Categoría: Desarrollo web

El aumento en los últimos meses de hackeos a páginas web hechas en wordpress y joomla nos ha hecho dedicarle más tiempo del que nos gustaría a investigar cómo lo hacen, con el fin de prevenir nuevos ataques.

Como empresa de hosting, hacemos todo lo posible para mantener los servidores seguros y utilizamos las aplicaciones líderes del mercado, tales como cPanel, Kernelcare o CloudLinux.

Gracias a esto, podemos asegurar que no se ha comprometido ningún servidor.

Pero aún así, las molestias están ahí. Casi todo el mundo utiliza wordpress para algún proyecto. Según las últimas estadísticas, el 26% de la web mundial funciona con este gestor de contenidos.

Primero lo más importante:

¿Cómo protegerse frente a indoxploit?

En los test que estamos realizando, hemos podido verificar que mover el fichero wp-config.php un nivel superior a la carpeta principal, evita que se pueda acceder al mismo.

• Entra en tu cPanel > Administrador de archivos > y selecciona el fichero wp-config.php que se encuentra dentro de la carpeta /public-html
• En el menú superior, click en Mover y cambia la carpeta /public_html por sólo /

La línea con la que se accede al fichero dentro de indoxploit es:

$baca = file_get_contents(«/home/$user/public_html/wp-config.php»);

Ésta solución parece algo sólo temporal ya que fácilmente podrían realizar la búsqueda en la carpeta inicial. Desde Honesting, hemos notificado este fallo a los programadores de WordPress para que puedan revisar y publicar una solución lo antes posible. Según nuestras pruebas, no hemos podido asociar su efectividad con algún plugin o tema gráfico en concreto.

En alguna ocasión, puede que quieras acceder al contenido alojado en el servidor antes de hacer el cambio de DNS final. Es posible editando el fichero de hosts de tu sistema operativo. A continuación te mostramos algunas guías:

• Windows.
  • https://es.ccm.net/faq/153-modificar-el-archivo-hosts
  • https://techdesktop.blogspot.com/2012/03/como-modificar-el-archivo-hosts-en.html
• iOS:
  • https://iosmac.es/tutorial-como-modificar-el-archivo-hosts-en-un-mac.html

Con la última actualización de mysql, ha dejado de tener soporte el método de cifrado de contraseñas para los usuarios por lo que si tienes una instalación de un gestor de contenidos de hace unos años, es posible que te salga el siguiente error:

Error al establecer una conexión con la base de datos

Para solucionarlo, puedes consultar con tu programador web o solicitarnos que hagamos el ajuste desde ayuda técnica para tu web. Los pasos necesarios son:

1. Entra en tu panel de control cPanel con la dirección directa o desde la zona de usuarios de Honesting.
2. En la sección Bases de Datos, crea un nuevo usuario. Dale permisos y asócialo a la base de datos.
3. Modifica el fichero de configuración de tu gestor de contenidos con los nuevos valores.

Softaculous es un software-maravilloso (software + marvelous) que viene instalado de serie en todos los planes de Hosting.

Además de una fácil instalación de cualquiera de los scripts que incluye, también permite una gestión diaria más cómoda, actualizaciones automáticas y gestión de copias de seguridad con restauraciones.

En esta guía vamos a indicar como añadir tu web basada en WordPress instalada manualmente o copiada desde otro proveedor para que sea gestionada por Softaculous:

Entra en tu cPanel.

Busca la opción de Softaculous.

En el menú de búsqueda de la izquierda, pon WordPress, te saldrá una ventana como esta, luego haz click en Importar.

 

En el menú desplegable elige el dominio y deja la opción del Directorio en blanco si lo tienes instalado en la carpeta raíz. Si lo tuvieras instalado en otra, por ejemplo /web pues indícalo y dale al botón de Importar.

 

En pocos segundos, Softaculous importa la instalación y te la muestra en el listado de instalaciones. Si necesita una actualización te mostrará este icono:

Con 1 sólo click podrás actualizar y hacer una copia de seguridad por si algo va mal.

 

La copia de seguridad se guarda en el servidor por lo que en caso de problemas la restauración es muy rápida y se puede hacer desde el propio Softaculous.

 

Una vez completada te mostrará el mensaje de confirmación:

Este fin de semana detectamos un aumento sin ningún tipo de explicación del uso del procesador que estaba haciendo nuestra cuenta de www.honesting.es gracias a CloudLinux.

Tras revisar que no se estaba haciendo ninguna actualización, consultamos la dirección que estaba generando tanto consumo desde el cPanel > últimos accesos

y pudimos ver que se trataba de la dirección de /wp-admin.php

que es la que se utiliza para identificarse como administrador, cambiar contenidos, etc.

A pesar de tener una contraseña segura y protección en los servidores, lo cierto es que la velocidad de carga de la web se estaba viendo comprometida.

Aquí puedes ver el uso de procesador CPU en el momento del ataque, la media está peligrosamente cerca del límite, lo que podría causar errores 550 al visitante:

Una de las múltiples ventajas que tiene WordPress es la gran cantidad de desarrollo que se hace sobre el sistema. Una simple búsqueda en su sección de plugins nos dio una solución. El módulo llamado Wordfense. Hay muchos más, pero este parece completo, con desarrollo en activo y con una versión Pro lo que siempre es interesante si da buenos resultados.

Tras rápida instalación y con unos cuantos ajustes, pudimos empezar a bloquear la dirección IP desde donde se estaban haciendo los ataques. Por suerte, todos eran desde una única IP con lo que se pudo solucionar rápidamente.

Como medida adicional, reportamos a los propietarios de la IP el mal uso que se estaba dando de ella para intentar en la medida de lo posible mantener Internet limpio, pero como se trataba de mundialmente famoso servicio Cloud de Amazon recibimos una respuesta automática donde más o menos se nos dice que al ser un servicio dinámico no pueden saber seguro de quién era esa IP en ese momento (mentira podrida) y nos piden muchos datos sobre el mismo, en un formato específico y que no sea muy largo.

En fin, aprovechamos para bloquear esa IP también en el resto de servidores a nivel de cortafuegos. Lo sentimos por el próximo propietario de esa IP.

Wordfense tiene muchas otras opciones para garantizar la seguridad de WordPress que todavía no hemos probado pero que iremos haciéndolo ¡No olvides suscribirte al blog!

Si tu Prestashop te está dando este error o similar:

PrestaShop] Fatal error in module smarty_internal_compile_private_modifier:
Allowed memory size of 33554432 bytes exhausted (tried to allocate 49152 bytes)

Te está indicando que el límite de memoria asignado por defecto (32M) para procesos por PHP es insuficiente. Puedes ampliar a 64M añadiendo esta línea en public_html/config/config.inc.php :

ini_set(‘memory_limit’,’64M’);

También es recomendable quitar los módulos que no vayas a utilizar para que la web cargue más rápido; activar la caché (del propio Prestashop, si te compensa claro) y activar gzip desde el cpanel.

Según hemos comprobado, desde el pasado 4 de abril surge un error al intentar activar la compresión gzip en todos los servidores. Es debido a un fallo del servidor web al configurar los permisos necesarios.

Los desarrolladores del panel de control (cPanel) ya están trabajando para dar una solución en la próxima actualización del sistema.

Si activaste la compresión antes de esa fecha, te funcionará con normalidad. Si no lo hiciste y quieres activarlo ahora contáctanos para que te lo activemos.

Notificaremos en esta misma entrada cuando esté solucionado, por lo que si quieres recibir un email no olvides suscribirte al blog.

 

Actualizado 8 de Mayo: ya hay una solución disponible, se aplicará en las futuras actualizaciones del sistema.