3 plugins para la seguridad de los plugins de WordPress

WordPress es la plataforma de blogging más completa del mundo gracias a su ecosistema de plugins. No hay otro software de código abierto de publicación en línea tan extensible y democrático. Como contracara, esta apertura hacia aplicaciones externas deja entrar muchas vulnerabilidades. El mayor número de infecciones se debe a la falta de seguridad de los plugins de WordPress, según todas las estadísticas.

Tres plugins para la seguridad de los plugins de WordPress

Y como gran parte de ellos son absolutamente necesarios, eliminarlos no es una opción. Por eso, en esta segunda parte de 3 plugins gratis para la seguridad de WordPress, sugiero la inclusión de otros tres que sirven para asegurar a todos los demás.

 

Balabolka ¿Prefieres escuchar este artículo? Dale play (powered by Balabolka)

 

Seguridad de los plugins de WordPress con Plugin Vulnerabilities

Como su nombre lo indica, este plugin chequea los ya instalados con una base de datos de evidencias.

Estos datos forenses son mantenidos por la empresa de seguridad que hace el plugin, a partir de la desinfecciòn de websites hackeados.

Es freemium. La diferencia entre la versión gratuita y la comercial es que, en el primer caso, no se incluyen las incidencias descubiertas a partir de la investigación de primera mano.

No requiere de configuración. Después de  activarlo se lo puede acceder vía el enlace Plugins Vulnerabilities bajo la sección de Plugins en el Dashboard.

Cómo funciona

Si una incidencia se detecta en las versiones actualmente instaladas, aparecerá una alerta en la página de los plugins propiamente dichos. Si WordPress puede enviar emails al administrador, éste recibirá uno también con esta información.

En todo caso, Plugins Vulnerabilities mantendrá un historial de todas las versiones.

Seguridad de los plugins de WordPress con Plugin Vulnerabilities
Seguridad de los plugins de WordPress con Plugin Vulnerabilities, en este caso mostrando el historial de un plugin.

Si una intrusión es exitosa, esta data puede servir para determinar cuál fue la causa de la infección.

A veces no es tan fácil descubrir cómo ingresó el malware, que suele ser recurrente. Saber cuál es la incidencia permite definir los pasos a seguir, una vez establecido el problema.

Plugin Vulnerabilities no funciona en la nube. La base de datos se incluye en la instalación. Hay que mantenerla siempre actualizada para tener las últimas firmas.

La versión comercial puede obtenerse al comprar una suscripción de Plugin Vulnerabilities.com, en cuyo sitio también se publican reseñas de plugins de seguridad.

Es desarrollado por White Fir Design LLC.

Más seguridad de los plugins de WordPress con No Longer In Directory

Cuando el repositorio de WordPress retira un plugin, hay varias buenas razones. La menor de las que suele ser una falta de actualización por más de dos años.

Otras pueden incluir actos de mala fe como backdoors, incumplimiento de la licencia GPL o ausencia prolongada de respuesta ante un problema.

A veces esto sucede por pedido del mismo autor, o este es el mismo que el de otras aplicaciones quitadas. Hay desarrolladores que también lo descontinúan con objetivos comerciales, para relanzarlo con otro nombre.

El asunto es que no hay forma de saber desde el Dashboard cuándo sucede esto. Es raro que pase con plugins con una gran comunidad de usuarios, pero no tanto en el caso contrario.

El hecho de que la URL oficial del repositorio de WordPress no exista más es motivo suficiente para desinstalarlo lo antes posible. Si se trata de uno muy utilizado, será conveniente realizar un backup antes. De seguro existe una alternativa viable.

No longer… se acopla al menú de Plugins en la administración y realiza dos tareas:

  1. Determina si el repositorio de WordPress ha removido alguno de los plugins instalados, tratando de evitar falsos positivos. Que son aquellos que vuelven a estar en línea.
  2. Chequea las fechas de última actualización y detecta aquellos plugins que no hayan tenido una nueva versión durante los últimos dos años.
Seguridad de los plugins de WordPress con No longer In Directory
Seguridad de los plugins de WordPress con No Longer In Directory, detectando la remoción de un plugin instalado

No longer in directory es también desarrollado por White Fir Design LLC.

Seguridad de los plugins de WordPress con Plugins Garbage Collector

¿Decepcionado con un plugin? Suele pasar. Hay que borrarlo.

El inconveniente con su eliminación es que, si no incluye una rutina de desintalación, en la base de datos permanecerán sus tablas. Que ahora son completamente inútiles.

Como la mayoría de las veces hace falta contar con una manera permanente de escribir información, las aplicaciones las crean al momento de activarse pero no las borran al salir. También puede darse el caso de algún error fatal que provoca la interrupción automática de cualquier ejecución de código.

Plugins Garbage Collector es un escáner de la base que detecta las tablas no pertenecientes al núcleo. Muchas veces también indica a qué aplicación pueden llegar a pertenecer.

Esta información puede ser imprecisa, debido a la cantidad de plugins sin una gran cantidad de usuarios. Por esta razón hay que tener mucha cautela. Si ésta no se puede establecer, es mejor no borrarlas.

De suprimir campos en uso por algún plugin (que jerárquicamente tiene los mismos privilegios que el núcleo), puede dejar de funcionar abruptamente o algo peor.

Pero lo más importante, con respecto a la seguridad de los plugins de WordPress, es que Plugins Garbage Collector evita que en el servidor SQL queden superficies vulnerables. Por ejemplo, restos de una instalación con agujeros reportados y sin parches disponibles.

Plugins Garbage Collector es desarrollado por Vladimir Garagulya.

Bonus track: seguridad para el núcleo de WordPress con Disable REST API

La REST API es un proyecto en continuo desarrollo vía el plugin JSON REST API, incorporado al núcleo de WordPress desde la versión 4.7.

Se trata de una modernización del back-end para adaptarlo a los teléfonos móviles y la nube.

Mientras sus características son probadas por la comunidad, Disable REST API permite a los admins deshabilitarla en caso de que no sea necesaria, para mantener segura la instalación (ya que viene activada por defecto).

Puntos de acceso de la Rest API
Puntos de acceso de la Rest API. Fuente: Wordfence.

Ésta es la definición del blog de Wordfence:

“La API es poderosa y permite a WordPress transformarse de un simple sistema de gestión de contenidos a una plataforma de aplicaciones. Lo que esto significa es que los desarolladores pueden escribirlas para que se ejecuten en cualquier lado y se comuniquen con WordPress. Así que en el futuro se podrá publicar contenido y administrar en la nube, desde el teléfono, tableta o computadora de escritorio.”

La explicación técnica

El 1 de febrero de 2017, los desarrolladores de WordPress publicaron una vulnerabilidad secreta. Según la web oficial:

“WordPress 4.7 y 4.7.1 tienen un bug del tipo Unauthenticated Privilege Escalation en un endpoint de contenido REST API.

El agujero fue explotado activamente (estadísticas).

La lista de usuarios del sistema está disponible en /wp-json/wp/v2/users.  Allí hay un objeto JSON con datos de usuario tales como nombre, alias y gravatar. Una buena forma de comprobar que DISABLE REST API esté funcionando bien es cargar esa dirección y ver que sólo se puede acceder a ella autenticándose.

DISABLE REST API es desarrollado por Dave McHale.

¡Si esta información te resulta útil, tus comentarios y sugerencias son bienvenidos!

24.04.2018 (11.07.2018)

Suscribite para recibir lo último en Design & WordPress

Dejá un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Do NOT follow this link or you will be banned from the site!