Infectan con un troyano la web corporativa de Eduardo Punset

He de confesar que, al igual que un montón de españoles, me encanta Eduardo Punset. Me he leído casi todos sus libros y cuando tengo tiempo, también me veo sus programas / documentales. Y me consta que no soy la única: su revolucionaria forma de explicar los sentimientos humanos de una forma cercana y comprensible le ha valido el público que le sigue y que aprende con él.

Pues bien, esta mañana nos hemos despertado con un mensaje a través de nuestra cuenta de Twitter de @manoloprosur que nos preguntaba si un enlace compartido desde la cuenta de Punset, @epunset, era una falsa alarma o era un virus.

Los que me conocéis ya sabéis la clara tendencia que tengo a hacer clics en enlaces que suponen un reto… Mis compañeros de trabajo de otra compañía de seguridad todavía recordarán cuando allá por el 2001, recién llegada a este apasionante mundo, me pasaron un enlace que parecía ser un nuevo virus. Ni corta ni perezosa hice clic, lo ejecuté y contesté: No hace nada. A los pocos minutos se me tiró en plancha debajo de la mesa mi todavía actual compañero –y sin embargo amigo- Fernando de la Cuadra porque había infectado toda la empresa con… ná, un virus de ná, Sircam. Aquella fue la primera vez que Fernando y yo comenzamos una “bonita” relación profesional que dura hasta hoy en día (Fer, yo también te quiero ;-).

Bueno, a lo que vamos. Que hemos estado echando un vistazo y sí, en la web y blog profesional de Eduardo Punset, www.redesparalaciencia.com, hay una amenaza. Se trata del troyano Krytik.SKY, una variante más de un troyano que lleva infectados a un montón de ordenadores. ¡Ojo! No intentes entrar si no tienes protección antivirus instalada, actualizada o si no estás seguro de si tu fabricante va a ser capaz de frenar este nuevo código malicioso, ya que es relativamente reciente. Si lo haces, probablemente te infectarás con el troyano, y luego te tocará hacer unas cuantas cosas para eliminarlo de tu ordenador.

eset-nod32-antivirus-troyano-web-eduardo-punset

En concreto, esta variante es detectada por ESET NOD32 desde el pasado 27 de mayo, así que es relativamente reciente y su distribución, modesta por el momento, sin llegar al 0,1 por ciento mundial:

eset-nod32-antivirus-troyano-web-eduardo-punset-2

El porqué tenemos que buscarlo en la plataforma que utiliza: WordPress. Soy una gran defensora de esta versátil plataforma, y me encanta trabajar con ella, pero se trata de código abierto sobre el que un montón de desarrolladores crean y añaden funcionalidades todos los días. Teniendo el código fuente a disposición de todos, es relativamente sencillo encontrar agujeros de seguridad que explotar o vulnerabilidades provocadas por los propios usuarios que dejan puertas abiertas como catedrales para la instalación de scripts maliciosos, como es el caso que nos ocupa.

De hecho, si recordáis, el pasado mes de abril alertamos sobre un gran ataque de fuerza bruta ejecutado a nivel masivo: no era el primero ni será el último. Así que, aunque lo hemos repetido varias veces, volvemos a traeros algunos consejos básicos de seguridad para WordPress que nos ayudarán, por lo menos, a estar un poquito más seguros.

  1. El dichoso usuario “admin”: como es el que aparece por defecto tras instalar WordPress, la mayoría lo dejamos tal cual. Y… ¿a que no adivináis cuál es el primer usuario con el que prueban cuando quieren intentar acceder a un WordPress? Pues sí, admin. Esto siempre me recuerda al root de Linux. Así que, mejor invéntate otro usuario.
  2. Las contraseñas fáciles: tal y como también hemos hablado muchas veces, las contraseñas deben ser fuertes y robustas, compuestas por al menos 12 dígitos que combinen caracteres alfanuméricos al menos. No hay contraseñas indestructibles, pero al menos, si nos vienen a robar, que se encuentren con una puerta blindada y les cueste un poquito más ;-).
  3. Actualización de WordPress, temas y plugins: sí, ya sé, una vez que has configurado todo WordPress y estás  operativo, a veces (pero solo a veces) actualizas un tema y se descolocan las cosas, o un plugin o… Pero es peor el remedio que la enfermedad. Así que al igual que llevamos años diciendo que hay que actualizar el sistema operativo del ordenador y las aplicaciones, si mantenemos un WordPress, tenemos que actualizarlo cada vez que haya nuevas versiones. Además, nos lo dice el propio WordPress, así que mejor hacerlo que luego tener que lamentarlo.
  4. Desactivar plugins inactivos: es tan fácil instalar plugins en WordPress, que lo hacemos y si luego no funcionan o no nos gustan, no nos molestamos en desinstalarlos, quedándose eternamente en una lista. Si no los usamos, mejor que los quitemos.
  5. Copias de seguridad: casi nadie hacemos copias de seguridad de nuestro WordPress, pero luego bien que nos acordamos cuando perdemos todo o parte del contenido o cuando en una actualización tenemos problemas. Así que plantéate realizar copias de seguridad cada cierto tiempo. La mayoría de los proveedores de hosting ya ofrecen esta funcionalidad.
  6. Bloqueo de contenidos públicos: en una instalación por defecto de WordPress, hay muchas carpetas que se quedan públicas y que permiten la navegación a través de estas. Esto se puede solucionar de manera muy sencilla simplemente añadiendo unas líneas de código a nuestro archivo .htaccess, que no es más que un simple archivo que se añade al directorio raíz de nuestro sitio y que permite aplicar las reglas de los directorios y los archivos de nuestra web:
    1. Protege tu archivo wp-config.php, que es el más importante de tu WordPress. Esto lo hacemos simplemente añadiendo esta línea de código: <files wp-config.php> order allow,deny deny from all </files>
    2. Bloquea el acceso a wp-content, que es la carpeta que tiene todos los temas, los plugins, etc. Para ello, tienes que añadir esta línea a tu archivo .htaccess: Order deny, allow Deny from all <files ~”.(xml|css|jpe?g|png|gif|js)$”> Allow from all </files>
    3. Evita la exploración pública de tus carpetas añadiendo lo siguiente: Options All –Indexes
    4. Protege y bloquea el propio archivo .htaccess, añadiendo: <files ~”^.*\.([Hh][Tt][Aa])”> Order allow, deny Deny from all Satisfy all </files>
  7. Instala plugins de seguridad: tanto o más importantes que el clásico de Twitter o de Facebook. Hay varios, prácticamente todos gratuitos, y se instalan igual de fácil que el resto. Algunos ejemplos son WP Security Scan, que examina nuestro WordPress buscando incidencias de seguridad; Limit Login Attempts, que limita los intentos de acceso por IP, o Wordfence Security, que añade un sistema de firewall en nuestro blog, así como detecta virus y tráfico anómalo en tiempo real.

Seguro que vosotros tenéis algún consejo más que añadir a esta lista. Si es así, ¡bienvenidos! Dejadnos vuestros comentarios y así podemos ir haciendo entre todos un buen decálogo de seguridad para WordPress.

Buen martes, trop@!

Yolanda Ruiz

Troyanos para la investigación policial: el fin no justifica los medios