CategoriasDesarrollo web

Así se hackea wordpress con indoxploit

El aumento en los últimos meses de hackeos a páginas web hechas en wordpress y joomla nos ha hecho dedicarle más tiempo del que nos gustaría a investigar cómo lo hacen, con el fin de prevenir nuevos ataques.

Como empresa de hosting, hacemos todo lo posible para mantener los servidores seguros y utilizamos las aplicaciones líderes del mercado, tales como cPanel, Kernelcare o CloudLinux.

Gracias a esto, podemos asegurar que no se ha comprometido ningún servidor.

Pero aún así, las molestias están ahí. Casi todo el mundo utiliza wordpress para algún proyecto. Según las últimas estadísticas, el 26% de la web mundial funciona con este gestor de contenidos.

Primero lo más importante:

¿Cómo protegerse frente a indoxploit?

En los test que estamos realizando, hemos podido verificar que mover el fichero wp-config.php un nivel superior a la carpeta principal, evita que se pueda acceder al mismo.

  • Entra en tu cPanel > Administrador de archivos > y selecciona el fichero wp-config.php que se encuentra dentro de la carpeta /public-html
  • En el menú superior, click en Mover y cambia la carpeta /public_html por sólo /

La línea con la que se accede al fichero dentro de indoxploit es:

$baca = file_get_contents(«/home/$user/public_html/wp-config.php»);

Ésta solución parece algo sólo temporal ya que fácilmente podrían realizar la búsqueda en la carpeta inicial. Desde Honesting, hemos notificado este fallo a los programadores de WordPress para que puedan revisar y publicar una solución lo antes posible. Según nuestras pruebas, no hemos podido asociar su efectividad con algún plugin o tema gráfico en concreto.

CategoriasDesarrollo web

Editar fichero hosts

En alguna ocasión, puede que quieras acceder al contenido alojado en el servidor antes de hacer el cambio de DNS final. Es posible editando el fichero de hosts de tu sistema operativo. A continuación te mostramos algunas guías:

CategoriasDesarrollo web

Solución a «Error al establecer una conexión con la base de datos»

Con la última actualización de mysql, ha dejado de tener soporte el método de cifrado de contraseñas para los usuarios por lo que si tienes una instalación de un gestor de contenidos de hace unos años, es posible que te salga el siguiente error:

Error al establecer una conexión con la base de datos

Para solucionarlo, puedes consultar con tu programador web o solicitarnos que hagamos el ajuste desde ayuda técnica para tu web. Los pasos necesarios son:

  1. Entra en tu panel de control cPanel con la dirección directa o desde la zona de usuarios de Honesting.
  2. En la sección Bases de Datos, crea un nuevo usuario. Dale permisos y asócialo a la base de datos.
  3. Modifica el fichero de configuración de tu gestor de contenidos con los nuevos valores.
CategoriasDesarrollo web

¿Tienes tienda y no conoces Woocommerce?

Si tienes una tienda o estás pensando en crear una y todavía no conoces Woocommerce, te presentamos el nuevo sistema de moda.

Gestores de contenidos para crear una tienda

Seguramente ya conoces o incluso hayas utilizado al veterano oscommerce, los menos populares Zencart o el que hasta ahora era el sistema de facto para tiendas, Prestashop.

Woocommerce es un pequeño añadido que se instala en una página web creada con WordPress y que le dota de forma muy sencilla de todo un sistema de comercio electrónico.

Es sencillo, directo y funciona. Desde unos pocos productos hasta miles, con varias formas de pago o envío y con un diseño elegante.

¡Seguro que es muy caro!

No, al igual que el resto de sistemas comentados más arriba, su uso y disfrute es completamente gratuito. Sus desarrolladores consiguen sus beneficios con los añadidos que quieras comprar o con diseños más elaborados para tu tienda.

¡Alguna pega tiene que tener!

Técnicamente tiene menos opciones que Prestashop por ejemplo, pero en la práctica vuelve a ser una ventaja pues lo que tiene, funciona sin errores.

Algunos datos más

Woocommerce se crea en septiembre de 2011 por una empresa que ya se estaba haciendo un hueco en el mercado desde hacía cuatro años vendiendo diseños premium para WordPress. Sus creadores dicen que ahora mismo gestiona el 30% de todas las tiendas de Internet.

Si todavía no tienes tienda, te recordamos que tienes la posibilidad de instalar de forma gratuita WordPress desde softaculous y luego también Woocommerce.

Si necesitas ayuda, no dudes en consultarnos.

CategoriasDesarrollo web

Qué es un hosting

Siguiendo con nuestras guías fáciles, hoy vamos a definir qué es un hosting.

Hosting (alojamiento) es la palabra inglesa que se utiliza en castellano para definir un servicio de alojamiento de datos.

Éste alojamiento puede ser de muchos tipos, siendo el más común aquel por el que se suben ficheros para mostrar una página web (hosting web) y el de emails (hosting email).

En los últimos años se está utilizando más el concepto de nube o cloud para indicar que lo que alojes en Internet estará siempre disponible y contigo. En ambos casos se basa en lo mismo, copiar ficheros a un servidor que esté conectado siempre y con unas medidas de seguridad y rendimiento altas.

Si subes una foto a Facebook, estás utilizando su hosting gratuito, si subes un vídeo a Youtube, eso también en Hosting. ¡Hay mucho Hosting en nuestras vidas!

CategoriasDesarrollo web

Añadir WordPress a Softaculous

Softaculous es un software-maravilloso (software + marvelous) que viene instalado de serie en todos los planes de Hosting.

Además de una fácil instalación de cualquiera de los scripts que incluye, también permite una gestión diaria más cómoda, actualizaciones automáticas y gestión de copias de seguridad con restauraciones.

En esta guía vamos a indicar como añadir tu web basada en WordPress instalada manualmente o copiada desde otro proveedor para que sea gestionada por Softaculous:

Entra en tu cPanel.

Busca la opción de Softaculous.

En el menú de búsqueda de la izquierda, pon WordPress, te saldrá una ventana como esta, luego haz click en Importar.

importar wordpress softaculous

 

En el menú desplegable elige el dominio y deja la opción del Directorio en blanco si lo tienes instalado en la carpeta raíz. Si lo tuvieras instalado en otra, por ejemplo /web pues indícalo y dale al botón de Importar.

 

importar wordpress a softaculous 2

En pocos segundos, Softaculous importa la instalación y te la muestra en el listado de instalaciones. Si necesita una actualización te mostrará este icono:

Softaculous_avisa_de_actualizacion

Con 1 sólo click podrás actualizar y hacer una copia de seguridad por si algo va mal.

 

Softaculous_-_Softaculous_-_WordPress_-_2015-04-29_08.42.47

La copia de seguridad se guarda en el servidor por lo que en caso de problemas la restauración es muy rápida y se puede hacer desde el propio Softaculous.

Softaculous_-_Copia_de_Seguridad_-_2015-04-29_08.53.33

 

Una vez completada te mostrará el mensaje de confirmación:

Softaculous_-_Softaculous_-_WordPress_-_2015-04-29_08.44.54

CategoriasDesarrollo web

Cómo protegimos nuestro blog en wordpress frente ataques

Este fin de semana detectamos un aumento sin ningún tipo de explicación del uso del procesador que estaba haciendo nuestra cuenta de www.honesting.es gracias a CloudLinux.

Tras revisar que no se estaba haciendo ninguna actualización, consultamos la dirección que estaba generando tanto consumo desde el cPanel > últimos accesos

y pudimos ver que se trataba de la dirección de /wp-admin.php

que es la que se utiliza para identificarse como administrador, cambiar contenidos, etc.

A pesar de tener una contraseña segura y protección en los servidores, lo cierto es que la velocidad de carga de la web se estaba viendo comprometida.

Aquí puedes ver el uso de procesador CPU en el momento del ataque, la media está peligrosamente cerca del límite, lo que podría causar errores 550 al visitante:

4h

Una de las múltiples ventajas que tiene WordPress es la gran cantidad de desarrollo que se hace sobre el sistema. Una simple búsqueda en su sección de plugins nos dio una solución. El módulo llamado Wordfense. Hay muchos más, pero este parece completo, con desarrollo en activo y con una versión Pro lo que siempre es interesante si da buenos resultados.

Tras rápida instalación y con unos cuantos ajustes, pudimos empezar a bloquear la dirección IP desde donde se estaban haciendo los ataques. Por suerte, todos eran desde una única IP con lo que se pudo solucionar rápidamente.

resultados-ataque-a-honesting

Como medida adicional, reportamos a los propietarios de la IP el mal uso que se estaba dando de ella para intentar en la medida de lo posible mantener Internet limpio, pero como se trataba de mundialmente famoso servicio Cloud de Amazon recibimos una respuesta automática donde más o menos se nos dice que al ser un servicio dinámico no pueden saber seguro de quién era esa IP en ese momento (mentira podrida) y nos piden muchos datos sobre el mismo, en un formato específico y que no sea muy largo.

En fin, aprovechamos para bloquear esa IP también en el resto de servidores a nivel de cortafuegos. Lo sentimos por el próximo propietario de esa IP.

Wordfense tiene muchas otras opciones para garantizar la seguridad de WordPress que todavía no hemos probado pero que iremos haciéndolo ¡No olvides suscribirte al blog!

CategoriasDesarrollo web

Allowed memory size of (Solución)

Si tu Prestashop te está dando este error o similar:

PrestaShop] Fatal error in module smarty_internal_compile_private_modifier:
Allowed memory size of 33554432 bytes exhausted (tried to allocate 49152 bytes)

Te está indicando que el límite de memoria asignado por defecto (32M) para procesos por PHP es insuficiente. Puedes ampliar a 64M añadiendo esta línea en public_html/config/config.inc.php :

ini_set(‘memory_limit’,’64M’);

También es recomendable quitar los módulos que no vayas a utilizar para que la web cargue más rápido; activar la caché (del propio Prestashop, si te compensa claro) y activar gzip desde el cpanel.

CategoriasDesarrollo web

Error al activar la compresión gzip

Según hemos comprobado, desde el pasado 4 de abril surge un error al intentar activar la compresión gzip en todos los servidores. Es debido a un fallo del servidor web al configurar los permisos necesarios.

Los desarrolladores del panel de control (cPanel) ya están trabajando para dar una solución en la próxima actualización del sistema.

Si activaste la compresión antes de esa fecha, te funcionará con normalidad. Si no lo hiciste y quieres activarlo ahora contáctanos para que te lo activemos.

Notificaremos en esta misma entrada cuando esté solucionado, por lo que si quieres recibir un email no olvides suscribirte al blog.

 

Actualizado 8 de Mayo: ya hay una solución disponible, se aplicará en las futuras actualizaciones del sistema.

CategoriasDesarrollo web

CurrículumWeb

Te presentamos una forma rápida y sencilla de poner tu currículum en Internet y destacar tus cualidades.

CV en WordPress_ Experiencia - 2013-11-29_20.00.41

CV en WordPress_ Contacto - 2013-11-29_20.08.34

 

CurrículumWeb incluye (35€/año)

  • Gestor de contenidos para que puedas editar las secciones, añadir fotos, vídeos, las veces que quieras.
  • Elige un dominio con tu nombre y apellidos para una mejor imagen de marca.
  • Sección de Portfolio para mostrar tus trabajos; blog y formulario de contacto.
  • Hasta 50 cuentas de email con tu dominio.
  • Plan Personal con muchas más opciones.

Alta ahora