En el mundo
de los Blogs, muchos de nosotros tenemos que decantarnos entre elegir un
proveedor que nos brinde un espacio en la web, los más conocidos y usados están
Blogger, la cual pertenece a Google como una herramienta bastante completa,
aparte de ofrecer mayor facilidad de integración con el resto de herramientas
es además bastante versátil y amigable.
Luego
tenemos a Wordpress, el cual viene siendo el más usado a nivel mundial, esto
debido a la cantidad de pluggins que se puede adherir a su funcionamiento, por
la versatilidad de sus temas y debido a los pluggins que se le puede instalar
se puede hacer un mejor rendimiento de SEO del espacio web.
Sin embargo,
el tema de hoy no va a gustar mucho a los usuarios de Wordpress pues ya se están
detectando actividades ilegales en contra de la información de los usuarios de
este sistema de gestión de contenidos.
Debilidades de Wordpress
De las
debilidades que presenta Wordpress se cita habitualmente sus problemas de
seguridad. Si se libera una actualización, y esta tiene una vulnerabilidad, y
es descubierta por un hacker, este podría comprometer la integridad de nuestro
sitio. Ninguna web está libre de vulnerabilidades, pero dado que hay tantos
sitios que corren sobre Wordpress, problema podría afectar a millones de
propietarios de páginas web
Otra
debilidad que se cita hace referencia a los plugins, en si no son malos, pero
está escritos por terceros. Ahora bien, se presentan 2 problemas, uno seria que
algunos no se actualizan al mismo ritmo que WordPress, u con el tiempo, pueden
dejar de funcionar, el otro seria, que cada plugin puede que funcione
perfectamente, pero en una instalación particular, la combinación de plugins
puede entrar en conflicto y no funcionar.
También se
habla de la falta de soporte, dada la gratuidad del sistema, así ante una duda
o problema, se debe acudir a Google o a foros para buscar la solución, solución
que a veces se encuentra rápida, pero otras no, y debemos preguntar en foros
con la esperanza de que alguien nos ofrezca algo de luz.
El SEO es
otro de los caballos de batalla de los detractores de WordPress. Argumentan que
aunque hay un montón de plugins SEO para WordPress, y escogiendo y
seleccionando las opciones correctas se puede lograr un cierto nivel de
optimización. Sin embargo, nunca tienes el control que se obtiene con un sitio
web personalizado, y por lo tanto la optimización completa de motores de
búsqueda no es posible. Tampoco ayuda la velocidad de carga, que depende entre
otras cosas de la cantidad de código. WordPress mueve generalmente más código
que una aplicación ad hoc, lo que influirá en los tiempos de carga y en el SEO.
Estos serían
a grandes rasgos, los grandes defectos que encuentran los detractores de
WordPress. Como ya expresé en mi post acerca de sus ventajas, en muchos casos
fortalezas y debilidades se pueden confundir y se pueden presentar como tales,
dependiendo en el bando en el que te alinees.
SEO Spam
Que el SEO
constituye uno de los imprescindibles de cualquier empresa que desee tener
cierta presencia en Internet es una realidad innegable y una apuesta compartida
por cientos de ellas. Unas acciones que permiten que nuestra web sea mostrada
en los principales motores de búsqueda y que, consiguientemente, suponen un
punto clave a la hora de adquirir visitas.
Y es
precisamente por esto por lo que (el SEO) se ha convertido en uno de los
principales objetivos de los ciberdelincuentes; al menos en WordPress. Así lo
apunta el investigador de seguridad Luke Leal, de Sucuri, quien se ha encargado
de informar de la aparición de un nuevo sistema de SEO Spam en esta plataforma.
De esta
manera y en un contexto en el que los sitios creados con WordPress no dejan de
proliferar, los hackers han ideado diferentes técnicas para comprometerlos.
Algo que, hasta ahora, habían llevado a cabo aprovechando plugins obsoletos,
temas vulnerables, y un largo etcétera que ya te puedes suponer.
Sin embargo
y según el citado analista, parece que su último objetivo está siendo el SEO.
Para que te hagas una ida, lo que hacen es modificar los enlaces, descripciones
y similares de la web, llevando a los usuarios a sitios totalmente distintos,
haciendo que la página pierda tráfico, alterando su descripción pública en
Bing, Google y similares, y demás.
Modalidad Hackeo
En esta
ocasión lo están alterando de la mano de un nuevo método que les permite
introducir SEO Spam en los sitios WordPress hackeados utilizando el archivo de
/wp-includes/load.php, uno de los archivos del núcleo de WordPress. Un sistema
que Leal descubrió al detectar que un portal de negocios con éxito presentaba
contenidos pornográficos en su descripción en los resultados de búsqueda de
Google.
Indagando
sobre el asunto descubrió que los delincuentes no se habían limitado a cargar
un simple archivo JavaScript o PHP en el encabezado o pie de página de la web
sino que habían modificado los archivos del núcleo de WordPress, un lugar donde
muy pocos administradores tienden a mirar.
Los hackers,
asimismo, modificaron /wp-includes/load.php para cargar otro archivo
/wp-admin/includes/class-wp-text.php , que nunca debería existir en
instalaciones de WordPress normales pero que los ladrones escondieron entre
otros archivos del núcleo de WordPress. Algo que, en definitiva, les permitió
mantener la apariencia de la web pero que modificó su aspecto en el resultado
de búsquedas.
Seo Advisor by Phil Smitter
En los
últimos días se ha detectado una nueva forma de hackear wordpress, Un plugin
nuevo aparece en tu instalación y cuando lo desinstalas se cae toda la web.
Esta nueva
forma de hackeo wordpress es ingeniosa porque replica tu sitio y así infecta al
que vista tu web. En primer lugar verás que tienes un nuevo plugin instalado.
Si vas en tu instalación a la sección plugins verás uno que no has instalado:
Seo Advisor by Phil Smitter.
Diagnostico
Vamos ver
como librarnos de esto:
·
NO
desactives ni borres el plugin desde el panel de control de wordpress.
·
Comprueba en
tu fichero config.php que al final del todo está esta linea: “require_once
(ABSPATH. ‘wp-content/plugins/ xcalendar/xcalendar.php ‘);”. Como ves llama a
una función que está en la carpeta plugins pero dentro de otra que no es seo
advisor sino xcalendar.
·
Elimina esa
linea.
·
Desde el
panel de control de tu alojamiento borra las carpetas seo avisor y xcalendar
·
Ocasionalmente
se han creado usuarios nuevos como administrator, root, admin78, admin44,…
compruébalo y eliminalos.
Estadísticas de Seguridad en
WordPress
Lo cierto es
que WordPress está abierto a continuos ataques de seguridad. Una búsqueda
rápida de todas las vulnerabilidades reportadas
de National Vulnerability Database muestra que existen 509
vulnerabilidades relacionadas con este CMS.
Cerca de 30
de estas vulnerabilidades se enumeran en los últimos tres meses.
Hay que
matizar que los datos que hemos visto anteriormente puede tener algunas
limitaciones y no ser un indicador preciso de las debilidades de seguridad en
WordPress, pero puede ser un buen recordatorio para no tener problemas en el
futuro.
Sin ir más
lejos podemos ver más intentos de hacking en estos meses pasados. The Hacker
News informó que millones de sitios con WordPress fueron utilizados para llevar
a cabo ataques de denegación de servicios. El informe detalla cómo se están
utilizando los blogs legítimos de WordPress para acabar con un sitio web de
gran tamaño.
Hace menos
de dos meses también se informó que un fuerte botnet estaba dirigido a 90.000
servidores de sitios de WordPress. El botnet está tratando de entrar en estos
sitios por la fuerza bruta. Citando cifras de Sucuri informan que el número de
intentos de fuerza bruta se han triplicado en los meses pasados.
0 comentarios:
Publicar un comentario