Heartbleed, el mayor fallo de seguridad de la historia de Internet: qué es y qué hacer para asegurar WordPress

heartbleed-openssl-bug

Si estás en este mundo ya sabrás que hace poco más de un mes se descubrió un fallo enorme que afecta a más del 66% de todo Internet: el bug Heartbleed.

:: ¿Qué es Heartbleed? ::

Heartbleed-logo

De hecho, Heartbleed está considerado el mayor fallo de seguridad en Internet de toda la historia, pues afecta al software Open SSL, el más utilizado en servidores Apache y NGinx desde 2012 para ofrecer páginas de conexión segura (la ironía está servida).

Así que tu red social, tu tienda de comercio electrónico, hasta la web donde haces la compra del supermercado podrían ser vulnerables si usan una versión no segura de Open SSL, desde la 1.0.1 hasta la 1.0.1f ambas incluidas.

Lo peor de todo es que cualquier atacante mal intencionado puede utilizar este fallo y no deja rastro alguno de su actividad, simplemente toma posesión de la web, puede sustituir usuarios, obtener información personal y de tarjetas de crédito, incluso crear un clon del sitio.

De hecho, se recomendó que, si nos preocupaba la seguridad de nuestros datos, hasta que no hubiese una versión segura de Open SSL (la primera ha sido la 1.0.1g) y se actualizasen a la misma los principales servicios era mejor no utilizar Internet, ahí es nada.

:: ¿Cómo me protejo de Heartbleed como usuario? ::

heartbleed usuario contraseña

Cómo usuario de Internet el único modo de protegerte de Heartbleed es estar informado, algo que pasa por lo siguiente:

  1. Comprueba en esta lista si tus webs favoritas están afectadas por el fallo Heartbleed.
  2. Instala esta extensión de Chrome que te avisa si la web que visitas está afectada por Heartbleed.
  3. Cambia inmediatamente las contraseñas en todos los sitios que usen Open SSL y se haya demostrado que han estado comprometidos (casi todos, ejemplos: Google, Facebook, Flickr, Yahoo, GoDaddy, etc, etc, etc.).

:: ¿Cómo protejo WordPresss de Heartbleed? ::

heartbleed wordpress

Para empezar … si no utilizas certificado seguro entonces no tienes que hacer nada. Esto afecta solamente si has dado de alta un certificado para ofrecer una tienda de comercio electrónico, una red social o similares. Esto solo afecta a páginas https.

En caso contrario, si usas un certificado SSL/TLS, la cuestión es bien distinta y lo que deberías hacer es lo siguiente:

  1. Comprueba si tu sitio está afectado por el fallo Heartbleed aquí o aquí. En caso afirmativo (o de duda) contacta con tu proveedor de alojamiento para exigirle que actualice Open SSL a una versión segura con la mayor urgencia.
  2. Una vez actualizado Open SSL obtén nuevos certificados SSL/TLS (normalmente tu proveedor de alojamiento)
  3. Como administrador responsable y precavido requiere a tus usuarios de que cambien sus contraseñas, o se las reincidas tu todas a la fuerza. Siempre es buena estrategia forzar el cambio de contraseña cada cierto tiempo.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (5 votos, promedio: 4,60 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This