Blog de Miguel Angel

Lo que se me ocurra cuando no se te ocurra a ti…

Archivos en la Categoría: Varios

Seguridad en WordPress

Muy buenas a todos, voy a crear esta entrada para que sirva como índice de seguridad para WordPress, siempre que queramos dejar una instalación de wordpress totalmente segura y reforzar de esa forma las capas de seguridad que posee ya de por sí este framework de trabajo. Ya sea por que estemos controlando una tienda online o base de datos sensible, por ejemplo, o por que queramos tener la máxima seguridad en nuestro sistema, seguro que encontraremos interesantes algunos de los puntos que se van a detallar a continuación.
Comencemos!

Antes de realizar ninguna de las acciones que muestro a continuación es importante que realices una copia de seguridad de todo el árbol de archivos de tu página web y de la base de datos, la base de datos compímela en .zip o .gzip, no tienen por que pasar nada pero puede haber incompatibilidades con plugins o themes y de esa forma siempre vamos a poder volver al punto de partida si esto ocurre.

Las cifras de WordPress en 2013

uso-cmsEl fundador del proyecto WordPress hacía públicas las cifras a finales del 2013 sobre el uso y expansión del mismo y la verdad que son totalmente abrumadoras, más de 69Millones de web’s en todo el mundo funcionan con wordpress, lo que supone el 19% del total de páginas del planeta, con más de 10.000 temas disponibles y más de 25.000 plugins en funcionamiento y a nuestra disposición.

Esta posición de clara ventaja con respecto al resto hacen que wordpress sea el CMS con más apoyo a la comunidad del momento, con miles de desarrolladores trabajando en su código y mejoras pero también tiene un lado negativo, es uno de los más atacado por hackers y lammers, al ser como hemos dicho uno de los más usados.

Bien, existen formas para poner trabas a esos posibles malintencionados visitantes, o por lo menos para complicarles las cosas todo lo que podamos como vamos a ver a continuación.

Riesgos potenciales en WordPress


A diferencia de lo que pueda parecer, lo que hace más vulnerable a un sistema wordpress por lo general suelen ser factores ajenos al propio wordpress, por ejemplo.
La seguridad y calidad del hospedaje o servidor en el que esté instalado representa un riesgo de potencial magnitud, y es el principal agujero por el que se van a poder colar en nuestro sistema, por ese motivo serán siempre más fiables los hospedajes de pago con uno niveles de seguridad aceptables que los gratuitos.
Otro punto muy importante será tener el sistema, themes y plugins siempre actualizados ya que cada nueva vulnerabilidad que se descubre por lo general se corrige con una actualización, si alguien conoce las vulnerabilidades de alguna versión en concreto de estos elementos y estamos usando esa misma versión va a tener las puertas abiertas y es algo que debemos controlar.
Otro riesgo potencial sería el de la inyección de código fuente en nuestro sistema a través de alguno de los formularios existentes en el mismo, esto se puede tapar en gran medida haciendo prácticamente imposible la inyección de código como veremos después.
Por último, el acceso al sistema por medio de ataques de fuerza bruta será otro punto a vigilar, estos ataques son por medio de repeticiones e intentos constantes de acceder con nuestra contraseña, es por ello que esta deberá ser siempre lo más robusta posible reduciendo así la posibilidad de que el atacante la descubra.

El prefijo de las tablas en WordPress


Lo primero que hará un atacante para ver si puede manipular nuestro sistema será ver si conoce el prefijo de las tablas de mysql que tenemos instaladas, durante la instalación de WP este nos brinda la posibilidad de cambiar ese prefijo en el archivo wp-config.php concretamente en la línea de código nº62
$table_prefix  = ‘wp_’;
Ahí es importante que cambiemos ese código por algo como lo siguiente

$table_prefix  = ‘wp_Wb1’;
O lo que queramos después del wp_ o incluso sin el wp_ podemos poner un prefijo cualquiera por ejemplo:

$table_prefix  = ‘Wb1_’;
De esa forma será más difícil conocer el nombre de nuestras tablas en mysql y en consecuencia de poder inyectar código en nuestra base de datos o incluso de manipular alguno de los registros.

Si ya teníamos instalado el sistema y no cambiamos el prefijo lo podemos cambiar de forma sencilla con este plugin:
https://wordpress.org/plugins/db-prefix-change/

Tras cambiar el prefijo podemos desinstalar y borrar el plugin para que quede totalmente sellado y no se pueda ver lo que hemos hecho.

Las claves de encriptación del sistema WP


Del mismo modo, cuando realicemos una instalación nueva de WP será muy importante cambiar las claves de encriptación del mismo para que sea prácticamente imposible que puedan encriptar las mismas contraseñas y datos sensibles que estemos usando.
Esto lo podemos hacer antes de realizar la instalación en el archivo wp-config.php, en la línea nº 45 vemos que tenemos un comentario que dice:
* Claves únicas de autentificación.
Bien las líneas de código que se encuentran un poco más abajo son precísamente esas claves:

define('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.

Donde dice ‘pon aquí tu frase aleatoria’ es donde debemos colocar los caracteres que formen cada una de las llaves de encriptación, WP nos ofrece la posibilidad de generar estas de forma automática desde Internet siendo mucho más seguras al estar formadas por números, caracteres y símbolos, desde la url
https://api.wordpress.org/secret-key/1.1/salt/
Podemos generarlas, si entramos vemos que lo único que aparece en esa pantalla es lo siguiente:

define('AUTH_KEY',         'S:RO+p?Vx4r`co} TdK`(!HZ<+O_4EtanF0d_o/*4%-N-!44rgkr_&se/}W`5EU>');
define('SECURE_AUTH_KEY',  'aN]s=3F1{~!5=zeza#&):oJZM+_KVNmI&6sD!1&||^QD)g~@S(b{N3t|}qIO+Bj-');
define('LOGGED_IN_KEY',    '&pao4+ nD()~lWANorO~|(mXS>UOirdxryrN+np{-vOs~< ,Z9bS?eH+H]aXu4@ ');
define('NONCE_KEY',        'z[vq.;Z,PB/1|#(Syw_:|O9h@q,BbatwFuyzz@b9QaO)ot:W@.GQ@D+ttb8{dokD');
define('AUTH_SALT',        'u]MTiVc6u}^b7QWlvlLk#T0R<,>f1MAdfJepd (p(1 j_|*h8B&zAPl.rbm|{etu');
define('SECURE_AUTH_SALT', '`YS*RQ33184I-~o>=_z9wSKLpOPz!ZB09!rm$F3MoxM[h+4/!S6]$; MEf,m.hD8');
define('LOGGED_IN_SALT',   'tV(*7pHiwW%Uu}uy4q:{Flylg47b}q&jFx{|#g-l7xcN0dcUrPTe{*J1$|!^NG-,');
define('NONCE_SALT',       '{~e9.eP}<fpLde|>`V;x.0K3Qf,>F+lCsE0@cF~heP9QP3C=ewp,/>PG4NkP;Y=!');

Basta con sustitutir unas por otras y ya lo tenemos.

Archivos innecesarios en WordPress que debes elimiar


Existen algunos archivos innecesarios que debemos eliminar tras una instalación de wordpress y después de alguna actualización del core del sistema, veamos cuales:

install.php
Este archivo que se encuentra en la carpeta de wordpress /NombreDeCarpetaDelHosting/wp-admin/ es el que usa el sistema cuando realiza una instalación nueva y cuando realiza actualizaciones, pero es importante que si por ejemplo el servidor de bases de datos se encuentra caído, el primer usuario que entre en la página va a tener a su alcance la interface de instalación de WP y podría causarnos algún problema si rellena todos los datos e intenta realizar la instalación de nuevo. Lo mejor es eliminarlo y proteger después las posibles nuevas creaciones del mismo.
Para eliminarlo basta con acceder a la carpeta y borrar el archivo /NombreDeCarpetaDelHosting/wp-admin/install.php, no hay ningún problema después para posibles actualizaciones lo que vamos a hacer en lugar de estar siempre entrando y borrándolo será protegerlo para que no lo pueda usar ningún visitante de la web.
Para protegerlo haremos lo siguiente, crearemos un archivo .htaccess con el siguiente código dentro de la carpeta /NombreDeCarpetaDelHosting/wp-admin/

<Files .htaccess>
order allow,deny
deny from all
</Files>

<Files install.php>
order allow,deny
deny from all
</Files>

De esa forma aunque se vuelva a crear no será accesible por nadie excepto por el propio servidor de datos.

wp-config.php y wp-config-sample.php
Los archivos de configuración de WP los puedes encontrar en la carpeta general de WP /NombreDeCarpetaDelHosting/ son unos de los más importantes, ya que contienen las claves de encriptación de nuestro sistema y las de conexión con la base de datos, de vital importancia que estos datos no puedan ser accesibles nada más que por el administrador y el propio sistema. El segundo wp-config-sample.php si está en el servidor lo mejor será borrarlo por si tiene los datos reales, no es necesario que esté allí, el primero wp-config.php no lo borraremos bajo ningún concepto, en su lugar protegeremos su acceso y restringiremos sus permisos de la siguiente manera.
Crearemos un archivo .htaccess en la carpeta general /NombreDeCarpetaDelHosting/ o, en caso de que este archivo ya exista incluiremos el siguiente código al final del mismo:

<Files .htaccess> 
order allow,deny deny from all 
</Files>

<Files wp-config.php>
order allow,deny
deny from all
</Files>

readme.html
Este archivo se encuentra en la carpeta raíz del sistema /NombreDeCarpetaDelHosting/ y es totalmente inecesario, es más lo único que podría hacer es mostrar a un posible atacante la versión de WP que tenemos instalado en nuestro sistema, algo que si podemos es mejor que tratemos de evitar, lo eliminaremos sin ningún problema

Protección de archivos y carpetas del sistema WP

Las carpetas y archivos del sistema también deben tener los permisos a nivel de servidor bien configurados, los permisos que debemos mirar son estos:

– Los permisos de la carpeta raíz o general de WordPress deben ser 0755

– Los permisos de archivos:

<<.htaccess>> 0644
<<.readme.html>> 0440 (aunque este archivo como hemos dicho lo mejor es borrarlo también)
<<wp-config.php>> 0644

– Los permisos de las carpetas del sistema:

<<wp-admin>> 0755
<<wp-content>> 0755
<<wp-includes>> 0755
<<wp-content/plugins>> 0755
<<wp-content/uploads>> 0755

Con estos permisos bien asignados estamos protegiendo de mejor manera nuestro sistema.

Roles de usuarios y usuario Super Admin


Es importante que sepamos cómo gestiona WP los permisos o roles de usuarios, en concreto existen cuatro tipos de usuarios en el sistema, cada uno con diferentes tipos de permisos:

Usuario Super Administrador
Este usuario por lo general suele ser el primero que se crea durante la instalación del sistema y es el que más permisos tiene dentro del mismo, tiene todos los permisos que existen, en consecuencia, es el que más tenemos que proteger y con el que más cuidado tenemos que tener.
Como primera medida de protección está la de poner un nombre de usuario específico y creado por nosotros mismos, no vale eso de llamarle por ejemplo admin ya que será muy obvio y nos podría dar problemas después.
Como segunda medida está la de poner una contraseña robusta para evitar ataques de fuerza bruta, una buena contraseña ha de estar formada por números, caracteres y si es posible algún signo.
También es interesante que en las opciones del perfil de usuarios marquemos como nombre visible el nombre y apellidos que hayamos puesto en el formulario, nunca el nombre de usuario que es el que suele dejar WP por defecto, si no lo cambiamos cuando comentemos algo o en el apartado autor de entrada se podrá ver el nombre de usuario y un atacante ya sabrá el 50% de nuestros datos de acceso al sistema. Para cambiar esto basta con ir a Usuarios > Mi perfil y cambiar donde dice:

WpSeguridadElBlogDeMiguelAngel

Administradores
Los usuarios administradores poseen prácticamente los mismos permisos que el SuperAdmin, por ello es preciso que sólo sean administradores aquellos usuarios que realmente puedan trabajar a nivel de programación y edición en la web, si por ejemplo damos de alta como administrador a un autor, este después será capaz de cambiar contraseñas y de administrar algunos puntos delicados del sistema, lo mejor es dar a cada usuario los permisos justos para evitar problemas innecesarios.

Editores
Los perfiles editores son muy interesantes, dado que van a poder controlar internamente los contenidos que muestra la web sin poder acceder a configuraciones o administración de la web, un usuario que no tenga que hacer cambios en diseño o programación pero que sí pueda borrar páginas o cambiar contenido de las mismas debería ser editor de la web.

Autores
Los autores van a tener los mismos permisos que los editores pero sólo en el contenido que hayan creado ellos mismos, no en el de los demás, y sólo en contenido relacionado con entradas o post, nunca en las páginas, enlaces, y demás contenido que puede mostrar WP.

Contribuidores
Los usuarios contribuidores bajo mi punto de vista no deberían existir, están ahí por si queremos dar la opción de que un usuario pueda leer entradas creadas por otro y editar estas entradas o borrarlas, nunca las podrán crear ellos mismos, en concreto los permisos que tendrán serán los de editar, borrar y leer entradas. Como digo es un perfil que no tiene mucho sentido.

Suscriptores
Por último el suscriptor, este perfil lo único que va a permitir es leer entradas o contenidos protegidos por login, es útil si por ejemplo tenemos contenido en la web que puede ser accedido sólo por usuarios que hayan hecho login, estos usuarios tendrán la opción de hacer login y ver los contenidos protegidos por el registro de usuarios, y nada más, no podrán ni crear contenidos y editarlos ni borrarlos.

Si queréis ver más sobre los permisos de usuarios os dejo este enlace en el que están detallados todos los permisos que posee cada tipo de perfil:
http://codex.wordpress.org/Roles_and_Capabilities

También existe un plugin muy útil para aún con los permisos que hemos visto que tienen los usuarios, poder jugar con más características o profundizar más en las capacidades que tendrá cada uno de ellos, yo en concreto lo utilizo mucho para por ejemplo aún siendo Editor del portal un usuario, que este no pueda crear nuevas categorías de post o no tenga acceso a los perfiles del resto de usuarios.
El plugn es Adminimize y aunque en principio pueda parecer que es muy complicado o extenso, si nos fijamos, veremos de forma clara qué es cada uno de los permisos y cómo concederlos o denegarlos, bastará con marcar o no la casilla en la columna del tipo de usuario que deseemos. Un apunte más, si desactivamos los permisos para los usuarios Administradores, estos desaparecerán para los administradores pero no para el SuperAdmin, de esa forma podemos cortar permisos de administradores sin que se pierdan con nuestro usuario SuperAdmin.

Protección de acceso al sistema y ruta de acceso


Atención, esta información sólo será útil en caso de que tu WP tenga el acceso básico que trae por defecto, si estás usando algún plugin como wp-mylogin o similares, o tu theme ya trae incorporado una interface de login personalizada deberás comprobar que los ajustes se adaptan a tu theme o plugins.

Protección de acceso al sistema
WP tiene dos detalles que corregir en cuanto a seguridad en el acceso al panel de administración o sistema de login, uno, el de protección de ese acceso al sistema, nos indica que por defecto, la información que nos muestra en el panel de login cuando marcamos mal algún dato, ya está indicando qué parte es la que está incorrecta.

Seguridad WordPress

Seguridad WordPress

A demás no limita de ninguna forma el número de intentos de login que un visitante puede realizar, esto para la protección de ataques por fuerza bruta se puede corregir de forma sencilla instalando y limitando esos accesos con el plugin Login lockdown, una vez instalado y activo podemos configurar estas opciones en Ajustes > Login LockDown.

WP LockDown

WP LockDown

Esa sería una buena configuración para tener ese bug corregido, el plugin no tiene archivo .po de traducciones y en caso de que algún aviso aparezca en inglés tendremos que traducir esos strings directamente desde el código fuente del archivo: WPContent/Plugns/login-lockdown/loginlockdown.php siempre y cuando tengamos conocimientos de php, el archivo tiene un código bastante sencillo.

Ocultación de ruta de acceso
Otra capa más de seguridad sería la de cambiar la ruta de acceso a nuestro sistema, siempre que está no esté ya personalizada en una url específica, para comprobar esto lo mejor es escribir directamente una de estas dos direcciones url:

http://www.tunombrededominio.es/wp-login
http://www.tunombrededominio.es/wp-admin

Si nos carga la página de login del sistema estaremos dando pistas sobre qué tipo de CMS estamos utilizando y qué página es la que tienen el formulario de entrada al panel de administración, ya que las rutas wp-login y wp-admin son conocidas por cualquier atacante que quiera probar si están disponibles.
Lo mejor para corregir esto es cambiar esas direcciones url por una personalizada por nosotros mismos, para ello una vez más utilizaremos la ayuda del plugin gratuito HC Custom WPAdmin URL

Tras instalarlo y activarlo iremos a Ajustes > Enlaces permanentes y en la casilla que pone:

WPAdminSlug

 

Escribiremos el slug para la url de acceso que queramos poner por ejemplo http://www.nombrededominio.es/acceso-seguro de esa forma no se podrá saber qué dirección url es la que da acceso al panel de login del sistema.

Borrar sistema y versión de WordPress de cara al visitante

Por otro lado es mejor que nadie sepa qué versión usamos de WP y si es posible que tampoco sepan ni siquiera que estamos usando WP para trabajar con los contenidos de nuestra página.
Un paso para ocultar estos datos ya lo hemos hecho borrando el archivo readme.html, pero si vemos el código fuente de la página de inicio por ejemplo encontraremos en el apartado <head> del documento dos líneas de código que muestran la versión de WP que se está usando en la página:

<meta name=”generatorcontent=”WordPress 4.0” />
 <meta name=”generatorcontent=”WooCommerce 2.2.8” />

Para evitar que se muestren estas metas podemos hacerlo introduciendo código php en el archivo functions.php de nuestro theme, para hacerlo abrimos el archivo NombreDeDominio/wp-content/themes/NombreDeNuestroTheme/functions.php y al final del mismo incluimos estas las siguientes líneas de código:

/*Mis Funciones*/
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'woocomerce_generator');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rds_link');

Con esto estaremos ocultando las versiones de WP y WooComerce (en caso de que estemos usando ese plugin de comercio electrónico) del código fuente de las páginas de nuestro dominio.

Proteger el listado de directorios

</span
Debemos evitar que un usuario / visitante pueda ver el listado de directorios dentro de nuestro dominio, esto es, evitar que puedan ver la configuración de carpetas y archivos que tiene nuestro dominio, WP ya trae una funcionalidad muy elegante y sencilla para poder evitar esto, si nos fijamos, siempre que una carpeta de nuestro directorio no contiene ningún archivo, WP inserta ahí un archivo index.php en blanco, de esta manera evita que ese directorio se pueda listar a través de un navegador o interface de comandos, no está demás echar un vistazo a las carpetas de plugins para ver si todos los directorios sin archivos (solo con carpetas) lo traen y en caso de que no esté crear nosotros un index.php en blanco para que cargue ese archivo y no los directorios si escriben la url del directorio en el navegador.

seguridadwp3

 

Una de las carpetas donde lo podemos incluir es en wp-content/languages y wp-content/uploads.

Otra acción que podemos realizar para evitar esto es incluir en el archivo .htaccess de la carpeta raíz del directorio el código

Options All -Indexes

En la parte inferior del mismo, también para poner un obstáculo más a la hora de poder listar el contenido de nuestras carpetas.

Archivo robots.txt de WordPress


Podemos crear un archivo robots.txt mucho más robusto y restrictivo si le incluimos los siguientes permisos para buscadores y arañas de Internet:

Se puede utilizar el plugin WP Robots TXT una vez esté instalado vamos a Ajustes > Lectura y vemos que nos ha creado un cuadro de texto llamado Robots Content, ahí podemos escribir lo siguiente:

User-agent: MSIECrawler
Disallow: /

User-agent: WebCopier
Disallow: /

User-agent: HTTrack
Disallow: /

User-agent: Microsoft.URL.Control
Disallow: /

User-agent: libwww
Disallow: /

User-agent: *
Disallow: /cgi-bin/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: /comments/
Disallow: /category/*/*
Disallow: */feed/
Disallow: */comments/
Disallow: /*?
Disallow: /wp-content/plugins/
Disallow: /wp-content/themes/
Disallow: /wp-includes/
Disallow: /wp-admin/
Disallow: /?s=
Disallow: /search
Disallow: /wp-
Disallow: /feed/
Disallow: /comments/feed
Disallow: */feed/$
Disallow: */feed/rss/$
Disallow: /trackback/
Disallow: */trackback/ $
Disallow: */*/feed/$
Disallow: */*/feed/rss/$
Disallow: */*/trackback/$
Disallow: */*/*/feed/$
Disallow: */*/*/feed/rss/$
Disallow: */*/*/trackback/$
Allow: /wp-content/uploads/

User-agent: noxtrumbot
Crawl-delay: 50

User-agent: msnbot
Crawl-delay: 30

User-agent: Slurp
Crawl-delay: 10

# Google Image
User-agent: Googlebot-Image
Disallow:
Allow: /*

# Google AdSense
User-agent: Mediapartners-Google*
Disallow:
Allow: /*

# Internet Archiver Wayback Machine
User-agent: ia_archiver
Disallow: /

# digg mirror
User-agent: duggmirror
Disallow: /
# Sitemap permitido, búsquedas no.
Sitemap: http://www.nombrededominio.com/sitemap_index.xml

Evitar la inyección de código SQL


Podemos evitar en parte la inyección de código en nuestra base de datos en gran medida de dos formas.

Mediante el archivo .htaccess de la carpeta raíz del directorio, escribiendo justo al final estas líneas de código:

# Inyecciones sql
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
RewriteCond %{QUERY_STRING} (;|<|>|’|”|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark) [NC,OR]
RewriteCond %{QUERY_STRING} \.\./\.\. [OR]
RewriteCond %{QUERY_STRING} (localhost|loopback|127\.0\.0\.1) [NC,OR]
RewriteCond %{QUERY_STRING} \.[a-z0-9] [NC,OR]
RewriteCond %{QUERY_STRING} (<|>|’|%0A|%0D|%27|%3C|%3E|%00) [NC]
RewriteRule .* - [F]

Mediante la denegación a scripts desde el archivo functions.php de nuestro theme activo, para eso abrimos el archivo /nombredeldominio.com/wp-content/themes/nombredelthemeactivo/functions.php, y escribimos esta línea al final del todo:

add_filter('pre_comment_content','wp_specialchars');

Después no se podrán por ejemplo escribir enlaces ni ningún tipo de código fuente en los formularios de los comentarios.

Robotiza tu cuenta de Twitter y Facebook y haz que publiquen solas

Buenas a todo el mundo.

Image representing Twitter as depicted in Crun...

Image via CrunchBase

Voy a compartir dos herramientas OnLine muy útiles si te dedicas al posicionamiento en las redes sociales o si deseas que tus cuentas de Facebook y Twitter estén siempre actualizadas.

1º Botize

http://botize.com/

La primera herramienta Online es Botize, una web gratuita (con opciones limitadas) para robotizar tu cuenta de Twitter y por ejemplo, enviar un mensaje directo a cada nuevo usuario que nos siga, o publicar un tuit automático cada vez que un usuario nos mencione o nos dedique un #FF. A demás podemos hacer que esos mensajes se escojan al azar de una lista previamente escrita por nosotros.

botize1

Para usar la herramienta bastará con hacer login en twitter o crear una cuenta de usuario registrado, después veremos una lista de acciones (fórmulas) a escoger entre la que mas nos interese, cuando escojamos la acción que queremos que se lleve a cabo quedará programar las características y mensajes que queramos qué se cumplan y botize se encargará del resto. En la versión gratuita nos van a permitir usar 2 fórmulas o acciones, si queremos usar mas tendremos que crear una cuenta premium o de pago.

TwitterFeed

http://twitterfeed.com/

La segunda herramienta Online para automatizar tus cuentas de twitter y facebook es esta TweeterFeed, como su propio nombre indica nos va a permitir cargar feeds de noticias dentro de nuestras redes sociales para que cada vez que publiquen en el feed automáticamente se poste esa publicación en nuestro perfil.

tweeterfeed1

El funcionamiento es muy sencillo, por lo general todos los blogs, foros, noticieros y determinadas páginas dinámicas tienen un feed en formato xml, se trata de un archivo dinámico que sirve para crear un listado con todas las publicaciones de la página en la que se encuentre, si te agregas al feed cada vez que publiquen algo en esa web serás informado al entrar en el feed al que estás inscrito.
Con twitterfeed podemos coger la url del feed, de muchos, e ir agregando direcciones a nuestras cuentas sociales, cada vez que publiquen algo en alguno de los feeds, esa entrada se publicará automáticamente en los perfiles sociales sin que tengamos que intervenir nosotros para nada. Muy útil para poder tener el perfil actualizado sin necesidad de crear nosotros el contenido.

Herramientas para controlar Twitter de una forma más eficaz

Hola a todo el mundo.. Vamos a dar unas direcciones web con herramientas OnLine para llevar el control de Tweeter.. Sobre los seguidores, Tweets, influencias, tendencias, etc, etc.. La mayoría son gratuitas hasta un punto, después si queremos seguir usando la herramienta tendremos que abonar una cantidad. Mi consejo es probar antes bien esa herramienta para ver si merece la pena o no gastar dinero, buscan primero si existe la misma herramienta gratuita y ver que tiempo nos ofrecen usar la herramienta..
Sin más vamos con la lista:

1º TwitDat

http://ww3.twitdat.com/tools/
Gracias a TwitDat vamos a poder ver de una forma sencilla qué seguidores nos siguen y nosotros a ellos no.. Qué seguidores estamos siguiendo y no nos siguen a nosotros.. Podremos ver si un seguidor X sigue a otro Y.. Y también nos permitirá bloquear usuarios desde la propia herramienta web. No existen limitaciones, ni pago alguno.

2º The Twit Cleaner

http://thetwitcleaner.com/
Si lo que queremos es borrar o dejar de seguir más bien, a muchos usuarios de golpe podemos usar esta otra herramienta. Con ella vamos a poder generar un informe muy pero que muy completo sobre qué tipo de usuarios son los que tenemos en nuestras listas. Eso en base al uso que den estos mismos a twitter.. Puede ser un usuario muy activo, uno que no participe a penas, pueden ser muy populares, o muy duros de seguir a nadie, también nos va a identificar las cuentas bot y las que pertenezcan a alguna empresa así como app. Con todos estos datos siempre podremos tomar decisiones más acertadas sobre a quién debemos dejar de seguir o no. En esta ocasión no llega a ser gratuita del todo ya que estaremos limitados a un máximo de 450 usuarios, lo que no se es cada cuanto tiempo. No obstante ya son unos cuantos para poder probar la herramienta y ver si es efectiva o no.

3º Gamisfaction

http://www.gamisfaction.com/
Con esta página web no vamos a poder hacer operaciones directas sobre nuestros seguidores, lo que vamos a poder ver son estadísticas generales sobre los puntos que vallamos acumulando con el paso del tiempo usando Tweet. Puntos como el número de menciones que recibes (cuando alguien escribe un tweet con la @ y tu nick), sobre el número de Reteets que reciben nuestras publicaciones o sobre el número de FF (Friday Follow) que recibimos Viernes tras Viernes.
Todos estos datos se van quedando acumulados y pueden ser fácil mente revisados por los demás, a demás vamos a poder ver qué seguidores son los que mas interactuan con nosotros, los vamos a poder retar a conseguir puntos antes que ellos y muy importante, nos va a permitir programar los FF a nuestros mejores seguidores tanto en el tiempo con en su contenido.
http://www.gamisfaction.com/HuMMeRmix

4º FavStar

http://es.favstar.fm/
Posiblemente este sea el registro más popular que tiene Tweeter en la actualidad. Es muy similar al descrito anterior pero con algunas diferencias importantes. Como por ejemplo que con esta herramienta vamos a poder ver siempre los Tweets más populares que tenga un usuario dado así como los nuestros propios, la popularidad la ganan a base de obtener Favs de nuestros seguidores o de los seguidores de estos. También cuentan los Reteets pero en menor medida. Otra particularidad que tiene es que vamos a poder crear listas a demás de crearse una automática cuando hacemos login llamada favstar, en ella se van almacenando los usuarios de Twitter que más nos vallan gustando.
http://es.favstar.fm/users/HuMMeRmix

5º Twitter Counter 

http://twittercounter.com/
Para terminar tenemos esta otra entre las miles que existen en Internet. Con ella vamos a poder ver una gráfica en el tiempo sobre el número de seguidores que obtenemos o perdemos. También nos va a hacer un cálculo aproximado de las tendencias en el futuro, si vamos a ganar o a perder usuarios y el número.  De forma gratuita vamos a poder ver tanto las gráficas de seguidores como de tweets publicados, si queremos ver más gráficas como siempre tendremos que pagar una cantidad.
Como dato positivo, vamos a poder tweetear los datos obtenidos, también los podremos exportar en un archivo, y nos permitirán cerar un botón bastante llamativo para insertar en nuestra página web.
http://twittercounter.com/HuMMeRmix

Image representing Twitter as depicted in Crun...

Image via CrunchBase

Y hasta aquí las herramientas de Tweeter gratuitas.. Existen muchas más y para variadas funciones pero para empezar estas 5 están muy bien.

Gracias y un saludo.

Instalamos un nuevo Plugin para controlar la procedencia de nuestras visitas..

Máscaras de Red y SubRedes

Máscaras de Red y SubRedes

redes

redes

 

Seguimos aprendiendo poco a poco los fundamentos de la seguridad en Internet, las nociones básicas que debemos de conocer antes de empezar de verdad a usar herramientas y testear sistemas y redes. Lo primero es aprender estas cosas.

 

 

Máscaras de Red
Cuando hablamos de direcciones IP en cuestión de enrrutamientos y de redes esta es solo la mitad de la dirección real completa, la segunda mitad corresponde a la máscara de red o también denominada “netmask” por su origen en Inglés, esta se considera más importante que la dirección IP simple de conexión y  más identificatiba. Está compuesta por 32bits binarios en 4 octetos, de la misma forma que se distribuye la dirección IP básica.

Si la IP determina una determinada máquina conectada a una red, la “netmask” determina que red es esa en la que está conectada la máquina por medio de la IP. Entre las dos forman la combinación perfecta para identificar 1º la máquina conectada dentro de la red y 2º la red propiamente dicha como única e intransferible.

Esta combinación tiene un uso principal que es por un lado identificar la porción de la división de máscara usada para determinar la red y por otro  la porción dedicada a divisiones para los host. Gracias a la máscara de red podemos obtener la dirección real de red de una determinada IP. El ruter podrá identificar de donde le está llegando un determinado paquete de información gracias a la máscara de red.

Cuando en una dirección de red todos los octetos que hacen referencia a la porción de host están al máximo permitido (255). Le estará indicando al ruter que el paquete que se recibe desde esa dirección le estará llegando a todos los equipos que pertenecen a la red, esto se conoce como “broadcast“.
En estas ocasión es común que el tráfico de la red se cargue de tal forma que llegue a ser un problema para su uso. En ese caso una solución es subdividir esa red en varias porciones de redes más pequeñas, a esa segmentación de red se la denomina “subred“.

SubRedes
Las subredes se crearon a comienzos de la Internet con el fin de subdividir las redes de clase A.B y C para reducir en rangos más pequeños de IP el tráfico que generaban. Su método de funcionamiento consiste en asignar más o menos bits en la porción de red asignada a los host de la red o de red en la máscara de red, modificando de esa forma el número máximo de clientes que se pueden conectar por red.

¿Cómo proteger tu red Wi-Fi? Aprende a proteger tu conexión a Internet

¿Cómo proteger tu red Wi-Fi? Aprende a proteger tu conexión a Internet

Tengo que dar en primer lugar las gracias por estos últimos comentarios que he podido ver en algunas de las entradas creadas, muchas gracias a todos/as…

¿Cómo proteger tu red Wi-Fi? Empresas y particulares, aprende a proteger tu conexión a Internet es una entrada para todos aquellos que quieran tener su conexión a Internet lo más protegida posible con las herramientas comunes que nos podrá proporcionar cualquier servidor de Internet como puedan ser Jazztel o Telefónica y es que estoy viendo que cada vez son más los aficionados, por que no tienen otra palabra, que se dedican a ir casa por casa con su notebook y su WifiSlash o similares robando todas las claves de redes vecinas que pueden y con ello, ganarse unas pelas extras e ilegales. Pues esta entrada va a ser para tratar de poner todas las trabas posibles a esas personas por si se da el caso que somos nosotros blanco de sus ataques y por que nosotros desde este blog  somos lo que se denomina “SOMBRERO BLANCO” o White hats en Inglés,  y que viene a decir que somos programadores pero que luchamos contra los que se dedican a crear virus informáticos, o a romper claves de seguridad de redes o a entrar en bases de datos ajenas, etc siempre que no sea con un motivo bien justificado y siempre con permiso sus propietarios. Así que vamos a ver como podemos ajustar las medidas de seguridad en nuestros aparatos para que esto no pase.

Nosotros vamos a hacer las pruebas con un router proporcionado por Jazztel hace muy poquito tiempo de la marca Huawei el modelo HG 532g para ser más exactos, pero básica mente vamos a poder hacer lo mismo con cualquier marca y modelo.
Lo primero que tendremos que hacer será ver que modelo de router tenemos ya que los más modernos suelen traer buenas encriptaciones mientras que los más antiguos no, si sabemos cual es el modelo exacto que tenemos podemos ir a Internet para averiguar que tipo de encriptación trae, una vez hecho esto verificaremos que se puede usar el tipo WPA2 (Wi-Fi Protected Access 2) o WPA-PSK (Pre-Shared Key) en todo caso y nunca la WEP (Wired Equivalent Privacy) ya que esta es la más sencilla de romper o desencriptar, para resumir esto un poco, una clave encriptada con WPA2 para que se pueda romper,  primero tiene que estar escrita en un diccionario (archivo de palabras, muchas palabras, para compararlas con nuestra clave), si no está previamente en este archivo o diccionario de claves nunca se podrá averiguar, el mecanismo el es siguiente, cuando la clave es encriptada lo que queda es un cadena bastante grande de números, letras y símbolos, cuando se intenta romper esa cadena lo que se hace es ir encriptando palabras al azar para después ir comparando una por una esas palabras encriptadas con la original o buscada, si ambas cadenas encriptadas coinciden será signo de que se ha encontrado clave correcta y que se ha roto la encriptación pero siempre después de que se comparen y se vea que ambas son exactas, es por eso que para que nuestra clave se pueda descifrar primero ha de existir en el diccionario, siempre a la fuerza, la conclusión es que si tenemos este tipo de encriptación y ponemos una clave del tipo manolo24 o pezygato lo más seguro es que estén en algún diccionario y que sean fáciles de romper, por el contrario si escribimos una clave del tipo slr32jsEWR:3/43*lks va a ser muy difícil que esté en un diccionario previamente y por lo tanto casi imposible de romper o desencriptar, siempre tendremos que evitar las palabras con significado porque serán las primeras que estarán en los diccionarios, mezclaremos las mayúsculas y minúsculas con números y signos para que sea más fuerte y como primera medida de seguridad sabremos que tenemos una primera barrera difícil de saltar, no imposible por que proteger al 100% cualquier tipo de datos informáticos no se puede pero si lo suficiente más del 90% como para que sea tan difícil que solo unos pocos puedan hacerlo. Entonces ya sabéis como primer paso comprobar el tipo de encriptación que podeis utilizar con vuestro router y en caso de poder usar la WPA2 aseguraos que la teneís puesta, ahora diré como se puede hacer esto, y crear un contraseña para la conexión wifi que no tenga ningún significado, que sea grande y que mezcle números con letras mayúsculas y minúsculas, también con algún signo.

Tanto para ver el tipo de encriptación que estamos usando en nuestro router, como para ver a cuantos pc’s estamos dando acceso, para ver los números MAC de esos pcs que se conectan y un montón de cosas más vamos a tener que acceder a la página de configuración de nuestro aparato, acceso a la configuración del router. ¿Còmo hacemos esto? muy fácil, necesitamos la dirección IP de tu router en la red, para esto y siempre con sistema operativo Windows, vamos a Inicio, Programas, Accesorios y Simbolo de Sistema, o en versiones modernas de Windows, Inicio y tecleamos en el buscador interno cmd, cuando se abra la ventana de programación MS2 de Windows escribimos ipconfig y pulsamos Intro, a continuación van a salir unos cuantos renglones con datos de nuestra red, tenemos que fijarnos en el que dice Puerta de enlace predeterminada …………………………….. XXXXXXXXXXXXXX que suele ser el número 192.168.1.1,

Configuración Router 2

Configuración Router 2

Una vez que tenemos este número abrimos un navegador de Internet como puede ser el Explorer y escribimos el número que hemos conseguido, solo el número sin http:// ni www.
Con esto estamos abriendo la página de configuración que traen todos los routers del mercado, un apunte, cada router trae un nombre de usuario y una contraseña para poder acceder a su página de configuración, suelen ser del tipo admin 0000, o admin admin, o admin 1234, puedes probar estas que he escrito y si no son correctas tendrás que llamar a tu servidor de Internet para preguntar este dato y poder así acceder a la página de configuración del router ya que te pedirá estas credenciales, también suelen estar en los papeles que traen los routers o por detras del aparato, necesitamos esas credenciales para poder acceder así que o bien probamos hasta dar con ellas (son muy sencillas), o las buscamos en los papeles de la caja del router o llamamos a nuestro servidor de Internet para que nos las digan, con Jazztel por lo menos no hay nunca problema y te dan este dato sin más para que puedas echar un vistazo.

Cuando tenemos estos datos y accedemos a la página de configuración tenemos una gran arma a nuestro alcance ya que vamos a estar informados de cosas tan interesantes como saber a que ordenadores se está dando acceso, su número e identificación MAC, esto lo encontramos en el apartado WLAN como se puede ver en la siguiente imagen:

 

Configuración router 1

Configuración router

Bien ahora que tenemos acceso a nuestra página de configuración de router lo primero que haremos será cambiar precisamente esas credenciales que nos han proporcionado ya que son muy sencillas de descifrar y que al ser genéricas cualquier otro usuario de la misma compañía sabría nuestra contraseña de acceso a router, para cambiar estos datos iremos al apartado que diga Settings o Configure, buscar porque todos los routers en principio tendrían que permitir el cambiar los datos de entrada, si te lías mucho siempre puedes consultar a tu distribuidor de Internet para que te indiquen como se pueden cambiar las credenciales de acceso. 

Otro punto interesante será el cambiar el nombre de nuestra red, es una cuestión de lógica, si yo fuese a abrir redes las primeras a las que atacaría serían las redes a las que no las han cambiado el nombre genérico que traen del tipo Jazttel234 o Wlan35, esos nombres de redes demuestran que ni siquiera se han molestado en entrar en el router y cambiar el nombre genérico por lo que lo más probable es que el propietario no tenga ni idea de configuraciones y que si entramos en su red lo más seguro es que no se de ni cuenta, una pena, para cambiar el nombre de nuestra red iremos al apartado Basic – Wlan y dentro de esa página será el apartado que dice SSID: “Nombre-de-Red”, borramos el que traiga y escribimos nosotros el nombre que nos de la gana, tranquilos porque no afectará para nada el resto de conexión a excepción que después tendremos que conectar nuestros pc´s con ese nombre de red que proporcionemos, también lo anotaremos para más tarde.

Ahora viene uno de los puntos fuertes de esta protección, en el mismo apartado de configuración Wlan nos fijamos en el tipo de encriptación que tre donde dice Security, nos fijaremos que no esté marcada la protección o encriptación llamada WEP y en su lugar colocaremos la que ponga WPA2 y si nos da la opción de colocar una llamada WPA2-PSK mejor todavía, recordar que este tipo de encriptación con una buena clave (una que no sea ninguna palabra con significado) es practicamente imposible de descifrar y por lo tanto será una medida de seguridad muy efectiva, también de paso podemos cambiar la clave de nuestra conexión y reforzamos más el asunto, una buena clave ha de estar formada por números, letras mayúsculas y minúsculas y signos, hay una entrada en este blog que habla e como generar claves seguras y fáciles de recordar.

Ya tenemos nuestro router con una buena encriptación, un nombre de red nuevo y diferente al que nos proporciona nuestro servidor de Internet y una contraseña nueva y segura, que es lo que toca???
Ahora vamos a reforzar un poco más nuestras conexiones o vamos a poner las cosas un poco más difíciles al supuesto “sombrerito negro”(nombre que se da a hacker malo que se dedica a hacer maldades) que intenta entrar en nuestra red, y para hacer esto nada mejor que esconder el nombre de la red en abierto, si se puede esconder para que no se sepa a que SSID ha de conectar el ordenador, en windows aparece como “red sin nombre” y a la hora de conectar a ella nos pedirá que lo escribamos, para mac ni siquiera se ve y tendremos que escribirlo nosotros directamente, el nombre que tenemos que escribir es el mismo que le ponemos a la red descrito un poco más arriba, el que dice SSID que hemos anotado antes.
Para esconderlo tenemos que ir una vez más a la página de configuración del router al apartado Basic, Wlan y marcar la casilla que pone Hide broadcast (esconder la emisión), también nos fijamos que esté marcada la casilla de SSID para que este sea pedido en cada ordenador que desee conectar a la red, con este simple gesto estamos como digo complicando aún más las cosas a la hora de intentar acceder a nuestra red, la única pega es que todos los ordenadores que tenemos conectados por WiFi se van a desconectar y para volver a tener Internet tendremos que conectar de nuevo con la red de la forma que dije antes, nos pedirá primero que escribamos el nombre de red el SSID para verificar que es la nuestra y que en realidad sabemos que nombre tiene ya que al cambiar este en teoría solo lo sabemos nosotros los propietarios de la conexión.

De momento creo que con estos pasos se puede tener una buena barrera en nuestra red, hay más formas de poner trampas como por ejemplo filtrar las mac a las que se da acceso, prohibir Ip de conexión, etc, etc, pero de momento no serán necesarias, no obstante como se puede ver siempre el número de ordenadores que tienen acceso por WiFi a nuestra red si tenéis entradas indebidas aún con estas medidas de seguridad escribir un comentario informando o un email a mi dirección para que veamos que se puede hacer.

Un saludo para todo el mundo y gracias por el interés que demostráis tener… GRACIAS:

sombrero-Blanco

elblogdemiguelangel-sombrero-Blanco

A %d blogueros les gusta esto: