Hace pocos días, ha habido una ola enorme de hackeos de WordPress. Más de 30.000 sitios han sido hackeados modificando más de 200.000 páginas de estos sitios. La intencionalidad de ello y las consecuencias, es lo de menos en este momento. Mi intención es mostraros como asegurar vuestro WordPress para que, en la medida de lo posible, tengáis vuestro WordPress seguro.

Mucho se ha escrito sobre el tema y parece que la gente sigue sin tomárselo enserio o piensa, a mí no me pasará. Por desgracia, este pensamiento está más extendido de lo que debería y seguramente, más de uno leerá esta entrada por que ya está escaldado y ha perdido mucho tiempo acumulado en su sitio.

Las reglas básicas para mantener un sitio de WordPress seguro son:

1. Tener WordPress SIEMPRE actualizado
2. Usar SOLO plugin del repositorio o plugins Premium (de pago) y que SIEMPRE estén actualizados a la última versión.
3. Instalar themes desde sitios confiables y NUNCA instalar themes Premium si no son de las páginas oficiales (descargados de otros sitios par no pagar su coste).
4. No usar NUNCA el usuario admin, usar cualquier otro usuario y si ya lo tenemos, cambiarlo.
5. Utilizar contraseñas complejas y por supuesto NUNCA nuestra fecha de cumpleaños, aniversario, pins varios, etc….
6. Realizar copias de seguridad diarias completas y muy aconsejable realizar copia de seguridad de la base de datos 2 veces al día (cada 12 horas).
7. Utilizar plugins de seguridad.
8. Mover el archivo wp-config.php al directorio superior, sacándolo del acceso público.
9. Si tenéis el registro abierto, nunca tener ningún usuario registrado mediante un bot (robot).
10. Tener el software del servidor siempre actualizado, sobre todo si se actualiza por vulnerabilidades (PHP, MySQL, etc…)
11. Utilizar Mods de php para aumentar la seguridad del servidor.

Cabrían otras cosas, como protección del subdirectorio wp-admin, plugins para protección de login con brute forcé, etc… pero lo anterior es lo básico.
Ahora, pasemos a desgranar cada uno de los puntos.

Tener WordPress siempre actualizado.

Muchos se piensan que el actualizar WordPress es un capricho o que solo  les va servir para un diseño más moderno o alguna funcionalidad más. Pensar eso es un error enorme. Es cierto que cada gran versión suele incluir nuevas funcionalidades, retoques de diseño o nuevo diseño, pero también suelen llevar arreglos de bugs, que pueden ser tanto para arreglar algo que no funcionara correctamente como para arreglar un error de seguridad. Ya no hablemos de las actualizaciones puntuales, es decir, aquellas que se indican por el tercer número ej: 3.3.1) estas versiones siempre son para arreglar bugs y algunas de ellas han sido por vulnerabilidades cero day, o lo que es lo mismo, una vulnerabilidad muy grabe por la que se pueden hacer con tu sitio realizando alguna acción. Simplemente manteniendo tu WordPress actualizado, ya tendrás mucho ganado.

Usar SOLO plugin del repositorio o plugins Premium (de pago) y que SIEMPRE estén actualizados a la última versión.

Es muy importante descargarse siempre los plugins del repositorio. Descargárselos del repositorio no es una garantía al 100% que no tendrán malware, pero al estar en el repositorio están más controlados ya que cualquier usuario que detectara algo provocaría la eliminación inmediata del plugin. Lógicamente, cuando hablo de descargárselo del repositorio, incluye la instalación automática desde el mismo WordPress. De ninguna manera hay que descargarse cualquier plugin que encontremos por ahí. La instalación de un plugin de cualquier web (siempre y cuando no sea una web confiable) podría significar meternos el enemigo en casa.

También existen los plugins Premium, que son plugins de pago. Nunca debéis descargaros un plugin Premium, si no es desde la web oficial. Pensad que el descargarse un plugin Premium desde un sitio que no sea el oficial, puede significar que haya sido modificado para abrir una puerta trasera, con lo que en menos que canta un gallo, perderéis vuestro sitio.

Por último, siempre hay que tener todos los plugins actualizados, ya sea un plugin descargado desde el repositorio como si se trata de un plugin Premium. Lógicamente, el mantener un plugin Premium actualizado, significa en muchos casos mantener una cuota al día. En el caso en que decidáis que os dais de baja debéis realizar un seguimiento de las actualizaciones que se realizan, para ver los motivos de estas. En el momento en que una de las actualizaciones arreglan una vulnerabilidad, si ya no queréis mantener la cuota, debéis eliminar ese plugin de inmediato. Si el pluin se actualiza por vulnerabilidad, eso quiere decir que es conocida y por lo tanto habrá cientos de spiders rastreando la web en busca de esas vulnerabilidades y no dudéis que tarde o temprano encontrarán vuestro WordPress.

Instalar themes desde sitios confiables y NUNCA instalar themes Premium si no son de las páginas oficiales (descargados de otros sitios par no pagar su coste).

En este punto, no hay mucho que decir, simplemente es aplicar los del punto anterior pero en vez de a los plugins, a los themes.

No usar NUNCA el usuario admin, usar cualquier otro usuario.

Hasta hace relativamente poco, el único usuario principal que se podía utilizar en WordPress, era el “admin” pero en su día cambio y se pudo comenzar a utilizar otros usuarios. Lo que sucede, es que por costumbre o por lo que sea, mucha gente continua utilizando el usuario admin cuando realiza una nueva instalación. Es un gran error ya que la inmensa mayoría de scripts que buscan hacerse con una instalación por fuerza bruta, se basan en el usuario admin, es decir, utilizan el usuario admin y van probando diferentes contraseñas hasta que dan con la combinación adecuada. Si no utilizamos el usuario admin, dificultamos enormemente la posibilidad de acceso por fuerza bruta. Pero ¿Qué pasa si tenemos una antigua instalación o ya hemos realizado la instalación nueva con el usuario admin? Pues hay una solución. La solución pasa por realizar una acción muy sencilla.

1. Crearemos un usuario nuevo.
2. En el momento de la Creación, le damos el rol de Administrador.
3. Una vez creado, nos aseguramos que le hemos dado el rol de Administrador.
4. Salimos de la instalación.
5. Nos identificamos con el nuevo usuario, que también es administrador.
6. Apretamos sobre “eliminar” en el usuario admin y en el siguiente paso seleccionamos el nuevo usuario para que le traspase todas las entradas.

Y ya está, habremos eliminado el peligroso usuario admin de nuestra instalación. Existen plugins para realizar esta operación, pero ¿para que utilizar un plugin para realizar una operación que se puede realizar de forma sencilla?

Utilizar contraseñas complejas y por supuesto NUNCA nuestra fecha de cumpleaños, aniversario, pins varios, etc….

Esto es uno de los puntos en los que más peca la gente.  Ya sea por comodidad, pereza o desconocimiento, mucha gente tiende a poner contraseñas muy simples, de fácil relación con el (fecha de nacimiento, fecha de la boda, fechas de nacimiento de los hijos, mujer, etc…) o repetir la misma contraseña en todos los sitios. Esta es la forma más sencilla que la encuentren.

Hace poco, un cliente me sorprendió con un email dónde me relataba muchas cosas de mi que sinceramente no sabía ni que estaban en internet. Hoy en día y sobre todo por las redes sociales vamos dejando cantidades inmensas de información y si no lo hacemos nosotros, otros lo harán por nosotros, ya sean amigos, familiares o el mismo gobierno o BOE. La información que se puede encontrar en estos momentos en internet de una persona en particular, es enorme. Solo hay que saber dónde y cómo buscar. Si laa contraseña de acceso es algo relacionado con vosotros, os aseguro que si quieren acceder a vuestro sitio lo harán.

¿Cuál es la solución? Pues contraseñas complejas y largas y por supuesto, una contraseña para cada sitio. Por regla general, la mejor contraseña es aquella que os sea imposible de memorizar y eso para cada sitio que tengáis. Cómo es lógico y natural, para acceder a vuestro sitios, si son contraseñas complejas, necesitareis apuntároslas, pero nunca en un papel, ya que sería también un gran peligro. En mi caso, uso un software que lo tengo instalado en todos mis pc/mac y en el iPhone/iPad.  Es un software que descubrí ya hace mucho tiempo y que os aseguro que nopodría vivir ya sin el. La tranquilidad que me da es enorme. El software en cuestión se llama 1Password y con el podreis tener contraseñas enormemente complejas y en todos accesibles desde todos vuestros dispositivos. Lógicamente, el software solo es una opción, pero el usar contraseñas complejas, no es una opción, es una obligación.

Realizar copias de seguridad diarias completas y muy aconsejable realizar copia de seguridad de la base de datos 2 veces al día (cada 12 horas).

Otra de las cosas que son muy importantes, es el realizar un Backup diario (cómo mínimo). Mucha gente se lamenta el día que han tenido un problema y lo han perdido todo.

Cada día, miles de sitios se pierden en su totalidad por hackeos, roturas de discos duros, servidores que se queman o por errores humanos. Los que llevamos mucho tiempo en internet con webs, todos, hemos tenido que tirar alguna vez de copias de seguridad. Os puedo asegurar que tarde o temprano acabareis usando esa copia de seguridad, si es que la estáis realizando.

En mi caso, yo realizo cada día una copia de seguridad completa y al cabo de 12 horas, realizo una copia de seguridad de las bases de datos. Esas copias de seguridad las guardo durante 7 días. En caso de desastre, el tiempo máximo de archivos perdidos será de 23 horas y  59 minutos y en el caso de datos de 11 horas y 59 minutos y esto en el peor de los casos.

Existen mucho plugins para realizar backups, pero si queréis instalar uno gratuito, que sea BackWPup

Existe un plugin Premium muy bueno, y que sobre todo va muy bien para desarrolladores por la funcionalidad de importación-exportación de sitios que tiene, que es BackupBuddy, pero tiene una gran pega, y es que solo realiza Backups en formato zip. Esto que a priori puede parecer una tontería, es un gran problema. Los zip tiene una limitación de tamaño, que creo recordar que es de 2Gb en sistemas operativos de 32bits y de 4Gb en sistemas de 4Gb. La consecuencia de esto es que si tu instalación es my grande, no podrás realizar el backup ya que no podrá crear el archivo. Alguno pensareis por se realiza un splid del archivo, pues estamos en lo mismo ya que solo se puede realizar un Split de un zip si el archivo ya ha sido creado en su totalidad (estamos hablando a nivel de servidor). Así que si tenéis sitios muy grandes, no os gastéis el dinero en BackupBuddy.

Utilizar plugins de seguridad

Existen varios plugins de seguridad para WordPress, pero el que yo suelo utilizar es BulletProof Security

Este plugin es fantástico, os asegurará toda la instalación y os creará archivos .htahccess personalizados.

Hay muchos plugins de seguridad, pero como Fernando Tellado de AyudaWordPress ya realizó un artículo al respecto, no voy a repetirlos así que si estáis interesados en plugins de seguridad, solo debéis visitar su entrada.

Mover el archivo wp-config.php al directorio superior, sacándolo del acceso público.

Quizá es una de las medidas de seguridad menos conocidas, y consiste en mover el archivo wp-config.php al directorio superior. Por ejemplo, si tuviéramos instalado WordPress en un servidor que utilizara un panel de control cPanel, consistiría en trasladar el archivo wp-config.php a directorio anterior de public_html, de forma que la estructura quedaría así:

/home/tu_usuario/wp-config.php

/home/tu_usuario/public_html/wp-admin

/home/tu_usuario/public_html/wp-includes

/home/tu_usuario/public_html/wp-content

Esta que es un acción muy sencilla, es muy efectiva ya que sacamos de la parte pública el archivo de configuración, de forma que no podrán acceder fácilmente a los datos de nuestra base de datos.

Si tenéis el registro abierto, nunca tener ningún usuario registrado mediante un bot (robot).

Si tenéis el registro abierto de WordPress, es muy probable que estéis llenos de usuarios spam que se han registrado mediante bots (robots o software).

Muchos de esos usuarios spam, con total seguridad, estarán ahí y ya está. Al ser robots en busca de WordPress con registro abierto, se han registrado en busca de las posibilidades que les podáis brindar. Si por ejemplo solo dejáis a los usuarios registrados comentar en vuestro sitio, seguramente ni os enterareis que existen estos usuarios, ya que lo que buscan es poder crear entradas completas.

El peligro está en los “dormilones”, es decir, usuarios que se registran (también mediante bots) y quedan a la espera de una vulnerabilidad.  Estos usuarios se registran en cientos, miles de sitios y crean una gran base de datos con todos ellos. Un buen día, se descubre una vulnerabilidad cero day ¿recordáis el principio de esta entrada? y programan un script para hacerse con todos los sitios. En unas pocas horas, se pueden haber hecho con miles de sitios.

La solución contra estos usuarios pasa por eliminarlos y por no dejar que se registren. Para ello, existe WangGuard. Este plugin, no solo no dejará que se registren en vuestra instalación, si no que eliminará todos o casi todos los usuarios spam que tengáis ya registrados. Además os ofrecerá muchas herramientas  que os facilitará la detección de estos usuario no deseados.

Tener el software del servidor siempre actualizado, sobre todo si se actualiza por vulnerabilidades (PHP, MySQL, etc…)

Si estáis en un hosting compartido, seguramente no os tendréis que preocupar sobre estos temas ¿o sí? Siempre es mejor estar en un hosting que se preocupe por la seguridad y estar al día.

Hace unos pocos días, se ha liberado la última versión de PHP. La versión 5.4, pero aun no es muy recomendable actualizar, a las pocas horas de liberarse, ya sacaron un par de parches. Lo que se que es imprescindible, es utilizar PHP 5.3.10 Cualquier versión inferior  esta, tiene vulnerabilidades y todas ellas se pueden tirar los servidores abajo con relativa facilidad, incluidos los servidores que tengan instalado PHP 5.2.x

Es muy aconsejable que se utilice un hosting que tenga suPHP instalado o Mod Ruid2.

Si tenéis vuestro propio servidor, es muy aconsejable que instaléis Mod Ruid2 en lugar de suPHP. El motivo es bien sencillo. Mod Ruid2, da la misma seguridad que suPHP pero con la velocidad de mod_php, lo que quiere decir que vuestro servidor irá mucho más relajado sin perder nada de seguridad.

Habrían otros plugins a instalar o configuraciones a realizar, pero en la base, está todo dicho. Cumpliendo todo lo anterior, lo pondréis difícil a los hackers, aunque no imposible.

Después de más de un año de estar desarrollando WangGuard, hay varias características en las que coinciden todos los usuarios no deseados. Lógicamente, hacer todo lo que os voy a explicar, en primer lugar, es imposible, segundo que puede que si no tenéis más de dos o tres sitios con el registro abierto, no os será posible y cuarto, es más sencillo identificarlos en WordPress Multisitio ya que os enviará la IP del usuario por email y por último el tiempo. Pero bueno, cómo el saber no ocupa lugar, ahí tenéis varias características comunes.

1.- Suelen registrar más de un usuario por tanda, es decir, no suelen registrar un solo usuario. Aunque eso no quiere decir que algunos no lo hagan.

2.- Hay que fijarse en el dominio del email. Hay emails que ya solo por el dominio sabréis que son sploggers, por ejemplo justinbiebershoesforsale.com, pero también existe la posibilidad que sean de servicios gratuitos de email, cómo mail.ru, 163.com, etc.. Dependiendo de que trate vuestro sitio o de la localización geográfica, no tiene mucho sentido que esos usuarios, con esos email, se registren en vuestros sitios.

3.- También existen los emails correlativos, es decir, el software que crea email con nombre + número en servicios altamente usados, cómo podría ser gmail.com, yahoo.com/es/fr, etc Lo que suelen hacer utilizar por ejemplo el nombre joe + número@gmail.com, con lo cual consiguen joe1, joe3, joe3… joe345@gmail.com

4.- Existen los emails de punto y signo +, que solo son utilizables en gmail. por ejemplo, tenemos el email ramirograntreftare@gmail.com (inventado completamente) Este email, lo podemos “despedazar” a puntos, es decir, el email mencionado y ramiro.grantreftare@gmail.com o ra.mi.ro.gran.tre.fta.re@gmail.com o r..a.m.i.r.o.g.r.a.n…t.r.e.f.t.a.r.e@gmail.com o r….a….mirograntre….ftare@gmail.com, etc siempre llegará al mismo buzón, pero para WordPress son emails diferentes. A eso hay que añadir la posibilidad de añadir un signo + al final del usuario de gmail. Si añadimos el signo más y una palabra cualquiera, también llegara al mismo buzón de email, es decir ramirograntreftare+1@gmail.com, ramirograntreftare+otroemail@gmail.com, etc llegará a la misma persona. A lo anterior hay que sumarle lo de los puntos. Cómo podéis ver, con un solo email, tenemos millones de posibilidades.

5.- Las IP, muchas veces, veremos que se nos registran varios usuarios, pero si tenemos la posibilidad de ver las IP, veremos que todos los registros provienen de la misma IP, cosa de la que hay que sospechar o (que es más complejo) veremos que todas las IP vendrán de un país lejano, cómo por ejemplo china. Esta segunda opción se ve cuando se producen varios registros seguidos, con emails diferentes, de diferentes proveedores y lógicamente diferente IP, son un nuevo sistema de redes de ordenadores personales que están conectados a internet desde diferentes conexiones y utilizan un sofware uníco que los une para actuar como un sola máquina.

6.- Si usáis multisite, cada vez que se cree un nuevo sitio, mirad la página. Si se ha eliminado la entrada por defecto (Hola mundo), la página de ejemplo y el blogroll, en un 99’99% es un splogger, cuidado, hablo al minuto que se haya creado el sitio, no hablo al cabo de unas horas.

7.- Si tenéis varios sitios con el registro abierto, veréis autenticas oleadas de registros provenientes de una misma IP, a lo mejor solo es 1 registro o dos, pero se repetirán en los otros sitios y los podréis detectar.

8.- Repetición de registros días tras día desde una misma IP. Hay servidores y servicio que se dedican exclusivamente al registro en WordPress. Si detectáis que una IP se registra cada día o en un día varias veces, seguramente vuestro sitio ha entrado en el listado de estos. Dedicaros a eliminar cualquier registro desde estos servicios o protegeros mediante el .htaccess de estas IP.

Enlaces que podéis consultar para informaros bien sobre los usuarios que se registran en vuestro sitio:

Para saber todo de una IP http://www.ip-adress.com/

Para saber más sobre el ISP https://www.ripe.net/

Para tener info sobre lo que tiene instalado una IP (en el PC o servidor) http://www.mxtoolbox.com/

Hay muchos otros factores, pero estos son los principales.

Cómo podéis ver, podéis dedicar un tiempo de vuestra vida mirando todo lo anterior, que si disponéis de él, siempre es grato descubrirlos, aunque yo os aconsejo que os instaléis WangGuard, que mira todo lo anterior en 1 segundo y muchas otros factores.

Cómo mínimo, os sea o no os sea de utilidad lo anteriormente mencionado, el camino de identificarlos lo tenéis trazado.

WordPress está teniendo una evolución simplemente increíble. Hoy en día se puede decir con total seguridad que mediante WordPress podrás montar cualquier tipo de página web gracias a los miles de plugins que ya existen o a los plugins a medida que se pueden desarrollar.

Tras el nacimiento de WordPress, fue creado un fork que se le denominó WordPress MU. Con este, podías crear una red de blogs al más estilo wordpress.com

Más tarde, en la versión 3.0 de WordPress, este fork fue añadido al core de WordPress naciendo en ese momento lo que se denominó y denomina WordPress Multisite o en Español, WordPress Multisitio.

Pero cómo es lógico y natural, la cosa no podía quedar ahí y cuando se liberó WordPress 3.2, se podían encontrar en el core de WordPress pequeñas modificaciones y funciones que para algunos pasaron y pasan inadvertidas y que dan a WordPress un poder aún mayor.

Estás nuevas funcionalidades, no pueden ser usadas de forma estándar, pero mediante plugins especializados se consigue llevar a WordPress mucho más allá.

Pues bien, os presento WordPress Multinetwok.

¿Qué es WordPress Multinetwork? Pues cómo su nombre indica es un WordPress con multiples redes.

Si utilizáis WordPress, sabeis perfectamente que con unas pocas líneas de código colocada en wp-config.php y una pequeña modificación en el .htaccess combertimos WordPress en WordPress Multisitio, es decir, nuestro wordpress.com particular, pero os imagináis que con 1 sola instalación de WordPress pudierais crear tantas redes diferentes y con sus propios dominios como quisierais? Pues esto es ni más ni menos WordPress Multinetwok.

Gracias a plugins como Networks for WordPress podéis crear tantas redes diferentes como queráis con una sola instalación de WordPress.

Para ello, solo instalar el plugin en el directorio plugin y activarlo para la red.

Una cosa muy importante, es que previamente a crear una nueva red, deberéis tener configurado un dominio adicional en vuestro hosting que apunte al root de la instalación de WordPress.

Una vez lo hayáis hecho, en la administración de la red, bajo el menú sitios, encontrareis un nuevo enlace que se denomina networks ahí solo deberéis introducir el nombre de la red, el dominio y el nombre que daréis a la ruta del dominio.

Antes de guardar los cambios, es una buena idea apretar en el botón “Check netwok settings” para ver si el nuevo dominio resuelve correctamente (las DNS) Si nos da el ok, podemos añadir la red.

Una vez creada la red, deberemos visitar la administración del nuevo sitio y añadirle un usuario. Una vez añadido, editaremos al usuario y lo ascenderemos a Super Admin.

Y ya está, tendremos una nueva red creada que será totalmente independiente de la primera.

Ahora, si salimos de la instalación y accedemos al nuevo dominio con el usuario nuevo creado, veremos que es cómo si entráramos en una nueva instalación de WordPress Multisitio. Si con ese usuario que es Super Admin, intentaramos acceder a la administración de sitio principal, nos reconocería, pero nos diría que no tenemos permisos para hacerlo.

Una de las características que encontraremos en WordPress Multinetwork es que podremos pasar sitios de una red a otra en un par de clics.

Esta nueva funcionalidad es muy interesante para todo aquel que quiera instalar varias redes ya que además de tener que mantener solo un backup de todas, las actualizaciones se realizan en visto y no visto.

Cada día es más facil realizar cualquier proyecto con WordPress.

Ya estamos en pleno desarrollo de WangGuard 1.3 y después de un tiempo de destripar (si, destripar) varios software de sploggers, hemos implementado varios tipos de defensas para combatirlos.

La principal de ellas, que está en fase beta, puedo decir que está dado una efectividad del 99,99% desde el primer momento.

Cómo veréis, dejo un 0,01% restante de error. No hay nadie que pueda ofrecer un 100%, pero lo que si puedo decir con el 100% de seguridad y ahora con la boca bien grande, que cuando liberemos WangGuard 1.3 será el plugin/servicio anti sploggers, usuarios no deseados mejor que ha existido y que existe. No solo os frenará en esta nueva versión el 99’99% de los usuarios no deseados y en muchísimos casos el 100%, si no que si lo instaláis ahora, os limpiará de sploggers toda la base de datos.

No lo digo yo, lo dicen los más de 8.000 usuarios que usan WangGuard a nivel mundial en más de 250 países, lo dicen las estadísticas, con más de 1.020.000 sploggers/usuarios no deseados frenados en 6 meses y sobre todo y más importante, lo dicen los sploggers y los usuarios de LFE, que están desesperados e intentando buscar solución a los problemas que les da WangGuard. Aquí tenéis algunos comentarios de sploggers encontrados en twitter:

Quelqu’un sait comment peut-on se protéger du ban par le service WangGuard? #LFE #splog #WPMU #antispam # antisplog

#LFE does not work anymore. WangGuard… piece of shit!!!!!!.

Please HELP!!!! WangGuard is deleting all my Backlinks!! #LFE

Para los que no sepan que es LFE, LFE es “Link Farm Evolution”, no os pongo un enlace al sitio ya que no quiero darles publicidad frente a Google. Es el Sistema principal por el que se realiza splog en WordPress. Pues puedo decir con total satisfacción, que los usuarios de LFE tienen muchos problemas gracias a WangGuard, pero cuando liberemos WGG 1.3, no tendrán problemas, tendrán un gran problema llamado WangGuard.

Cuando lancé WangGuard, ya advertí que era un sistema que aprendía el solo. En los sitios que desde un principio confiaron en WangGuard tardaron una media de 1 o 2 semanas en notar una efectividad del 95%. Pasaron los meses y el tiempo necesario para notar su efectividad se redujo a unos días y subiendo a un 98%. En estos momentos, su efectividad se nota nada más instalarlo y su eficacia va desde el 95% al 100%. Todo depende de la popularidad del sitio. En cualquier caso, la efectividad es muy superior a cualquier captcha o reCaptcha.

Cómo he comentado, estamos trabajando en WangGuard 1.3 y hemos conseguido en estos momentos una efectividad del 100% desde la activación del plugin. Si, habéis leído bien, 100% desde la activación. Pero por precaución, lo dejaré en el 99’99%

Pero no solo vendrá este nuevo motor en WangGuard, estamos desarrollando un sistema de bloqueo selectivo de dominios de emails y de extensiones de dominios.

Digamos que será algo parecido a lo que viene de serie en WordPress Multisite, pero mucho más completo y complejo y lógicamente tanto para WordPress Multisite como para WordPress Simple.

En estos momentos, hace 1 año y 2 meses que me embarqué en la aventura de querer parar esta lacra de Sploggers y usuarios no deseados, 5 meses más tarde se liberaba WangGuard 1.0. Desde entonces, más de 8.000 usuarios y más de 1.020.000 sploggers/usuarios no deseados bloqueados.

Si todo va bien, antes de un año de la versión pública 1.0 de WangGuard, liberaremos WangGuard 1.3 y os puedo asegurar que WangGuard marcó un antes y un después de cualquier sistema anti-splog, pero WangGuard 1.3 va a marcar un antes y un después ante los software splogger.

Hasta hace relativamente poco, la gente buscaba soluciones para combatir a los sploggers o usuarios no deseados. Desde el nacimiento de WangGuard, prácticamente a sido una batalla cuerpo a cuerpo, cosa que nadie había conseguido hasta ahora, y aun menos decir que estaban ganando la batalla, como es el caso de WangGuard, pero a partir de la versión 1.3, serán los sploggers que van a tener que buscar soluciones contra WangGuard y os aseguro que somos los únicos que podemos decir esto, ganaremos la batalla con la versión 1.3. La guerra desde luego queda muy lejos de ser ganada y de hecho, nunca nadie la ganará, pero seremos los primeros en poder decir que hemos ganado muchas batallas.

Lo tenéis bien fácil, solo debéis descargaros WangGuard desde el repositorio de WordPress, activarlo y conseguir la API key. Estoy seguro que en pocos días os preguntareis como habéis podido vivir sin WangGuard y dependiendo de los problemas que tengáis con los sploggers, lo diréis a las pocas horas de tenerlo instalado.

Desde hace mucho tiempo quería crear este proyecto. Una de las labores que desarrollo, aparte de la instalación, mantenimiento, programación, etc de WordPress y BuddyPress, es que doy clases en grupo y también clases particulares.

Ya hacía mucho tiempo que quería de una forma más global, poder llegar a mucha más gente y la única forma de hacerlo era mediante cursos Online.

Ya desde hace un tiempo, estoy trabajando en WangTuts, que es exactamente eso, un curso online de WordPress y seguramente se irá ampliando con BuddyPress.

Habrá varios niveles de usuarios.

Visitantes: Tendrán acceso a algunos tutoriales.

Registrados (gratuito): Tendrán acceso a más tutoriales y algunos video tutoriales.

Usuarios Premium (25€ cada 3 meses): Tendrán acceso a todos los tutoriales y video tutoriales.

Usuarios VIP(35€ cada 3 meses): Tendrán acceso a todos los tutoriales, a todos los video tutoriales, acceso a plugins premium, acceso a temas premium y acceso a descargas varias.

En estos momentos, todo el sistema está en marcha. Lo que falta son algunos detalles del diseño y crear varios tutoriales y video tutoriales.

El nivel VIP, no estará desde un principio, será algo que se añadirá poco a poco, pero que preveo que no tardará mucho en aparecer desde el lanzamiento.

Mi intención es salir con la versión “Visitantes” y “Registrados” e ir preparando las versiones “Premium” y “VIP”

Si a alguien le gustaría participar en el proyecto, solo tiene que ponerse en contacto conmigo mediante el formulario. Hay mucho trabajo por hacer, pero creo que es un proyecto que interesará a mucha gente.

Iré poco a poco realizando entradas en este blog para ir explicando y añadiendo capturas para que sepáis como está el proyecto.

]]> http://www.joseconti.com/2011/11/21/comienza-la-cuenta-atras-para-wangtuts/feed/ 0 http://www.joseconti.com/2011/11/21/comienza-la-cuenta-atras-para-wangtuts/ http://feedproxy.google.com/~r/joseconti/~3/8c7j19ayzVM/ http://www.joseconti.com/2011/10/27/a-mas-usuarios-registrados-en-mi-wordpress-mas-repercusion-peligro/#comments Thu, 27 Oct 2011 10:21:22 +0000 José Conti http://www.joseconti.com/?p=951

Hoy estaba arreglado una instalación de BuddyPress (www.eneagrama.net) que tenía un problema con los foros globales creados mediante bbPress 2.0 plugin.

Una vez finalizado el arreglo, le comenté a GerardCD que estaba usando WangGuard, que como muchos sabréis, es un servicio anti-splog, usuario no deseados que cree hace varios meses y que ha ido evolucionando. Me comentó que le iba muy bien y que se lo había recomendado a un amigo.

Su amigo, le comentó que no lo iba a instalar por dos motivos;

1.- Que ya usaba Akismet.

2.- Por que así tenía muchos usuarios registrados y tenía más repercusión en internet.

Ambas razones son totalmente erróneas y la segunda muy peligrosa, y dicho sea de paso, mucha gente comparte esa teoría. Akismet es solo para los comentarios, no para los usuarios, así que nunca protegerá el registro de WordPress, BuddyPress o bbPress 2.0. La segunda razón, es muy preocupante.

Mucha gente se piensa que dejando que cualquiera se registre en su sitio, ya sea un WordPress, WordPress Multisitio (creación de Sub sitios), BuddyPress o bbPress, conseguirá más repercusión en Internet. Eso es totalmente falso.

En el caso de WordPress, solo conseguirás llenar tu base de datos de usuarios que no quieres para nada y aumentando exponencialmente tu base de datos, con la consecuencia de necesitar más recursos. Cada vez tendrás más ¿visitas? NO, cada vez tendrás más robots que te visitan para registrarse en tu sitio. Por lo tanto, no tienes nada de repercusión en internet, solo un aumento de necesidad de recursos y que la consecuencia será un aumento en el gasto por hosting ¿para qué? para que los robots puedan registrarse más rápido.

En el caso de WordPress Multisite, la gente se piensa que si se registra mucha gente y crean miles de páginas, su sitio quedará muy bien posicionado en Google u otros buscadores. FALSO, todos esos usuarios son Splogger, lo que están poniendo en el blog que han creado en tu instalación, lo han escrito en otros cientos de sitios, por lo tanto a Google no le interesa, es más, puede tomar a tu sitio como un sitio que copia contenidos de otros y por lo tanto penalizarlo e irte a los infiernos de las páginas de resultados. O lo que es peor, pueden crear sitios de medicación, viagra, pornografía, etc.. no hace falta que os explique las consecuencias ¿verdad?

En el caso de bbPress 2.0, pasa exactamente igual que en los casos anteriores, se registrará y llenarán tus foros de basura. ¿En que puede beneficiar esto?

BuddyPress, más de lo mismo. Muchos usuarios legítimos pueden llegar a darse de baja por las menciones de otros usuarios que les invitan a quedar (mediante un chat de pago porno) o a visitar sus páginas o vete a saber qué, sin mencionar las actualizaciones de estado, que te pueden colar cualquier cosa.

Pero a todo lo anterior, que no es poco, hay que sumar el peligro más grande de todos. Los sploggers que están esperando ahí, sin hacer ningún tipo de ruido, que para ti son unos usuario que se han registrado en tu sitio y no hacen nada ¿para que los voy a eliminar? pues por un simple motivo, son como el virus del Évola, están a la espera de su momento. Un buen día, WordPress, BuddyPress o bbPress, anuncian o se conoce un 0day en cualquiera de las anteriores. Solo deben poner en marcha sus scripts/robots, y en cuestión de minutos se han hecho con miles de sitios o lo que es peor, han inyectado algo en el código que ha simple vista no es perceptible. Las consecuencias de esto, posible perdida del control de nuestra propia instalación, redireccionamiento de páginas específicas o sitios enteros a un tercero, inyección de código que infectará a todo el que nos visite, hosting de archivos maliciosos en nuestra cuenta, etc.

Si sois partidarios de esta práctica (dejar que todo el mundo se registre), el día que tengáis un problema, no echéis la culpa a vuestro hosting. El enemigo lo teníais en casa.

Se que es mío, pero de verdad, instalaros WangGuard. Mas de 8.000 sitios ya lo están usando, casi 900.000 sploggers bloqueados y eliminados. No hay ningún otro servicio o plugin que os limpie la base de datos de estos usuarios no deseados y en muchos casos muy peligrosos. WangGuard no es una comodidad, que lo es, es un sistema de seguridad para vuestro sitio. Si tienes un Firewall para tu servidor, ¿porqué no instalas WangGuard que es un Firewall y un antivirus para tu WordPress, BuddyPress y bbPress 2.0?

]]>

En breve lanzaremos WangGuard 1.2.1

Esta nueva versión añade dos funcionalidades y armas nuevas para todos los sitios creados mediante WordPress, WordPress Multisitio, BuddyPress y bbPress 2.0

La primera, que debe ser activada, es la protección frente a las cuentas hermanas en Gmail, que es exactamente esto. Cómo muchos de vosotros ya sabréis, o si no ahora lo conoceréis, Gmail tiene un sistema por el cual, mediante un solo email, puedes tener infinitas posibilidades de presentarlo, es decir, pongamos el ejemplo de un email que sea splogger@gmail.com Este email tiene millones de posibilidades y todas llegarían al mismo buzón. Podéis enviar un email a esa dirección o también a splogger@googlemail.com pero es más, también podríais enviar un email a s.p.l.og.g.e.r@gmail.com o a splog.ger@gmail.com o a splogge……r@gmail.com o a s……..logger@googlemail.com y todos llegarían a la misma cuenta de email. Pero aun hay más. Existe la posibilidad de añadir un signo + después del usuario, de forma que por ejemplosplogger+numero1@gmail.com seguiría llegando a la misma cuenta.

Por todo lo demás, hemos implementado en WangGuard la identificación por búsqueda en vuestra misma base de datos para bloquear los registros, es decir. Si por ejemplo el usuario splo….gger@gmail.com se registrara en vuestro sitio, no se podría registrar ninguna de las variantes posibles de este email, con lo cual, se acabó el que en un mismo día os encontréis con 40 emails idénticos seguidos (con variaciones de puntos) en vuestra base de datos.

La segunda implementación, que solo será de utilizad para los que uséis WordPress Simple, es que a partir de ahora, si lo activáis, WangGuard comprobará si el email existe antes de dejarlo que se registre en vuestro sitio. SOLO mirará si el dominio MX existe, no podremos saber si el email pertenece al usuario, pero de esta forma eliminaremos los cientos de miles de sploggers que se registran con emails inexistentes como splogger@jiuhcdiushfidsw.net

Estoy seguro que estas dos nuevas funcionalidades serán bien acogidas por los miles de usuarios de WangGuard.

Esta nueva versión trae consigo dos nuevas funcionalidades:

La primera es que a partir de ahora podréis conocer perfectamente que trabajo está desempeñando WangGuard en vuestro sitio. Hemos implementado unas estadísticas por las cuales podréis ver las peticiones que realizáis al servidor, los sploggers o usuarios no deseados que ha parado WangGuard y los usuarios que habéis reportado a WangGuard. Estas estadísticas, a día de hoy se presentan en los últimos 30 días y los últimos 6 Meses. Poco a poco iremos añadiendo más funcionalidades a las estadísticas.

También podréis encontrar en el escritorio un widget por el cual veréis las estadísticas de los últimos 7 días.

Finalmente, hemos añadido una nueva funcionalidad cambiando un poco la forma de funcionamiento de WangGuard.

Hasta ahora, en la edición de usuarios, podíais marcar a un usuario como splogger y este era eliminado. Si por lo que fuera habíais cometido un error, este no tenía vuelta atrás. La solución que hemos implementado es la siguiente. A partir de ahora, si marcáis un usuario como splogger en la edición de usuarios, este no será eliminado aunque será reportado como splogger a WangGuard. En el caso en que os hayáis equivocado, en las posibilidades que os da WangGuard en cada usuario, os aparecerá un nuevo enlace, que será “no es splogger”, de esta forma, podréis recuperar al usuario y será eliminado de WangGuard. Esta opción solo saldrá si sois vosotros los que habéis reportado al usuario. De momento no damos la posibilidad de que reportáis usuarios como no splogger si no los habéis reportado vosotros. Esto lo hacemos por motivos de seguridad, ya que los sploggers podrían comenzar a reportarse a si mismos como no sploggers y como es lógico y natural a nadie le interesa. Ya estamos estudiando como podríamos realizar esta acción de una forma segura.

La anterior nueva funcionalidad se amplia con que si marcáis a un usuario en BuddyPress como no spam o en WordPress, será reportado de esta manera a WangGuard, limpiando al usuario de la lista negra.

Estamos convencidos que estas nuevas funcionalidades has harán más participes del funcionamiento de WangGuard y estaréis más tranquilos con su uso.

La filosofía del Open Source, no es solo disfrutarla.

Llevo muchísimo tiempo con el open source, tanto a nivel profesional y particular.

En todo este tiempo me he dado cuenta que no todo el mundo entiende bien que es Open Source.

La inmensa mayoría de gente, se piensa que el open source es algo que está ahí “gratis” para que todo el mundo lo use y lo disfrute y parcialmente es parte de su propósito, pero solo entendido de esta forma no es open source, es freeware, que es algo muy diferente. El freeware, prácticamente en su totalidad es privativos, es decir, NUNCA tendrás acceso su código fuente. Eso se debe a que los desarrolladores no quieren que nadie “meta mano” en lo que están haciendo. Cómo mucho tendrán un sitio donde podrás pedir que añadan funcionalidades o notificar de problemas. Nunca podrás hacer algo derivado de ello.

El open source está ahí para que todo el mundo pueda “meter mano” al código, crear proyectos paralelos (siempre que también sean open source), crear fix, path, etc que si gustan o lo encuentran conveniente lo añadirán al core, etc.

Mucha gente utiliza el open source, como podría ser WordPress, BuddyPress, bbPress, etc, pero muy, pero muy pocos ayudan a su desarrollo y traducción. Millones de personas lo utilizan a nivel particular, otros cientos de miles lo utilizan en su beneficio ganado dinero y unos muy pero muy pocos, aparte de utilizarlos a nivel particular o sacar beneficio colaboran en su desarrollo.

Los usuarios que lo utilizan a nivel particular y no sacan ningún tipo de beneficio y cuando digo ninguno, es ninguno, ni en publicidad, podrían estar exentos de aportar nada a su desarrollo, pero todos los que sacan un pequeño beneficio, aunque solo fuera 1€/mes, creo que deberían aportar algo a su desarrollo.

No estoy hablando de aportar al core del open source ya que para ello hay que ser programador, pero todo el que utilice open source, sabe escribir y además sabe ingles, debería contribuir a su traducción.

Pongamos que hay 400.000 sitios que utilizan WordPress, BuddyPress y bbPress. Si cada uno de ellos tradujera una frase de cualquiera de ellos, muchos de ellos se encontrarían que no pueden traducir nada, ya que estaría todo traducido.

Lógicamente hay que seguir una serie de reglas para traducir, pero no son nada complicadas y gracias al proyecto GlotPress, la colaboración en la traducción es muy sencilla.

No estoy diciendo que la gente esté obligada a hacerlo, ni mucho menos, pero mi opinión es que si algo te da algo, debes devolvérselo y la forma de hacerlo es traduciendo aunque sea una frase, no creo que perder 20 segundos rompa mucho la vida uno.

Si crees que puedes perder estos 20 segundos, regístrate, infórmate como traducir y traduce una frase.

Aun así, por mucho que os empeñéis iréis cayendo en listas negras de spam y deberéis iros borrando de estas.

El problema de esto es que comenzareis a tener problemas para enviar emails de activación, avisos de nuevas actividades, contactos desde vuestro sitio, etc…

Lo primero de todo, es tener bien configurado el servidor.

Lógicamente, el servidor (hostname) debe estar presente, por ejemplo, podemos llamar a nuestro servidor servidor.tudominio.com

Otra cosa imprescindible es tener el rDNS (Reverse DNS) bien configurado.

Este paso puede constar de dos pasos diferentes. El primero pedir a vuestro proveedor de hosting que lo configure y el segundo configurarlo vosotros mismos en vuestro propio servidor.

Los dos pasos pueden ser imprescindibles y aunque vuestro proveedor de hosting os diga que no lo delegan sobre vuestro servidor, configurarlo también. Hay dominios o servidores como AOL que no se el motivo, pero acuden directamente a vuestro servidor para saber el rDNS

Mucha gente configura el rDNS con el mismo nombre que el Hostname, gran error, debéis configurar el rDNS con un nombre como mail.tudominio.com. Muchos servidores y filtros de spam buscan que el rDNS sea mail.tudominio.com o mx.dominio.com, etc… si ponéis server, servidor o cualquier otro nombre, acabareis en sus listas de spam y bloqueados.

Pero ¿Qué es y cómo se configura el rDNS?

Bien, el rDNS consiste en que los otros servidores de email (receptores) mirarán desde que IP se está enviado ese email y seguidamente preguntarán al servidor de la IP cual es su nombre. Si no tenéis configurado el rDNS vuestro servidor no será capaz de contestar y la entrega del email será bloqueado.

Para configurar vuestro rDNS en primer lugar debéis coger la IP desde la que se envía el email, por ejemplo 1.2.3.4.5 (normalmente será la IP del servidor) y darle al vuelta es decir, 5.4.3.2.1

Una vez que le habéis dado la vuelta, añadir .in-addr.arpa. al final, lo que quiere decir que os quedaría algo así: 5.4.3.2.1.in-addr.arpa.

Una vez que tenéis el rDNS creado, lo debéis asociar con vuestro nombre de rDNS, es decir, con mail.tudominio.com y mediante PTR

Lo anterior quiere decir que os quedaría algo así:

5.4.3.2.1.in-addr.arpa. 14400 IN PTR mail.tudominio.com.

Una vez creado y transcurridas unas 24h, ya tendréis en funcionamiento el rDNS que es el primer paso para que no os bloqueen vuestro servidor para enviar email.

En el caso en que useis cPanel para la gestión de vuestro servidor, es un poco diferente.

Deberéis crear una nueva Zona DNS eliminando el primer número del rDNS, es decir, deberíais crear una nueva zona que sería 4.3.2.1.in-addr.arpa. Fijaros que he eliminado el 5 del principio.

Una vez creada la zona, deberéis editar esa zona y añadir una nueva entrada que sería: 5 1400 IN PTR mail.tudominio.com. Poner atención en que he añadido un punto después de rDNS justo después del com. Si no lo hacéis, os creará un nombre erróneo.

Lo mismo, esperar 24h y ya os funcionará el rDNS

Para aseguraros que el rDNS os funciona correctamente, visitar tres páginas diferentes.

http://postmaster.aol.com/cgi-bin/plugh/rdns.pl (Esta es muy importante que os funcione, si esta os funciona, casi al 100% os funcionarán todas)

http://www.dnsgoodies.com/

http://www.mxtoolbox.com/ReverseLookup.aspx

Mientras se propaga el rDNS, debéis configurar otra cosa en vuestro dominio, que es el SPF

Es muy importante que esto esté bien configurado o también caeréis en las listas de spam o vuestros email siempre irán al correo basura.

Si usais cPanel, esta operación es bien sencilla, debemos ir al cPanel de vuestro dominio, y luego a Correo -> Autentificación de email

Una vez ahí, si lo tenéis desactivado, activar las dos cosas que encontrareis, DomainKeys y SPF (cuidado si usáis Google APP, explico otro paso más abajo)

Si no usáis cpanel, igual vuestro panel también tiene algo para activarlo de forma automatizada, pero si no es así, deberéis crearlo de forma manual.

Para crear el SPF, usar cualquiera de las páginas que os ayudan a crearlo, como por ejemplo esta: http://old.openspf.org/wizard.html

Cuidado con los que uséis las APP de Google para el correo, deberéis realizar un “include”

En el include, sea de cPanel o de wizard que os he indicado, deberéis incluís esto _spf.google.com

Si no lo vuestros email podrían ser rechazados de igual forma.

También es muy importante tener un buen firewall instalado (CSF) en vuestro servidor y pedir la identificación a la hora de enviar un email o vuestro servidor se puede convertir en un jardín del edén para los spammers.

Hasta aquí la primera parte de esta guía. En la siguiente parte iremos viendo como se debe dar de bajo o pedir que te eliminen de las blacklist, ya que podemos entrar en ellas no solo por hacer spam, si no por simplemente ser una IP nueva sin reputación o porque no habíamos configurado bien nuestro servidor.