Entradas Etiquetadas :

wordpress

hotlinking seo prestigia seguridad
Qué es el Hotlinking y cómo afecta a tu posicionamiento
1020 680 Prestigia

El concepto de Hotlinking no es nuevo, pero es posible que lo encuentres nuevo debido a la falta de conciencia ya que puede afectar directamente al SEO de tu PYME u organización. Pero para ayudarte a comprenderlo en términos simples, supón que encuentras una imagen en Internet al azar o en algún lugar del sitio web de otra persona, y usas la URL de la imagen directamente en tu sitio web. La imagen también comenzará a mostrarse en tu sitio web, pero en realidad está alojada en el servidor del sitio web desde donde tomó la URL de la imagen.

Sin embargo, puede parecer una forma conveniente de usar imágenes para tu sitio web, pero es puramente ilegal y, en otros términos, se llama robo. De esta manera, en realidad estás robando los recursos y el ancho de banda de ese sitio web sin usar los tuyos. Es algo así como usar el Wifi de otra persona sin autorización y transmitir películas, por ejemplo.

Para tu sorpresa, el hotlinking es una actividad ilegal que las personas realizan intencionalmente o no, durante mucho tiempo. Es posible que incluso hayas notado que las imágenes que se publican en diferentes sitios web, generalmente se les imponen algunas restricciones de derechos de autor y licencia, como indicaremos en el siguiente apartado, por ejemplo.

Restringir a otros usuarios a vincular tus imágenes en tu sitio web en realidad no afectará a tu SEO, pero solo cuando se hace correctamente. No puedes simplemente bloquear a todos para que lean o detecten la URL de tu sitio web, porque los motores de búsqueda como Google y Bing tienen rastreadores que necesitan acceder a tu contenido e imágenes para indexarlos.

Como prevenir hotlinking en tu sitio web

Es muy importante implementar la protección de enlaces directos para evitar problemas relacionados con el robo de contenido y ancho de banda de tu sitio web. Antes de continuar, ten en cuenta que la protección de hotlinking no dañará la presencia de tu sitio web en los resultados de búsqueda. Mientras no impidas que los motores de búsqueda indexen tus imágenes, tus esfuerzos de optimización de motores de búsqueda (SEO) no se verán afectados.

Repasemos cuatro métodos diferentes para proteger sus activos de ser hotlinked:

  • Usa un CDN con protección de hotlinking: La forma más fácil y segura de evitar la vinculación activa es utilizar una CDN que ofrezca protección integrada contra la vinculación activa de imágenes.
  • Agrega código a tus archivos .htaccess: Para evitar los enlaces activos en tu sitio, puedes añadir restricciones a tu archivo de acceso de hipertexto. Puedes acceder a este archivo mediante un cliente FTP o el Administrador de archivos.
    • RewriteEngine on
    • RewriteCond %{HTTP_REFERER} !^$
    • RewriteCond %{HTTP_REFERER} !^http://(www\.)example.com/.*$ [NC]
    • RewriteRule \.(gif|jpg|jpeg|bmp|zip|rar|mp3|flv|swf|xml|php|png|css|pdf)$ – [F]
  • Deshabilitar la funcionalidad de clic derecho: Para vincular una imagen, los usuarios pueden hacer clic derecho en la imagen, copiar la dirección de la imagen e incrustar la URL en su sitio. Para evitar el hotlinking, tendría sentido deshabilitar la función de clic derecho en ese momento.
  • Agrega una marca de agua a tus imágenes: Una solución más fácil de usar que evitar que todos los usuarios hagan clic derecho en sus imágenes es agregar una marca de agua a tus imágenes y otros objetos multimedia. Esta solución no impedirá que todos los usuarios enlacen sus recursos, pero hará que algunos se lo piensen dos veces.

Tomar medidas para evitar los enlaces directos en tu sitio web no solo puede proteger la integridad de tu PYME y garantizar que obtenga el debido crédito por tus imágenes y otros objetos multimedia, sino que también puede salvar tu ancho de banda de abusos accidentales o intencionales y garantizar que obtengas el tráfico que te mereces.

Y vosotros, ¿habéis sido víctima de algún incidente de hotlinking? Si habíais sido víctimas de este tipo de ataques ¿habíais tomado alguna medida previa para que no afectara a vuestro SEO? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

vulnerabilidades wordpress prestigia seguridad
Principales vulnerabilidades de WordPress
1020 680 Prestigia

WordPress es el CMS más popular en Internet, pero, en consecuencia, también es el más atacado. Por ejemplo, en 2020, el 90% de los sitios web hackeados estaban alojados en WordPress, lo que equivale a alrededor de 90.000 ataques por minuto.

Es imposible cuantificar la cantidad de amenazas diarias que pueden afectar a tu compañía o pyme. Sin embargo, hay un numero de vulnerabilidades específicas de WordPress que vale la pena reconocer y comprender. Muchas de estas vulnerabilidades también están interrelacionadas, por lo que estar preparado para un problema puede protegerlo de otro, como por ejemplo instalar sistemas de detección de intrusiones, tal y como comentamos hace poco tiempo.

En este artículo, repasaremos varios problemas de seguridad y vulnerabilidad de WordPress, por qué afectan a los sitios de WordPress y los pasos que puedes seguir para asegurarte de que no te veas afectado y te sientas seguro al usar WordPress como su CMS principal.

Cuales son las principales vulnerabilidades de WordPress

Algunas de estas correcciones son fáciles de aplicar, mientras que otras requieren conocimientos básicos de programación, te detallamos algunas vulnerabilidades a continuación:

  • Inicios de sesión no autorizados: Los inicios de sesión no autorizados se realizan normalmente mediante ataques de fuerza bruta. En un inicio de sesión de fuerza bruta, el atacante utiliza un bot para ejecutar rápidamente miles de millones de posibles combinaciones de nombre de usuario y contraseña con el fin de obtener el acceso legitimo.
  • Software desactualizado: Los desarrolladores de WordPress implementan actualizaciones cada tres meses aproximadamente. Te recomendamos encarecidamente que todos los usuarios de WordPress descarguen estas actualizaciones cuando estén disponibles. Cuando este software principal no se actualiza, deja tu sitio WordPress expuesto a potenciales vulnerabilidades.
  • Cross-Site Scripting (XSS): Cross-Site Scripting (XSS) ocurre cuando un atacante inyecta un código JavaScript en el código del sitio web afectado. Los ataques de tipo XSS son similares a las inyecciones de bases de datos en el sentido de que los atacantes intentan plantar código que se ejecuta en sus archivos, pero XSS se ejecuta directamente en el explorador del usuario que visita la web.
  • Inyecciones SQL: Durante una inyección SQL, un atacante obtiene la capacidad de ver y modificar directamente la base de datos de tu sitio. Los atacantes pueden usar sentencias SQL para crear nuevas cuentas en tu sitio, agregar enlaces y contenido no autorizado, y filtrar, editar y eliminar datos.
  • Ataques de denegación de servicio: Un ataque de denegación de servicio (DoS) tiene como objetivo impedir que los administradores y visitantes del sitio accedan a un sitio web. Esto se hace enviando una cantidad ingente de tráfico a un servidor destino que se bloquea, impidiendo el acceso a cualquier usuario de Internet.

Mitigación para vulnerabilidades WordPress

A continuación, te damos algunas ideas para mitigar y minimizar los intentos de ataque a tu sistema WordPress:

  • Limitar los intentos de inicio de sesión.
  • Forzar contraseñas seguras.
  • Autenticación de dos factores.
  • Cambiar la ruta URL predeterminada para la página de administración.
  • Instalar un complemento de seguridad de WordPress.
  • Actualizar plugins, software y sistema operativo.
  • Realizar auditorias de seguridad de forma periódica.

En conclusión, tu sitio web nunca estará 100% libre de vulnerabilidades de WordPress. La ciberseguridad es un proceso continuo y en evolución, lo que significa que debes vigilar constantemente la seguridad en general de tu sitio web, se trata de convertirse en un objetivo lo más duro posible para los ciberdelincuentes.

En vuestra empresa, ¿utilizáis como gestor de contenido WordPress? ¿realizáis auditorias de seguridad o vuestros equipos están al tanto de este tipo de vulnerabilidades? Desde Prestigia Seguridad, nuestros expertos están especializados en test de intrusión, análisis de malware y respuesta a incidentes, no dudes en contactar con nosotros para informarte.

wordpress ataques prestigia seguridad
Los ataques más comunes en WordPress y cómo defenderse
1020 680 Prestigia

Es un hecho ampliamente conocido que WordPress domina la escena mundial del Sistema de Gestión de Contenido (CMS). La cantidad de sitios web que se ejecutan en WordPress supera con creces a los de su competencia, totalizando aproximadamente un tercio de todos los sitios conocidos.

WordPress es, desafortunadamente, el ganador indiscutible también en términos de ataques, donde incluso nosotros hemos reportado vulnerabilidades. Recientes investigaciones revelan que, en WordPress, un 90% de los usuarios solicitan limpiezas de malware (mientras que solo el 4% de los usuarios de Joomla o Magento lo hacen).

WordPress toma la mayor parte del peligro, pero, ¿qué tipos de ataques son los más comunes? conocer más sobre los tipos de ciberataques más utilizados, puede ayudar a los usuarios de sitios web de WordPress a prepararse para ellos.

Ataques comunes a WordPress

Con ese fin, echemos un vistazo a los ataques de WordPress más comunes en 2020, así como a protegerse contra ellos:

  • Cross-Site Scripting: El ataque Cross-Site Scripting (XSS para abreviar) es un ataque de inyección en el que los atacantes insertan código malicioso en un sitio web. Una vez que esa pieza de código maliciosa se encuentra en el sitio web, se puede usar de varias maneras. El hacker puede tomar las cookies de sesión y hacerse pasar por un usuario, acceder a API que se conecta a otras aplicaciones, propagar malware y más. Dicho esto, se aprovecha más comúnmente para redirigir a los usuarios a sitios web donde el atacante puede robar sus datos.
  • Inyección SQL: Al igual que un ataque XSS, la inyección de SQL implica la inserción de una cadena de código malicioso en un sitio web. El atacante lo hace al agrupar consultas hacia la base de datos, aprovechando parámetros vulnerables. La diferencia entre los dos, radica en la utilidad, XSS encuentra su propósito en enviar usuarios involuntarios a sitios web maliciosos, mientras tanto, un ataque de inyección SQL tenderá a apuntar a la base de datos del sitio web objetivo, permitiendo modificaciones y acceso no autorizado a los datos.
  • Ataques de Fuerza bruta: Para los atacantes que se esfuerzan por encontrar tu nombre de usuario y contraseña, los ataques de fuerza bruta son una herramienta bastante útil. Es una idea bastante sencilla, simplemente intentar averiguar el usuario y contraseña correcto a través de prueba y error hasta que lo haga correctamente. Como puedes esperar, este método requiere miles de intentos para obtener resultados, como tratar de adivinar una palabra en la que alguien está pensando revisando cada palabra que existe y, naturalmente, los atacantes utilizan programas para hacer este proceso mucho más rápido, pero aun así lleva mucho tiempo.

Denegación de Servicio: Una táctica de los cibercriminales muy común, es un ataque DDoS (denegación de servicio distribuida) y sirve para poner tu sitio web fuera de servicio temporalmente. El plan es enviar tanto tráfico que tu sitio no pueda atender todas las solicitudes que recibe, interrumpiendo el servicio. El atacante emplea un grupo (a veces masivo) de equipos infectados de malware (denominado botnet) para lograr esto. Pueden llevar a cabo el ataque por una variedad de razones, que van desde financieras hasta simples derechos de fanfarronear en Internet.

Medidas a tomar para evitar que tu WordPress sea atacado

Mantener tu sitio web de WordPress seguro no es una tarea compleja, todo comienza con una comprensión de cómo funcionan ciertos ataques y qué puedes hacer para evitarlos. La publicación anterior debería ser más que suficiente para preparar tu sitio web WordPress, aunque también recomendamos nuestro post sobre la importancia de tener nuestros plugins actualizados.

Por último, desde Prestigia Seguridad, somos especialistas en Seguridad en sistemas WordPress, ofrecemos servicios de hacking ético a tus sistemas para protegerlos y consultoria a pymes en seguridad, no dudes en preguntarnos para saber los servicios que puedan proteger a tu compañía de un ciberataque.

Mantenimiento técnico equipo informático
El mantenimiento técnico de tu proyecto: no te la juegues
1024 682 Prestigia

Sí, te la juegas. Algunos clientes tienen pánico a los costes fijos. No escatiman en gastos para el lanzamiento de su proyecto, pero luego no acaban de entender la necesidad del mantenimiento técnico posterior. Y, aunque siempre avisamos, en ocasiones no reaccionan hasta que es tarde y ya han sufrido un ataque. Entonces te llaman angustiados. Y descubren que la intrusión se podría haber evitado actualizando sus sistemas, o implementando un parche de seguridad de su proveedor de software, o con la última versión del core de su CMS o de los plugins que utiliza su Web.

¿En serio?

Sí, en serio. Un plugin de WordPress y un Drupal antiguo fueron los causantes de la filtración de los Papeles de Panamá, la mayor de la historia del periodismo.

La realidad es que el mantenimiento técnico incluye muchísimas cosas que a simple vista no se ven, como copias de seguridad, monitorización del servidor, protección ante ataques, seguridad del proyecto web, actualización del servidor o de los componentes… Ya lo dice el refrán: Más vale prevenir que curar.

Por eso hoy os hablamos de la importancia del mantenimiento técnico y del mantenimiento web, fundamentales para garantizar la seguridad de tu empresa en internet.

Dos tipos de mantenimiento: web y técnico

Mantenimiento web: Tener nuestro proyecto web actualizado quizás parece una tarea sencilla. Muchos de los gestores de contenidos disponen de funciones de actualización automática o semiautomática cuando lanzan nuevas versiones o corrigen fallos de seguridad. Sin embargo, una mala configuración nos puede dejar desprotegidos, como comentábamos hace poco en nuestro post sobre los mejores plugins de seguridad para WordPress.

No sólo es de vital importancia mantener el software actualizado sino que, además, se deben realizar otras tareas asociadas para comprobar que nuestro proyecto funciona correctamente. Por ejemplo: revisar los registros de errores del servidor web para detectar fallos en nuestro proyecto web, revisar el consumo de ancho de banda para optimizar imágenes o detectar linkbuilding negativo, entre otras muchas.

Con el uso mayoritario de gestores de contenidos open source como WordPress, Joomla, Drupal, la seguridad web se ha convertido en el talón de aquiles de estos CMS. Así, tener una buen mantenimiento web – no solo del core y los plugins – es la primera defensa a la hora de tener protegido nuestro proyecto.

Mantenimiento técnico: Se refiere sobre todo a la parte física de nuestro proyecto, que en los casos de empresas pequeñas suele ser únicamente el servidor. Sin embargo, en proyectos más complejos también incluye el firewall, los balanceadores de carga, switches, routers y el resto de componentes de conectividad a la red.

Este mantenimiento gestiona la monitorización del servidor, las copias de seguridad tanto de ficheros como de las bases de datos, la correcta actualización del software de los servidores y sus componentes y, en el caso de componentes de hardware, su firmware siempre que aparezcan nuevas versiones, se detecten fallos o agujeros de seguridad.

El verano pasado, por ejemplo, se detectó un fallo de seguridad que afectaba a 500.000 routers conectados a la red, que permitía controlarlos de forma remota. Los fabricantes reaccionaron sacando nuevos firmwares para los dispositivos pero, en muchos casos, depende del administrador de sistemas o de la empresa encargada del mantenimiento implementar estas actualizaciones.

Los routers domésticos son usados habitualmente por los ciberdelincuentes ya que conocen las contraseñas predeterminadas de los fabricantes, y los usuarios no cambiamos o actualizamos estas contraseñas. Es importante cambiar la contraseña del router y usar claves seguras para aumentar nuestra seguridad.

El ataque con ransomware más grave sufrido el año pasado en España, lo padeció Telefónica. Una infección masiva de sus sistemas y ordenadores de escritorio que se podría haber evitado (o al menos minimizado) si todos los equipos hubiesen estado actualizados a las últimas versiones.

Mantenimiento técnico y web: cuando lo barato sale caro

Él “mientras todo funcione no se toca” ya no vale. Es de vital importancia contar con una política de mantenimiento acorde con nuestros proyectos, que revise los sistemas operativos del servidor, se actualicen siguiendo un calendario programado y de forma inmediata cuando que se detecten fallos de seguridad que puedan ser usados por ciberdelincuentes.

El informe de Kaspersky Lab de diciembre de 2017 indicaba que las medianas y pequeñas empresas han tenido que pagar una factura media de 74.000 euros por cada incidente de seguridad. Ahí es cuando entiendes que lo barato te puede salir caro.

¿Estás seguro de que tus servidores y proyectos web están actualizados? Si necesitas revisar tu mantenimiento web y técnico, podemos ayudarte.

Wordpress plugins seguridad
Plugins de seguridad: qué son y cuáles son los mejores para WordPress
1024 546 Prestigia

La semana pasada os hablamos en el blog sobre la importancia de tener en cuenta factores vinculados a la seguridad a la hora de escoger un hosting web. Una vez tu alojamiento es seguro, hay que poner el ojo en la seguridad del propio CMS. Para ello serán necesarias una serie de medidas de seguridad, como instalar los mejores plugins de seguridad.

Teniendo en cuenta que WordPress es el gestor de contenidos más usado a nivel mundial, hoy ponemos el foco en los plugins de seguridad para este CMS.

Los plugins son un elemento necesario y de un valor añadido para que la seguridad de tu web sea inquebrantable. Sin embargo, es muy importante recordar que un plugin sin actualizar es una fuente de riesgo. De hecho, suelen ser la principal vía de ataques a páginas desarrolladas con WordPress. Por lo tanto, el primer consejo en relación a cualquier plugin que tengas instalado en tu CMS es que lo tengas siempre actualizado.

Cabe matizar, sin embargo, que si el plugin que tienes instalado es de pago y no está activado, debes estar atento a las notificaciones del WordPress o en web del desarrollador porque habitualmente las actualizaciones no se realizan de forma automática.

5 plugins de seguridad gratis para tu WordPress

1. All in One WP Security & Firewall. Es uno de los más completos porque incluye firewall, antivirus y un auditor de seguridad. De esta forma, por ejemplo, protege los permisos de los ficheros, busca código malicioso o bloquear ataques de fuerza bruta, entre otros aspectos. Es 100% gratuito, pero dispone de una versión más completa de pago que mejora la detección y protección.

2. iThemes Security. Ofrece hasta 30 formas distintas de proteger tu página web de ataques y hackers que intentan acceder a tu web a través de cualquier error o agujero de seguridad. La versión de pago aumenta considerablemente las funcionalidades de autenticación, escaneo de ficheros y defensa de nuestro CMS.

3. Sucuri Security. Se encarga de realizar una auditoría y análisis de malware a fin de reforzar la seguridad del CMS, monitorización en blacklist de las conexiones, notificaciones de seguridad. La funcionalidad de Firewall solo se incluye en la versión premium.

4. BulletProof Security. Tiene versión gratis y de pago y aunque no es el plugin más fácil de usar, incluye muchas funcionalidades con alto nivel de protección. Cuenta con medidas anti spam, firewall y escáner de malware, entre otras.

5. WordFence. Con más de 2 millones de instalaciones, es el plugin más utilizado por la comunidad de usuarios de WordPress. Detecta posibles virus y malware, analiza el tráfico de tu web en tiempo real para detectar rápidamente cualquier peligro y actúa como firewall. Por cierto, también tiene una función de cacheo que hará que la velocidad de carga de tu web sea mayor. La versión de pago, mejora los tiempos de respuesta ante incidencias, tiene una reglas de protección más eficientes y dispone de bloqueo de trafico a nivel geográfico.

Cualquiera de estos 5 plugins de seguridad para WordPress será un plus para la seguridad de tu página web. La correcta configuración del plugin es fundamental, la mayoría de términos y opciones de configuración son técnicas y para eso necesitarás seguramente ayuda profesional. Configurar erróneamente un Firewall puede bloquear las visitas de posibles clientes. Una incorrecta configuración en los ficheros genera fallos de seguridad que pueden ser usados por hackers para infectar la web.

Uno de los últimos clientes que nos vino a Prestigia Seguridad tenía el problema de tener dos plugins de seguridad, incorrectamente configurados y que eran incompatibles (se pisaban mutuamente). Es decir, a veces lo que abunda sí daña.

Por tanto, si no sabes qué plugin de seguridad de WordPress es el mejor para tu página web, contacta con nosotros y te ayudaremos a proteger tu web, no sólo con el mejor plugin de seguridad, sino también con otras medidas especiales para proteger tu CMS y tu servidor WEB.

¡Que la seguridad no sea tu talón de Aquiles!

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.

Configuración de Cookies

Debajo puede elegir el tipo de cookies que permite en esta web. Las funcionales son necesarias para el funcionamiento de la web. Las analíticas nos ayudan a ofrecer contenido más interesante según sus intereses. Las de Social Media ayuda a compartir el contenido que considere interesante.

Pulse el botón "Guardar configuración de cookies" para aplicar selección.

FunctionalOur website uses functional cookies. These cookies are necessary to let our website work.

AnalyticalOur website uses analytical cookies to make it possible to analyze our website and optimize for the purpose of a.o. the usability.

Social mediaOur website places social media cookies to show you 3rd party content like YouTube and FaceBook. These cookies may track your personal data.