Revizie del plugin Ultimate Securitate Checker alin WP

Chris Neumann y Eugene Pyvovarov son los autores de unos de los plugins de seguridad que más se van a descargar para este 2012. Ultimate Security Checker es un plugin recomendado para todo aquel usuario que le guste, adăugarea de automatizare și instalare ușoară, modifica personal permisiuni și coduri.

El plugin es gratuito y está compuesto de 4 părţi: Test, Análisis de Archivos, Resolución de Problemas y Configuración. Vamos a ver de qué se trata cada uno de ellos:

Run the Tests

Astăzi, el test está basado en una puntuación de seguridad, donde 115 es el valor máximo que se pretende alcanzar, y que como mínimo, un blog debe superar almenos los 90 puntos para poseer una seguridad moderada. Para cada parámetro analizado, el plugin te dará las 4 valoraciones posibles (de más seguro a más vulnerable): A,B,C y D.

Al ejecutarse, se analizan 6 parámetros:

• Chequeo de actualizaciones: se revisan posibles actualizaciones que tengamos pendientes, priorizando en las del sistema.

• Chequeo de los archivos de configuración: se revisa la localización de los archivos, el grado de protección de éstos, archivos vulnerables y la posibilidad que tiene nuestro wordpress a ser atacado por código malicioso.

• Chequeo de permisos: se revisan los permisos de carpetas y archivos.

• Chequeo de la base de datos: lo primero que analiza es el tema del prefijo y también detecta posible código o scripts maliciosos que puedan ser potencialmente peligrosos, sau, que estén alterando la db. Te los muestra en forma de report.

• Chequeo de la configuración del servidor: se revisa las partes fundamentales que pueden ocasionar debilidades en el alojamiento del blog.

Files Analysis

Se realiza un análisis completo de todos los ficheros que componen el blog, y se hace hincapié en los que representan más peligro como son los del temă, ya que suelen ser las puertas de entrada para explotar cientos de vulnerabilidades.

Ultimate Security Checker dispone de una base de datos que se actualiza frecuentemente (dispone de un servicio premium más avanzado y con un periodicidad diaria para profesionales en UltimateBlogSecurity.com) en busca de los bugs y vulnerabilidades más frecuentes que han hecho su aparición en wordpress.

La herramienta, aunque poderosa, te mostrará muchísimos fals pozitive ya que detecta todas las llamadas internas que hacen los archivos php y que suelen tener una función correcta que no alteran la seguridad.

Esta parte es perfecta para detectar con rapidez aquellos themes que poseen código obfuscado con Base64. Enseguida, puedes localizarlos y pasarlos por un decoder para saber qué es lo que hacen realmente.

How To Fix (o cómo solucionar los problemas)

Esta es la parte más interesante ya que nos muestra la lista de los problemas junto con la solución correspondiente. Son 14 problemas que ayudan a blindar wordpress decentemente:

1. Actualizaciones WordPress, Plugins y themes
2. Cómo eliminar ficheros innecesarios
3. Seguridad del archivos wp-config.php
4. Edición de variables y keys del archivo wp-config.php
5. Eliminar y ocultar mensajes de error y logins fallidos
6. Eliminar la versión de WordPress
7. Asegurar el blog de posibles URL requests
8. Cambiar los permisos del archivo de configuración
9. Cambiar los permisos del archivo htaccess
10. Cambiar los permisos de las carpetas de WP
11. Realizar cambios en la base de datos
12. Indexación y acceso al directorio Uploads
13. Ocultar la información sobre versiones y programas que muestra el servidor
14. Mantener la seguridad del blog de forma constante

Llama la atención una de las soluciones más rápidas para las BAD REQUESTS que nos sugieren, y es la elaboración de un simple plugin para wordpress.

Se trata de crear un archivo de texto nuevo y añadir el siguiente código:

<?php
/*
Plugin Name: Block Bad Queries
Plugin URI: http://perishablepress.com
Description: Protect WordPress Against Malicious URL Requests
Author URI: http://perishablepress.com/
Author: Perishable Press
Version: 1.0
*/
if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
  strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
  strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
  strpos($_SERVER['REQUEST_URI'], "base64")) 
  {
    @header("HTTP/1.1 400 Bad Request");
    @header("Status: 400 Bad Request");
    @header("Connection: Close");
    @exit;
  }
?>
									

Apoi, salvas el documento y lo subes al directorio plugins WordPress. Puedes activarlo desde el panel de administración y ya lo tendrás funcionando.

Si tienes una extensa red de blogs o quieres aportar valor añadido a tu empresa y a tus clientes ofreciéndoles actualizaciones de seguridad sin tener que revisarlos tú mismo, puedes pagar un servicio de $65 USD mensuales (sitios ilimitados, o hasta dónde ellos tengan el límite, claro).

Setări (Configuración interna del plugin)

En este apartado solamente contiene 3 opciones: la primera es interna y es sobre el logo de facebook. Las otras dos son: recordatorio para hacer de nuevo otra revisión (2 semanas, 1 mes o Nunca) şi ruta dónde está nuestro wordpress instalado. No se puede hacer nada más. La verdad es que debería extenderse un poco más, ya que queda un poco pobre para el calibre de este plugin.

Sin duda, Ultimate Security Checker es una opción a tener en cuenta tras la desactualización de algunos plugins de seguridad de los que ya hicimos revisión hace 2 años. De momento, está muy centrado en wordpress por lo que no nos protegerá frente las vulnerabilidades que tengamos en el host, ya que aquí se requieren otro tipo de herramientas. Quizás, te aconseja algunas modificaciones en .htacces, pero por ejemplo, no es tan poderoso como las opciones que ofrece Securitate impenetrabilă.

Descagar Ultimate Security Checker