Revisión del plugin Ultimate Security Checker para WP

Chris Neumann y Eugene Pyvovarov son los autores de unos de los plugins de seguridad que más se van a descargar para este 2012. Ultimate Security Checker es un plugin recomendado para todo aquel usuario que le guste, además de la automatización y la instalación fácil, modificar personalmente permisos y códigos.

Ultimate Security Checker

El plugin es gratuito y está compuesto de 4 partes: Test, Análisis de Archivos, Resolución de Problemas y Configuración. Vamos a ver de qué se trata cada uno de ellos:

Run the Tests

Actualmente, el test está basado en una puntuación de seguridad, donde 115 es el valor máximo que se pretende alcanzar, y que como mínimo, un blog debe superar almenos los 90 puntos para poseer una seguridad moderada. Para cada parámetro analizado, el plugin te dará las 4 valoraciones posibles (de más seguro a más vulnerable): A,B,C y D.

Al ejecutarse, se analizan 6 parámetros:

  • Chequeo de actualizaciones: se revisan posibles actualizaciones que tengamos pendientes, priorizando en las del sistema.
  • Chequeo de los archivos de configuración: se revisa la localización de los archivos, el grado de protección de éstos, archivos vulnerables y la posibilidad que tiene nuestro wordpress a ser atacado por código malicioso.

Ultimate Security Chcecker - Test Results

  • Chequeo de permisos: se revisan los permisos de carpetas y archivos.
  • Chequeo de la base de datos: lo primero que analiza es el tema del prefijo y también detecta posible código o scripts maliciosos que puedan ser potencialmente peligrosos, o bien, que estén alterando la db. Te los muestra en forma de report.
  • Chequeo de la configuración del servidor: se revisa las partes fundamentales que pueden ocasionar debilidades en el alojamiento del blog.

Files Analysis

Se realiza un análisis completo de todos los ficheros que componen el blog, y se hace hincapié en los que representan más peligro como son los del theme, ya que suelen ser las puertas de entrada para explotar cientos de vulnerabilidades.

Wordpress File analysis

Ultimate Security Checker dispone de una base de datos que se actualiza frecuentemente (dispone de un servicio premium más avanzado y con un periodicidad diaria para profesionales en UltimateBlogSecurity.com) en busca de los bugs y vulnerabilidades más frecuentes que han hecho su aparición en wordpress.

La herramienta, aunque poderosa, te mostrará muchísimos falsos positivos ya que detecta todas las llamadas internas que hacen los archivos php y que suelen tener una función correcta que no alteran la seguridad.

detectar base64 en wordpress

Esta parte es perfecta para detectar con rapidez aquellos themes que poseen código obfuscado con Base64. Enseguida, puedes localizarlos y pasarlos por un decoder para saber qué es lo que hacen realmente.

How To Fix (o cómo solucionar los problemas)

Esta es la parte más interesante ya que nos muestra la lista de los problemas junto con la solución correspondiente. Son 14 problemas que ayudan a blindar wordpress decentemente:

  1. Actualizaciones WordPress, Plugins y themes
  2. Cómo eliminar ficheros innecesarios
  3. Seguridad del archivos wp-config.php
  4. Edición de variables y keys del archivo wp-config.php
  5. Eliminar y ocultar mensajes de error y logins fallidos
  6. Eliminar la versión de WordPress
  7. Asegurar el blog de posibles URL requests
  8. Cambiar los permisos del archivo de configuración
  9. Cambiar los permisos del archivo htaccess
  10. Cambiar los permisos de las carpetas de WP
  11. Realizar cambios en la base de datos
  12. Indexación y acceso al directorio Uploads
  13. Ocultar la información sobre versiones y programas que muestra el servidor
  14. Mantener la seguridad del blog de forma constante

Llama la atención una de las soluciones más rápidas para las BAD REQUESTS que nos sugieren, y es la elaboración de un simple plugin para wordpress.

Se trata de crear un archivo de texto nuevo y añadir el siguiente código:

<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
  strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
  strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
  strpos($_SERVER['REQUEST_URI'], "base64")) 
  {
    @header("HTTP/1.1 400 Bad Request");
    @header("Status: 400 Bad Request");
    @header("Connection: Close");
    @exit;
  }
?>
									

Luego, salvas el documento y lo subes al directorio plugins de wordpress. Puedes activarlo desde el panel de administración y ya lo tendrás funcionando.

Si tienes una extensa red de blogs o quieres aportar valor añadido a tu empresa y a tus clientes ofreciéndoles actualizaciones de seguridad sin tener que revisarlos tú mismo, puedes pagar un servicio de $65 USD mensuales (sitios ilimitados, o hasta dónde ellos tengan el límite, claro).

Settings (Configuración interna del plugin)

En este apartado solamente contiene 3 opciones: la primera es interna y es sobre el logo de facebook. Las otras dos son: recordatorio para hacer de nuevo otra revisión (2 semanas, 1 mes o Nunca) y ruta dónde está nuestro wordpress instalado. No se puede hacer nada más. La verdad es que debería extenderse un poco más, ya que queda un poco pobre para el calibre de este plugin.

Sin duda, Ultimate Security Checker es una opción a tener en cuenta tras la desactualización de algunos plugins de seguridad de los que ya hicimos revisión hace 2 años. De momento, está muy centrado en wordpress por lo que no nos protegerá frente las vulnerabilidades que tengamos en el host, ya que aquí se requieren otro tipo de herramientas. Quizás, te aconseja algunas modificaciones en .htacces, pero por ejemplo, no es tan poderoso como las opciones que ofrece BulletProof Security.

Descagar Ultimate Security Checker

Un comentario

  1. Manuel 11/08/2012

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *