Enralados

WordPress y el malware

Siempre estamos buscando asesoramiento sobre como evitar los ataques a nuestros blogs. Las respuestas son similares, con ligeros matices las medidas a adoptar son las mismas. Sin embargo la prevención y evitar riesgos innecesarios son casi tan importantes como llevar un mantenimiento adecuado del sitio. En ese sentido tiene que ver más con la educación informática y los hábitos de navegación que con los conocimientos como webmaster.

A las ya sabidas medidas de seguridad ya comentadas aquí para todo el que tenga un Blog, hay otras tan básicas que no por ello debemos desechar y pensar que no van con nosotros. A parte de bloguers no debemos olvidar que también navegamos por internet como cualquier otro usuario. Es posible que estos descuidos tengan mucho que ver con las recientes oleadas de malware que se están produciendo y que tienen mayor incidencia en algunos blogs de WordPress principalmente.

No digo que los servidores no tengan su parte de culpa en ello por descuidar actualizar y reforzar sus normas de seguridad pero como usuarios y webmaster deberíamos esmerar un poco más las precauciones. No conocer la ley no exime del delito.

Por tanto, partiendo como usuario hay algunos detalles a tener en cuenta:
1 - Eliminar las cookies, archivos temporales de internet, historial de navegación, formularios, etc, de nuestros navegadores constantemente.

Cada vez que visites una página vacia el historial de navegación antes de visitar otra. Las cookies están jugando un importante papel en la transmisión de estos malware.

2 - Cuidado con los sitios que visitas. Sospecha de todo, a veces sólo por el aspecto de un Blog se puede saber mucho de la persona que hay detrás de ellos. Sitios web descuidados, con elementos fuera de sitio, mal ubicación de códigos, publicidad, etc. Seguro que los hackers se fijan en estos detalles para atacar estos sitios puesto que queda claro el desconocimiento del webmaster en el manejo de códigos.

3 - Cambia tu rutina de navegación diaria. Es decir, deja de visitar los blogs que frecuentas durante algún tiempo, algunos meses si es posible hasta que pase todo este caos. Da igual si son de amigos o conocidos, aunque la persona sea de confianza puede que sus blogs no lo sean tanto por tratarse de gente inexperta en la materia.

4 - No te dejes influir por los comentarios de todas esas páginas supuestamente de seguridad. En algunas se detecta el malware antes incluso de que se haya producido el ataque. Ya sabemos el negocio que hay detrás de los antivirus.

Si eres algo paranóico en estos temas te aconsejo que no entres en este tipo de sitios o creerás que tienes todo ese malware. Quién sabe si mucho del código malicioso existente se transmite por la abundancia de visitantes afectados a estos sitios. Si hay epidemia de gripe y acudes a un lugar sabiendo que hay personas infectadas existen más posibilidades de que caigas enfermo.

5 - Todavía existen muchos blogs infectados. Lo peor es que algunos de sus propietarios tienen conocimiento del problema. Es una imprudencia y una irresponsabilidad estar dias así y más cuando se tiene la seguridad de que puede haber malware en el blog. Sobre la marcha, ante cualquier mínima sospecha, poner el blog en modo mantenimiento. No es ningún modo especial de WordPress ni nada similar.

Se trata de tener preparado un archivo index.html que contenga un texto informando al visitante de que tu sitio está en mantenimiento y que es una situación temporal. Estamos en obras, Servidor en mantenimiento o cualquier otra frase que desees puede servir. Si no tienes un archivo index.html lo puedes subir al servidor por FTP. Cuando lo tengas renombra el archivo index.php por index-php.old por ejemplo. Si vas a restaurar o instalar de nuevo tu blog desde cero puedes eliminarlo, ya se encargará la instalación de crearlo de nuevo.

Una vez que hagas las comprobaciones oportunas y creas que todo está correcto puedes volver al modo normal renombrando index-php.old por index.php. La mayoría de los servidores para la carga de un sitio web lo primero que buscan es el archivo index.php, en caso de no encontrarse se carga el archivo index.html. Por tanto los dos archivos pueden estar en la carpeta raiz sin problema, no afecta al funcionamiento del sitio.

6 - En relación con lo anterior, existen plugins que te permiten poner WordPress en modo mantenimiento. Si la página se crea dentro de WordPress no vale, se trata de que salgas totalmente de WordPress para repararlo y puedas trabajar cómodamente sin interferencias externas. El plugin no deja de ser otro archivo PHP que también puede estar infectado por malware.

7 - Por supuesto, no ejecutes ningún código desconocido, da igual si te dicen que es un antivirus fantástico, da igual su procedencia o las buenas intenciones. A veces es peor el remedio que la enfermedad. No todos los servidores responden de la misma forma a la hora de ejecutar código. Algunos servidores por seguridad no permiten la ejecución de ciertos códigos para evitar comprometer el sitio. La consecuencia al ejecutar estos scripts es que puedas dañar alguno, o varios, de tus archivos puesto que el código no se ha ejecutado adecuadamente o completamente.

8 - Según lo anterior, ante la duda de lo que puedes o no ejecutar acude al servicio técnico de tu hosting. Pide asesoramiento y la manera de prevenir estos ataques y amenazas o limpiar tus archivos en caso de estar afectados. Para ello aporta la máxima información posible, versión de WordPress, efecto causado por el malware, sitios visitados, tareas que estabas haciendo, plugins instalados, código ejecutado, etc.

9 - Acostumbrate a anotar la fecha de los archivos de tu última actualización. Si entras por FTP puedes comprobar si ha habido modificación posterior de tus archivos. Lo que te indicará la posible presencia de malware en ellos. Por ejemplo, los archivos de la versión 2.9.2 de WordPress podrían tener fecha de enero o febrero de 2010, sólo los del sitemap y algún otro archivo que requiera actualización frecuente o que hayas modificado personalmente pueden tener una fecha más reciente. Todos los restantes deben tener la misma fecha, WordPress no necesita escribir ningún archivo para su funcionamiento normal.

En la mayoría de los servidores existen copias de los archivos antes de la fecha en la que se produjo el ataque de manera que tienes la posibilidad de restaurarlos a su estado original. Suele haber algún administrador de archivos que te permite editar, copiar, borrar o restaurar archivos escogiendo la fecha que desees.

10 - También es conveniente comprobar los permisos de acceso a los archivos y carpetas de tu sitio. WordPress necesita 755 para los directorios y 644 para los archivos. No necesitas dar más permisos, no pongas a ningún archivo acceso total 777, ninguna aplicación lo necesita.

Una manera un poco laboriosa de no permitir la escritura en los archivos sería reducir los permisos de todos los archivos que no requieran modificarse a 444, es decir sólo lectura. Esto impedirá que ningún código malicioso escriba en ellos. El inconveniente es que son muchos los archivos y que no podrás actualizar el blog o modificar algún archivo hasta que repongas los permisos por defecto.

Todo esto también es aplicable a cualquier CMS como puede ser Joomla, Drupal, phpBB, etc.

Seguro que se me olvida alguna medida de prevención más. Añade las que creas conveniente.