Si estás en este mundo ya sabrás que hace poco más de un mes se descubrió un fallo enorme que afecta a más del 66% de todo Internet: el bug Heartbleed.
Índice de contenidos
:: ¿Qué es Heartbleed? ::
De hecho, Heartbleed está considerado el mayor fallo de seguridad en Internet de toda la historia, pues afecta al software Open SSL, el más utilizado en servidores Apache y NGinx desde 2012 para ofrecer páginas de conexión segura (la ironía está servida).
Así que tu red social, tu tienda de comercio electrónico, hasta la web donde haces la compra del supermercado podrían ser vulnerables si usan una versión no segura de Open SSL, desde la 1.0.1 hasta la 1.0.1f ambas incluidas.
Lo peor de todo es que cualquier atacante mal intencionado puede utilizar este fallo y no deja rastro alguno de su actividad, simplemente toma posesión de la web, puede sustituir usuarios, obtener información personal y de tarjetas de crédito, incluso crear un clon del sitio.
De hecho, se recomendó que, si nos preocupaba la seguridad de nuestros datos, hasta que no hubiese una versión segura de Open SSL (la primera ha sido la 1.0.1g) y se actualizasen a la misma los principales servicios era mejor no utilizar Internet, ahí es nada.
:: ¿Cómo me protejo de Heartbleed como usuario? ::
Cómo usuario de Internet el único modo de protegerte de Heartbleed es estar informado, algo que pasa por lo siguiente:
- Comprueba en esta lista si tus webs favoritas están afectadas por el fallo Heartbleed.
- Instala esta extensión de Chrome que te avisa si la web que visitas está afectada por Heartbleed.
- Cambia inmediatamente las contraseñas en todos los sitios que usen Open SSL y se haya demostrado que han estado comprometidos (casi todos, ejemplos: Google, Facebook, Flickr, Yahoo, GoDaddy, etc, etc, etc.).
:: ¿Cómo protejo WordPresss de Heartbleed? ::
Para empezar … si no utilizas certificado seguro entonces no tienes que hacer nada. Esto afecta solamente si has dado de alta un certificado para ofrecer una tienda de comercio electrónico, una red social o similares. Esto solo afecta a páginas https.
En caso contrario, si usas un certificado SSL/TLS, la cuestión es bien distinta y lo que deberías hacer es lo siguiente:
- Comprueba si tu sitio está afectado por el fallo Heartbleed aquí o aquí. En caso afirmativo (o de duda) contacta con tu proveedor de alojamiento para exigirle que actualice Open SSL a una versión segura con la mayor urgencia.
- Una vez actualizado Open SSL obtén nuevos certificados SSL/TLS (normalmente tu proveedor de alojamiento)
- Como administrador responsable y precavido requiere a tus usuarios de que cambien sus contraseñas, o se las reincidas tu todas a la fuerza. Siempre es buena estrategia forzar el cambio de contraseña cada cierto tiempo.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Y para firefox, no hay esa extensión?.
No que yo sepa
Si, aquí la tienes.
Hola Fernando como estas? Antes que nada quería darte las gracias por brindar toda tu experiencia y sabiduría sobre wordpress siempre, y me ayuda a aprender día a día. Quería consultarte lo siguiente, siempre en todas mis páginas ademas de protegerlas por todos lados, pongo un htaccess en el wp-admin para bloquear IP de otros lados y permitir el acceso solo a mi IP, el problema es que ahora como instale woocommerce el problema es que no lo puedo hacer ya que sino los usuarios no pueden finalizar la compra. Hay alguna manera de proteger el wp-admin y que los usuarios puedan comprar sin problemas? De por si muchas gracias.
A ver si te sirve esto:
https://ayudawp.com/restringir-acceso-a-wp-admin/
Ok muchas gracias Fernando, lo voy a probar