Listado de la etiqueta: Seguridad web

Quién es Anonymous

Anonymous es un grupo de hacktivistas anónimo que surgió en la década de 2000 y ha realizado una serie de acciones en línea que han llamado la atención de la comunidad internacional. Aunque el grupo es conocido por su naturaleza anónima y sus acciones a menudo polémicas, ha realizado algunos actos que han tenido un impacto significativo en la sociedad y la cultura digital.

Uno de los actos más importantes de Anonymous fue su campaña contra el sitio web de la Iglesia de la Cienciología en 2008. El grupo organizó una serie de ataques en línea contra el sitio web de la iglesia, lo que resultó en su caída. Además, Anonymous publicó información confidencial de la iglesia en línea y organizó manifestaciones en todo el mundo contra la iglesia. Este acto fue considerado uno de los primeros casos de hacktivismo en línea y sentó un precedente para futuras acciones de Anonymous. Otro acto importante de Anonymous fue su respaldo a la campaña de liberación de información de Wikileaks en 2010. El grupo llevó a cabo una serie de ataques en línea contra empresas que se oponían a Wikileaks, incluyendo Amazon, Paypal y Mastercard. Estos ataques resultaron en la interrupción del servicio y la caída de los sitios web de estas empresas, y fueron vistos como un intento de apoyar la libertad de información y la libertad de expresión en línea.

Anonymous ha participado en una serie de campañas en línea contra regímenes autoritarios y ha participado en manifestaciones en todo el mundo en apoyo de la democracia y los derechos humanos. En 2011, el grupo apoyó las revueltas de la Primavera Árabe en el norte de África y el Medio Oriente, y ha participado en protestas en todo el mundo en contra de la represión gubernamental y la violación de los derechos humanos.

Es importante destacar que las acciones de Anonymous a menudo han sido cuestionadas y criticadas. Muchos han argumentado que los ataques en línea y la publicación de información confidencial pueden ser perjudiciales para la privacidad y la seguridad en línea. Además, la naturaleza anónima de Anonymous ha sido objeto de controversia y ha llevado a debates acerca de la responsabilidad y la ética en el hacktivismo.

Aunque las acciones de Anonymous han sido polémicas y han sido objeto de controversia, el grupo ha realizado algunos actos que han tenido un impacto significativo en la sociedad y la cultura digital.

Casos de vulnerabilidades WordPress

El caso SoakSoak

El caso más importante de ataque organizado a sitios de WordPress a través de plugins probablemente sea el ataque de 2014 conocido como «SoakSoak». Este ataque aprovechó una vulnerabilidad en el plugin «Slider Revolution», que se utiliza en muchos sitios de WordPress para crear presentaciones de imágenes y videos.

La vulnerabilidad permitió a los hackers insertar código malicioso en los sitios que utilizaban el plugin, lo que a su vez permitió a los hackers infectar los sitios con malware y utilizarlos para distribuir malware a otros sitios y usuarios. La volnerabilidad les permitió instalar software malicioso y robar información confidencial. El ataque afectó a más de 100,000 sitios de WordPress en todo el mundo y causó una gran cantidad de daños y pérdidas económicas.

El caso de Simple Social Buttons

Un ataque organizado reciente a sitios de WordPress a través de plugins ocurrió en agosto de 2021. Este ataque aprovechó una vulnerabilidad en el plugin «Simple Social Buttons», que permite a los sitios de WordPress agregar botones de redes sociales a sus páginas. La vulnerabilidad permitió a los hackers insertar código malicioso en los sitios que utilizaban el plugin.

El ataque afectó a miles de sitios de WordPress en todo el mundo y se utilizó para instalar software malicioso y robar información confidencial, incluidas contraseñas y información bancaria. Al igual que en el caso anterior, muchos de los sitios afectados no habían actualizado el plugin a la última versión, lo que permitió a los hackers aprovechar la vulnerabilidad.

Cambio climático

Un caso curioso de ataque a WordPress ocurrió en diciembre de 2019. Un grupo de hackers atacó varios sitios de WordPress y los modificó para mostrar un mensaje de advertencia sobre el cambio climático. En lugar de robar información o instalar malware, los hackers simplemente modificaron la apariencia de los sitios para mostrar su mensaje.

El ataque afectó a varios sitios en todo el mundo y causó sorpresa y confusión entre los propietarios de los sitios y los visitantes. Aunque los sitios no sufrieron daños permanentes, el ataque demostró que los hackers pueden utilizar la vulnerabilidad de los sitios de WordPress para hacer una declaración política o social en lugar de causar daño.

Estos casos demuestran una vez más la importancia de mantener actualizados los plugins y sistemas de tu sitio y de realizar copias de seguridad regulares. Al mantener tu sitio actualizado y seguro, podrás proteger tus datos y los de tus usuarios de posibles ataques y malware.

Nuevos Hostings Cloud

Nous Hostings Cloud

La seguretat el primer

 

Els nous serveis d’ARCAPOLIS de hosting Cloud inclouen:
  • Plataforma Cloud d’alt rendiment amb recursos garantitzats.
  • Infraestructura a Google Cloud (a 2 centres de dades a triar). En hostings cloud, la disponibilitat i confiabilitat és molt millor que en un compartit, ja que hi ha redundancia addicional. Si una màquina cau, la resta de màquines es fa càrrec de la càrrega. Aconsellem el primer a Madrid i el segon a Eemhaven (NL), Londres o Frankfurt.
  • IP dedicada.
  • WAF propi (firewall d’aplicacions web intel·ligent).
  • Sistema de prevenció de bots basat en IA de Google per evitar atacs de força bruta.
  • Hosting premium gestionat i monitoritzat 24 hores.
  • Suport i manteniment web ARCAPOLIS (servei tècnic especialitzat amb més de 20 anys d’experiència en desenvolupament i disseny web).
  • Updates periòdics regulars i crítics del tema, plugins i nucli de WP.
  • Panell de control pel client.
  • Servei de hosting i correu en màquines independents.
  • Servei de manteniment gestionat de WordPress i WooCommerce (si la web ha estat desenvolupada per ARCAPOLIS).
  • Protocol DSNSSEC en tots els dominis.
  • Inclou instal·lació i configuració de plugins de Seguretat i optimització de WordPress.
  • Escalat automàtic (afegeix CPU i RAM automàticament en pics inesperats que eviten errors, pèrdua de tràfic i temps d’inactivitat per saturació).
  • Còpies de seguretat diàries (30 dies).
  • Còpies de seguretat manuals a demanda.
  • Staging, Git y WP-CLI (eines per fer desenvolupaments paral·lels sense tocar la web original).
  • Configuració i administració de la caché dinàmica al WordPress. En part configurada manualment, en part automàticament.
  • CDN inclòs (Cloudflare) per filtrar els atacs a la web i millorar la velocitat de càrrega.
  • Certificat digital SSL inclòs (Let’s Encrypt).
  • Energia lliure d’emissions de carboni ininterrompudament.

 

Opcional:
  • Site Scanner Premium
  • CDN Premium Cloudflare
  • Plugin Firewall per WP premium
  • Còpies de seguretat a AWS, Google Drive o local

Seguridad web (III)

Seguridad Web (I)

Seguridad Web (II)

Seguridad Web (III)

 

Recomendaciones:

– Ojo con los plugins homebrew porque contienen comunmente código malicioso
– Instalar un plugin de control de comentarios spam (Akismet)
– Usar un sistema de doble autenticación (Latch, Google Authenticator, UNLOQ)
– Nunca crear posts con el usuario Administrador.
– Crear un usuario Author para crearlos.
– Nunca contener el nombre de usuario (login) en los datos de usuario.
– Desinstalar plugins y temas inactivos para evitar vulnerabilidades adicionales.

Durante los últimos años han habido grandes empresas las cuales han visto comprometidos datos sensibles de sus usuarios, pudiendo circular tales bases de datos por la red. Por ejemplo, empresas conocidas són: Adobe, LinkedIn, Avast, Bitly, BitTorrent, uTorrent, Vodafone, Brazzers, CD Projekt RED, Comcast, Dropbox, Minecraft, MySpace, VK o Yahoo, entre muchas otras. Si utilizas tus contraseña en más de un lugar, asegúrate que no la compartes con ninguno de estos sitios. Puedes saber si tus datos han estado alguna vez comprometidos con esta herramienta (‘;–have i been pwned?).

Y para finalizar, queremos hacer hincapié en forzar contraseñas seguras y recordables. Éstas podrían ser una combinación de 12 caracteres (como mínimo) entre números, mayúsculas, minúsculas y caracteres especiales (#$&) compuesto de palabras que no aparezcan en el diccionario. Y si además la recordamos, mejor! Esta página nos ayudará a crearla, a la vez que nos indica cuánto tiempo se tarda en desencriptarla según los  caracteres que usamos.

 

Seguridad web (II)

Seguridad Web (I)

Seguridad Web (II)

Seguridad Web (III)

 

6.- Monitorización 24 horas. Conviene monitorizar la web tanto vía servidor como vía software (Manage WP) para que, cuando caiga o tenga alguna vulnerabilidad de seguridad, el sistema nos avise por mail.

7.- Proteger los sospechosos habituales. Hay que fortificar ciertos archivos críticos, carpetas y parámetros, especialmente antes de subir a producción y hay otros archivos que hay que bloquear el acceso vía .htaccess. (SAR One Click Security, WPHardening)

– Archivos críticos: wp-config.php, .htaccess, xmlrpc.php
– Modificar permisos en los archivos a 644 y en directorios a 755
– Modificar los prefijos de la base de datos de “wp_” por otras letras, por ejemplo “cool_”
– Borrar el archivo dominio.com/readme.html para evitar decir nuestra versión de WordPress
– De igual manera, eliminar las cabeceras que indican las versiones de Core y componentes
– Cambiar el usuario ‘admin’ o degradarlo a rol Suscriptor
– Cambiar ruta de acceso al panel de control e inhabilitar la antigua ruta

8.- Tener un buen hosting actualizado. Una tecnología más avanzada incrementa la seguridad a la par que la velocidad y ayuda a reducir el coste cononómico. Por ejemplo tener al día el PHP7, HHVM o cPanel importante para prevenir vulnerabilidades. Una vez tenemos una conexión cifrada SSL, el uso HTTP/2 acelera significativamente la carga de sitios web. Por cierto, no dudes entre discos con o sin SSD para webs en producción pues ahorran tiempo en cada acción que hacemos.

9.- Usar 3 capas de seguridad. La primera consiste en un servidor proxy o CDN: Para evitar picos, minimizar los efectos de ataques, etc. Además nos dará un extra de velocidad por su cacheo (CloudFlare).
La segunda es el Firewall para prevenir directamente el hackeo o la fuerza bruta (ataques DDoS). Muchos CDN y plugins ya ofrecen esta opción integrada (CloudFlare, Sitelock, WordFence). Y la tercera capa es un Plugin de seguridad: Estos plugins són como navajas multiusos de prevención y control pero consumen muchos recursos del servidor. Si la integridad de nuestra web no está afectada es mejor limitar este tipo de plugins. Sirven para controlar ficheros Core modificados, ver logins no deseados, escanear el servidor o configuraciones preventivas de ataques (All i One WP, Sucuri, WordFence, iThemes Security).

10.- Usar un certificado digital SSL. Tener una web que empieza por “https” es señal de confianza. Una web con un certificado digital encripta la comunicación entre cliente y servidor previniendo el pishing (suplantación de identidad) y certifica que nuestro dominio es seguro. Especial atención al SEO, pues añadir https cambia los permalinks.

11.- DNSSEC añade una capa de seguridad adicional al protocolo DNS que permite comprobar la integridad y autenticidad de los datos. Gracias a estas extensiones de seguridad se pueden prevenir ataques de suplantación y falsificación.

 

Seguridad web (I)

Uno de los desafíos que nos encontramos en nuestro día a día es mantener nuestras páginas web seguras. No nos imaginamos un comercio electrónico “no seguro” pero cada página web es única y está formada de muchos componentes que evolucionan constantemente, cada uno con entidad propia. Sobre mantener este ecosistema en buena forma y de cómo nos gusta hacerlo en ARCAPOLIS hablamos en este artículo de Seguridad web dividido en tres partes:

Seguridad Web (I)

Seguridad Web (II)

Seguridad Web (III)

 

Hay dos tipos de empresas: las infectadas y las que no saben que están infectadas. Lo que puede ser seguro hoy mañana no lo será así que debemos tener la web siempre actualizada y estar informados para anticiparse a los problemas.

1.- Hacer staging desde servidor. El staging permite replicar una web tantas veces como queramos y tener tales clones cerrados al público. Eso nos permite tener la misma web en distintos puntos temporales, con alguno de ellos siempre actualizado, siempre a la última. Desde él podremos hacer pruebas o añadir funcionalidades antes de aplicarlas a la web final. Podemos tener el clon en un subdominio no indexable por los buscadores y con el contenido privado, sólo accesible por contraseña.

2.- Hacer cópias de seguridad periódicas vía software. Hacer copias vía plugin para asegurarnos hacer una restauración total en minutos (Duplicator Pro). La idea es tener por un lado varias copias de la base de datos y por otro lado de archivos web para cifrarlos y guardarlos fuera del servidor de producción. Por ejemplo en un sistema de almacenamiento cloud que cumpla la RGPD y la Directiva de la Protección de Datos de la UE (Google Drive, Dropbox).

3.- Hacer cópias de seguridad periódicas vía servidor. Nunca te fíes de un solo sistema de copias de seguridad. En el servidor debe haber un sistema de backup alternativo para retroceder a cualquier punto de restauración de, al menos, los últimos 30 días.

4.- Tener un solo proveedor de servicios web para simplificar processos y resolver incidencias con un solo golpe de teléfono o de mail. La programación, diseño, el hosting, dominio, gestión de DNSs y todo lo referente a la web. Esto elimina intermediarios, reduce los tiempos de reacción y ayuda a la toma de decisiones. En ocasiones la comunicación entre proveedores puede no fluir y el cliente, quien tiene una visión global, no tiene por qué entender todas las visicitudes de una incidencia. Información es poder!

5.- Tener tu réplica web actualizada. No hay que actualizar siempre, hay que comprobar que la versión es estable. Primero hay que actualizar los plugins y luego los componentes núcleo de la web. De este modo nos aseguramos la retrocompatibilidad de los componentes antes de actualizar el Core. En ARCAPOLIS tenemos las webs en distintos puntos de actualización para que las actualizaciones sean graduales y seguras.