blog; personal, profesional o corporativa. Es en la seguridad. Ya que no solo a nivel técnico sino a nivel de seguridad informática estamos cada vez mas expuestos.

Los tres esclavones de que se compone la seguridad de la información son: Hardware, Software, Comunicaciones, y usuarios. Siendo este ultimo el eslabón las débil.

En este artículo vamos a dar primero unas pinceladas generales. y en otro mas adelante nos centraremos en cuestiones mas concretas.

Fundamentalmente tenemos estos aspectos importantes:

Hosting y Seguridad:

  1. Elección del Hosting e instalación de WordPress.
  2. Preinstalación de WordPress con Seguridad.
  3. Parámetros Básicos de seguridad en WordPress
  4. Robustecer la seguridad de nuestro WordPress I
  5. Robustecer la seguridad de nuestro WordPress II

Copias de seguridad:

Es importantismo tener copias de seguridad tanto en nuestro disco duro local como en un alamacenaimento en la nube. Para posibles recuoperaciones que podamos necestiar en caso de cambios ataques o por que queramos migrar de plataforma que nos ofrece nuestro hosting.

Los pasos para esta copia de seguridad son muy simples:

Tener actualizadas todas nuestras partes de WorPress

¿Como lo hago?

En estos sencillos pasos:

Todo esto lo veremos en cada Post con detalle.

Presentación de Sparta en KaliLinux

¿Qué es la ingeniería social?

La definición de ingeniería social es el arte de sacar información a alguien sin que la persona que está siendo “atacada” se dé cuenta.

La verdad es que viéndolo lo que pone esta web:

http://cursohacker.es/ingenieria-social-informatica

Tiene razón en que “una cadena se rompe siempre por el eslabón más débil“. En este caso es el ser humano.

Quiero destacar a que ámbitos puede afectar en lo que se refiere a la seguridad:

  • Ingeniería social aplicada a empresas.
  • Ingeniería social aplicada al ámbito privado.
  • Ingeniería social aplicada a obtener contraseñas de correo.
  • Ingeniería social aplicada a intrusión en equipos.

Las redes sociales, sobre todo si tienes un perfil público pueden ser una mina de información para alguien que busca la pieza que le falta para poder poner en marcha su estrategia de ataque. Ten en cuenta esta posibilidad en tu día a día y plantéate siempre la información que estás dando y a quién.

Según Digital Guardian, el 97% de los ataques informáticos no aprovechan una falla en el software, sino que usan técnicas de ingeniería social para conseguir las credenciales necesarias para vulnerar la seguridad informática.” http://www.enter.co/guias/lleva-tu-negocio-a-internet/ingenieria-social

Otra muy buena definición en el anterior enlace es:

“La ingeniería social es la práctica de manipular psicológicamente a las personas para que compartan información confidencial o hagan acciones inseguras”.

Incluso hoy en día, con todas las soluciones de seguridad que hay en el mercado, el usuario es el único que puede protegerse. El hilo que conduce a las credenciales de nuestra cuenta o los datos de nuestra tarjeta de crédito es realmente fino. Por este motivo, es necesario conocer los trucos que utilizan los estafadores, tanto técnicos como psicológicos, para evitar cualquier ataque de estas características.

Información valiosa donde aprender los métodos para engañar a las víctimas. Uno de estos portales es SocialEngineer.org http://www.social-engineer.org , plataforma que proporciona datos realmente útiles como los fundamentos teóricos, el funcionamiento de cada ataque y ejemplos que aclaran cada uno de los conceptos.

El crimen está en constante evolución y debemos ser precavidos.

“La policía no puede proteger a los consumidores. Los usuarios deberían ser más conscientes y recibir una mayor educación sobre el robo de identidad. Necesitamos ser más listos, sabios y, cómo no, escépticos. Vivimos en una época donde si ponemos las cosas fáciles, nos robarán antes o después” – Frank William Abagnale.

Fuente: https://blog.kaspersky.es/ingenieria-social-hackeando-a-personas/2066

Otros enlaces de interés:

http://searchsecurity.techtarget.com/definition/social-engineering

https://www.webroot.com/gb/en/home/resources/tips/online-shopping-banking/secure-what-is-social-engineering

http://www.social-engineer.org/

Este último es bastanteo completo.