Asegurando tu blog

En los últimos días han aumentado el número de hackeos a blogs, algunos de ellos son defacements, otros son ataques más inperceptibles que por ejemplo en algunos casos consisten en sustituir los anuncios adsense propios, por otros del hacker, y de esta forma todos los beneficios que genera el tráfico a nuestro blog, es tomado por un inescrupuloso ciberdelincuente.

Si Ud. usa WordPress para su blogs, aquí algunos consejos que no estan demás tenga en cuenta para evitar desagradables sorpresas:

  1. Remueva la línea del meta tag "generator", Ud. la puede encontrar en el archivo header.php del theme de su blog, la línea en cuestión es esta: "<meta name="generator" content="WordPress <?php bloginfo(‘version’); ?>" />", la línea en cuestión es un comentario y no es necesaria para que opere su blog, pero le informa a cualquier hacker que versión de WordPress tiene instalado y de esa forma el atacante puede centrar sus esfuerzos en la búsqueda de exploits para su versión de WordPress.
  2. Cree un archivo index.html vacio en su blog en el directorio: /wp-content/themes/, de esa forma el atacante no sabra que themes tiene instalado.
  3. Cree un archivo index.html vacío en su blog en el directorio: /wp-content/plugin/, de esa forma el atacante no sabra que plugins tiene instalados, ni que versión tienen.
  4. No use por el momento el plugin de foros, pues tiene una grave falla de seguridad que permite la inyección de código SQL a la DB.
  5. Haz una copia de seguridad de tu DB, al menos una vez al mes. Aquí un link donde te informa cómo hacer back-up de tu DB.
  6. Cuando descargue themes y plugins hagalo desde el website del autor del mismo, muchos lugares que ofrecen themes y plugin gratuitos, no verifican si estos estan libres de troyanos. Ya se han detectado varios casos de troyanos distribuidos en themes y plugins.
  7. Si tiene una IP fija, deshabilite al acceso al panel de admnistración para toda IP que no sea la suya, para ello cree el archivo .htaccess dentro del directorio /wp-admin  de su blog, y dentro de dicho archivo ponga estas líneas:

order deny,allow
deny from all
allow from aa.bb.cc.dd

Donde obviamente aa.bb.cc.dd es su IP, de no tener IP fija ignore la última recomendación. De acceder de más de algun lugar, oficicina y casa, pues añada todas las IP’s desde donde accesa en "allow from".

Finalmente, revise periódicamente su código AdSense y verifique que el parámetro google_ad_client = "pub-xxxxxxxxxxxxxxxx", es suyo; las "x" deben ser su código AdSense  que puede encontrar en el control panel de AdSense, en la pestaña "Mi cuenta", en la sección "Preferencias de la cuenta".
Espero que estas recomendaciones le sean de utilidad y eviten que alguien inescrupuloso dañe el trabajo que Ud. le ha dedicado a su blog.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.