Lo confieso, tenía mono por publicar un nuevo artículo, pero ya sabéis que últimamente vengo pisando fuerte. Me gustaría publicar con más frecuencia, pero estamos en plena campaña navideña, el volumen de trabajo ha aumentado y ya sabéis que ¡Lo que va delante, va delante! Para que te os hagáis una idea el jueves salía cerca de la 12:30 de la noche del despacho. Esta semana he vivido dos casos de los cuales voy a hablar de manera aislada con la intención de preservar en todo momento la privacidad de ambos casos, pero como diría el gran Miguel Pujante (Director general de DesmarcateYa) “Siempre haciendo amigos con cada nuevo artículo que publicas” y sinceramente, tengo que darle la razón.
Bueno va que me lío y no puede ser tunantes, empezaré por el caso de desinfección de WordPress y luego ya seguiré con el segundo caso sobre la reprogramación de un plugin Premium para pasar finalmente a algunas conclusiones finales.
Desinfección de un WordPress hackeado
Un día de esta semana pasada a primera hora de la mañana recibo un aviso de un gran amigo mío que tiene un WooCommerce y tengo decir que le funciona muy bien. Recuerdo que comenzó alojándose en HostGator y yo que ya tenía una relación muy estable con LiteSpeed Web Server por aquella época jajaja, le aconsejé cambiar a un hosting con LiteSpeed Web Server y MariaDB… de esto ya hace algunos años, pero recuerdo que con unos pequeños toques en el teclado… bajé la carga de la página casi 6 segundos ya hace unos años.
Bien, pues esta semana pasada, se encontró de buena mañana con que al acceder a su dominio (página principal) había una redirección a un dominio que sinceramente no sé bien de que trataba porque lo vi muy rápido. Como medida de seguridad y preventiva le aconsejé cambiar todas las contraseñas, me dio el acceso a cPanel a WordPress y “tachán, tachán” script agregado al header en el theme creo recordar que un día antes. Claro, comprobó que su dominio apuntaba bien a su hosting con las nameservers, que en su hosting estaba todo correcto (en cuanto a configuración) pues sólo quedaba, que hubiera sido intervenido de hecho alguna vez he hablado con mi amigo en relación a la seguridad. Como medida de saneamiento recomendé guardar lo necesario de wp-content, tan sólo lo estrictamente necesario como plugins, imágenes y reemplazar el theme por el original de nuevo, al igual que los archivos restantes de WordPress.
Mi amigo tiene un perfil de usuario medio-avanzado por lo que está capacitado para realizar todo lo que le recomendé pero pese a ello, le dije que una vez hubiera hecho todo, volviera a hablar conmigo para tomar acciones para fortalecer la seguridad de su instalación, sin que estas acciones fueran un lastre para la optimización de su página web. Debo decir que no estaba alojada en ninguna de las empresas que recomiendo, pero también quiero romper una lanza a favor de la empresa de hosting, porque pienso que no ha tenido culpa alguna, de hecho como bien digo la web no tiene nada para fortalecer la programación de la web en sí.
Reprogramación de plugin en WordPress
Antes de que el cliente comprara el plugin, nos aseguraron que su plugin estaba preparado para funcionar con estructuras complejas y que de hecho me dijeron que tenían clientes con estructuras muy complejas que usaban su plugin… bueno tal vez no entendieron «complejas» o cuando le dije que nosotros no usamos directorios nativos de WordPress cuando desarrollamos. No os hablo de un plugin de 20, 50 o 70 dólares, sino un plugin de casi 200 euritos, que se dice pronto, eso sí con soporte incluido. El soporte pienso que no es malo, pero también pienso que a veces la contestación que dan, es para usuarios bastante avanzados… y es posible que su plugin sea comprado por usuarios de nivel medio e incluso que se están iniciando.
El problema era evidente, de hecho con el plugin oficial de LiteSpeed Cache para WordPress en sus primeras dos versiones le ocurría lo mismo. Al existir la ruta de wp-content en la misma programación del plugin, cuando no utilizas wp-content porque se trata de una instalación personalizada a full para el cliente, en el panel de administración de WordPress algunas veces da errores y otras dice, que no encuentra un cierto elemento para funcionar correctamente. Dejo las rutas que saqué analizando el plugin en una captura de pantalla a continuación, pero aplicaré un desenfoque gaussiano como ya he dicho al principio para preservar la intimidad de ambos casos.
Sinceramente, no estoy muy molesto porque al final he cambiado las rutas y reprogramado el plugin para que funcione a full, pero que no me digan desde soporte que su plugin está preparado para trabajar con estructuras complejas… pienso que si tan preparado está para trabajar con estructuras y rutas completas, durante su programación no se habría usado propiamente en las rutas wp-content sino su variable. Ya digo, no estoy molesto porque no es la primera vez que pasa, pero bueno siempre es posible mejorar el plugin en sus próximas actualizaciones.
Conclusiones que saco sobre estos dos casos de WordPress esta semana
En cuanto a seguridad…. Bueno no hace falta ser un conspiranoico como el gran Enrique de Vicente (director y fundador de Año Cero), pero sí que hay que ser conscientes de que los malos juegan con mayor ventaja, porque no les importa nada. El otro día, durante un programa de WordPress de Hoy Streaming, facilité cuales son los puntos que yo suelo realizar a la hora de montar un proyecto o securizar WordPress.
Grupos de Facebook que traten temas relacionados con WordPress conozco muchos, pero si hablamos de seguridad para WordPress, pregunto ¿Cuántos conocéis? Porque yo tan sólo conozco uno. Se trata del grupo de Seguridad WordPress, una idea de Pedro Santos (CEO de Host-Fusion) y se centra en tratar temas de seguridad en WordPress. Os recomiendo solicitar la entrada y seguro que en poco tiempo os conceden el acceso.
Conclusiones en cuanto al plugin bueno… o bien confías en soporte, sabes detectar donde puede estar el fallo, por aquellos avisos que va dando WordPress o te haces con una buena agencia o programador que sepa realizar el trabajo.
Hasta aquí el artículo de hoy tunantes, si no vuelvo a publicar que paséis una Feliz Navidad, Año Nuevo y recordar no os pongáis muy ciegos jajaja. No me quería ir sin hacer una recomendación más, muchos ya sabéis que me he unido al equipo de Maminat hace un tiempo, encargándome tanto de la parte técnica, como de realizar acciones de marketing. Hemos preparado una caja navideña la cual hemos diseñado con mucho cariño con la idea de estas Navidades mucha gente pueda realizar un regalo especial y a la vez totalmente ecológico y natural. Pero también os quiero comunicar que quien compre la caja navideña de Maminat, también estará ayudando a Mil.Una, centro con el que Maminat colabora y que ayudan a mujeres que están en situación de vulnerabilidad social. De hecho las toallitas desmaquillantes ecológicas que veis en la caja, están hechas por las mujeres de Mil.Una.
Compañero no creo que mi mención fuera necesaria, en realidad sabes que te digo esas cosas solo para hacerte la puñeta por que sabes de sobra hacer amigos y enemigos 😛
EN cualquier caso gracias por el link
?? pero tienes razón. Sabes que cada vez que escribo un artículo nuevo… Doy en llaga.
Gracias por la mención Adrian, efectivamente, en FB hay muchos grupos sobre WordPress, pero yo tampoco conozco ninguno que se dedique en exclusiva a informar sobre seguridad WordPress, cosa que en su día me pareció interesante que la gente tuviera un sitio de referencia donde poder informarse de las últimas vulnerabilidades de nuestro CMS favorito.
Una vez más, muchas gracias por las menciones que haces en tus post a nuestra labor 🙂 al que le interese el link directo al grupo de Seguridad WordPress es https://www.facebook.com/groups/seguridadwp/ , como dice Adrián, solicita tu ingreso y te damos el alta lo antes posible.
Abrazos para todos, «tunantes» 🙂
Pedro Santos
Ya sabes Pedro tú siempre serás bien recibido en Bull Premium. Abrazos que ya sabes que por estos lares vamos a tope con la campaña navideña.