Ocultar extensiones php o html con .htaccess

Con el .htaccess podremos lograr ocultar nuestras extensiones .php/.html de nuestros archivos dentro de la url al acceder a nuestra web. De este modo, no será necesario introducir la ruta completa y será accesible tanto CON como SIN extensión.

Para lograr esto simplemente debemos agregar este pequeño código en nuestro archivo .htaccess para eliminar las extensiones php. Si no existe el archivo .htaccess deberemos crear uno y situarlo en el directorio raiz de nuestro servidor (dentro de la carpeta public_html). En el caso de las extensiones .html utilizaremos el mismo código cambiando .php por .html.

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}\.php -f
RewriteRule ^(.*)$ $1.php 

read more...

Enlaces web de herramientas y administración de servidores

Comandos SSH
https://documentation.cpanel.net/display/CKB/How+to+Fix+Quotas
https://forums.cpanel.net/resources/reading-and-understanding-the-exim-main_log.383/
http://rm-rf.es/exim-comandos-basicos/
http://accesoperu.com/06626-Comandos-básicos-para-SSH
https://www.hostinet.com/formacion/vps-servidores/comandos-basicos-de-ssh-para-tu-server-vps/

Check DNS
https://securitytrails.com
https://www.whatsmydns.net

SSL
https://www.sslshopper.com/ssl-checker.html
https://www.ssllabs.com/ssltest/

Test Email
https://www.checktls.com/TestReceiver
https://www.wormly.com/test-smtp-server
https://www.dnsstuff.com/tools

Visualizar web
https://varvy.com
https://ready.mobi

Tools
https://ping.eu
https://www.digwebinterface.com
http://www.barracudacentral.org/lookups/lookup-reputation
https://mxtoolbox.com/mxlookup.aspx
https://www.adminkit.net/telnet.aspx
http://multirbl.valli.org/lookup/

cPanel:
https://documentation.cpanel.net/

Google:
https://developers.google.com/web/fundamentals/security/hacked/request_review?hl=es
https://transparencyreport.google.com/safe-browsing/search
https://safebrowsing.google.com/safebrowsing/report_error/?hl=es
https://developers.google.com/speed/pagespeed/insights/?hl=es

read more...

Sitio Wordpress Hackeados, Causas, Consecuencias y Como solucionarlo?

Las consecuencias:

Primero veamos como detectar que un sitio web esta vulnerado, lo han atacado y le han metido códigos maliciosos en los archivos.

Estás bastante seguro de que tu wordpress contiene algún tipo de malware o algún archivo ha sido modificado. Al cargar tu url, Google muestra un aviso del tipo:

También puede ser que la empresa de hosting dónde alojas tu web te han avisado de que estás consumiendo muchos recursos. La empresa de hosting puede suspender temporalmente el servicio porque estás haciendo envío masivo de mails. porque has descubierto cientos de urls con productos de farmacia en tu web. porque directamente la estética de tu web ha cambiado completamente. O el peor de los casos, no puedes acceder al panel de administración. 

Las causas:

Son muchos casos del cual podemos detectar que nuestro wordpress este vulnerado.

Más del 50% de las vulnerabildades en sitios de wordpress se debe por la instalación de plugins de  procedencia desconocidas sin reputación, por mantener versiones antiguas de los complementos, mala configuración de los permisos en las carpetas.

Instalar un tema gratis puede ser de gran ayuda para comenzar a realizar un sitio web en wordpress, pues se esta ahorrando unos dolares, pero a la vez se esta construyendo un sitio con puertas abiertas que luego pueden perjudicar.

Como escanear un sitio web

Se puede escanear a nivel de servidor para ello o puedes tener acceso a ROOT y escanearlo ingresando a la consola de comandos, o solicitarlo al proveedor de servicios de hospedaje web. Este es la mejor opción para escanear los archivos.

También se puede escanear por servicios web que ofrecen google, norton, o virustotal.com, entre otras.

Desde wordpress se puede instalar algún plugin de escaneo como es el Anti-Malware Security. Este plugin hará un escáner muy completo de todos tus archivos y te dirá si alguno de ellos es sospechoso de estar infectado.

Según los informes de reporte de malware o archivos infectados:

• ir directos a cambiar todos los archivos por unos nuevos y limpios.
• Ir en busca del código inyectado y eliminarlo.
• Restaurar toda nuestra web por una copia nueva y limpia.

La forma más que probable por el que nos han hackeado WordPress es que haya sido por algún plugin o theme y una vulnerabilidad que este tuviera. O directamente por, como ya he comentado, utilizarlos nulled, es decir descargados gratuitamente de fuentes no fiables. El paso que ahora vamos a dar es parecido al primero pero mucho más importante. Debemos descargarnos desde la fuente original la plantilla que estemos utilizando y sustituir los ficheros de la carpeta con el nombre de la plantilla dentro de /wp-content/themes/ por los recién descargados. Si hiciste algún cambio directamente en estos ficheros y no utilizaste un child theme, perderás dichos cambios.

Finalmente

Si tu web fue hackeada y mostraba el aviso que vimos al principio, es porque Google lo tenía detectado y te había puesto el “cartel de infectado”. Esto se puede ver si accedes a Search Console, desde el menú Problemas de Seguridad. Una vez has limpiado todo rastro de malware podremos pedir a Google que reconsidere la web haciendo uso de la herramienta Solicitar una Revisión que verás en el mismo menú anterior junto al aviso de que tu web contiene software malicioso. Deberás describir un pequeño informe de las medidas que has tomado y cómo has puesto solución al hackeo y enviarlo. Esperar que revisen tu web y serás informado vía mail del resultado. Si todo se ha hecho bien no debería haber problema para que Google te quite las advertencias.

7 recomendaciones para mantener tu wordpress seguro:

1- Use contraseñas seguras: una contraseña segura esta compuesta por más de 10 caracteres entre números, letras (minúsculas y mayúsculas), símbolos.

2- Autenticación en 2 pasos: si su contraseña se ve comprometida, el usuario aún deberá tener el código de verificación de su teléfono.

3- Limitar intentos de inicio de sesión: este complemento le permite bloquear al usuario después de X números de intentos de inicio de sesión fallidos.

4- Deshabilitar los editores de temas y complementos: esto evita problemas de escalamiento del usuario. Incluso si se aumentaran los privilegios del usuario, no podrían modificar su tema o complementos utilizando el WP-Admin.

5- Protección de contraseña WP-Admin: se puede proteger con contraseña todo el directorio. También puede limitar el acceso por IP.

6- Deshabilitar la ejecución de PHP en ciertos directorios de WordPress: esto deshabilita la ejecución de PHP en los directorios de carga y otros directorios de su elección. Básicamente, incluso si alguien pudiera cargar el archivo en la carpeta de subidas, no podría ejecutarlo.

7- Manténgase actualizado: ejecute la última versión de WordPress y actualice sus complementos.

Enlaces de interés:

https://transparencyreport.google.com/safe-browsing/search

https://safebrowsing.google.com/safebrowsing/report_error/?hl=es

https://developers.google.com/web/fundamentals/security/hacked/request_review?hl=es
https://www.google.com/intl/es-419/webmasters/

read more...

¿Porque debe morir un sistema en su ciclo?

En el ciclo de vida de todo sistema de información tiene su etapa de Obsolescencia, esto ocurre cuando al sistema nunca se le dio un mantenimiento adecuado.

¿Se puede recuperar un sistema obsoleto?

Si se puede recuperar siempre y cuando contemos con el soporte de las herramientas y/o utilidades que debemos utilizar para su desarrollo. Antes de tomar de decisión de recuperar un sistema obsoleto, se debe tomar en cuenta varios factores, el principal de ello es el tiempo que se va a invertir en realizar nuevamente un análisis de toda la información, se evalúa los recursos necesarios infraestructura, personal necesarios y la factibilidad económica. 

A veces es mejor comenzar de cero, pues ya se tiene el Know How, el saber como debemos hacer el proceso del negocio, el flujo de los datos, se puede mejorar el sistema anterior y llevarlo a un alcance mayor. 

Entonces un sistema debe morir en su ciclo, porque no tenemos soporte de otros programas que utilizamos como herramientas, utilidades, debe morir porque la inversión para recuperar el sistema excede del limite de los recursos económicos, no alcanza el tiempo para buscar una solución a los errores que tiene y según los resultados de los estudios de factibilidades, es mejor hacer un nuevo sistema utilizando la idea y base del obsoleto pero esta vez mejorar y llevarlo a un mayor alcance.

Por: Wilmer Barrios

Ingeniero de Sistemas

read more...

Proteger el directorio wp-admin con contraseña desde cPanel .htaccess #Wordpress

Si tienes cPanel, busca la opción “Directorios Protegidos con contraseña”:

Al hacer clic aquí, llegamos a una pantalla que nos pide que seleccionemos un directorio. Navega hasta wp-admin, seleccionalo y llegarás a una pantalla como esta:

Marca la casilla “Protege este directorio con contraseña”. En “Nombra este directorio protegido” pon el texto que quieras que aparezca cuándo se pida la contraseña en el navegador; puedes poner lo que quieras. Dale a “Salvar”. Entonces crea un usuario y una contraseña y pulsa sobre el botón “Crear/modificar usuario autorizado”. Al intentar ir a wp-admin ahora aparecerá una ventana emergente donde deberás ingresar el usuario y contraseña que hayas creado. Por ejemplo, en Chrome tiene este aspecto:

Lo que ha hecho este proceso ha sido crear un archivo passwd con las credenciales del usuario y crear un archivo .htaccess en el directorio wp-admin con el siguiente contenido:

AuthType Basic
AuthName "Se requiere autentificación"
AuthUserFile "/home/user/.htpasswds/public_html/wp-admin/passwd"
require valid-user

La ruta que ves en AuthUserFile es la ruta hacia el archivo que contiene las credenciales. La ubicación exacta puede variar de un servidor a otro y si quieres puedes establecer una ubicación diferente y mover el archivo a esa ubicación. Si no tienes cPanel y tienes otro software, lo siento pero no lo voy a cubrir en este tutorial, es imposible cubrirlos todos. Pero vamos a ver un método manual bastante fácil:

1. Genera el arhivo passwd en este generador online.
2. Sube el archivo a la ubicación que desees, preferiblemente fuera del directorio public_html
3. Crea el archivo .htaccess dentro del directorio wp-admin e introduce las mismas líneas anteriores cambiando el valor de AuthUserFile por la ruta dónde hayas subido el archivo passwd
4. Listo!

Si lo prefieres, desde la línea de comandos puedes crear el archivo htpasswd con:

# Utiliza -c para crear el achivo y añadir user1
htpasswd -c /home/account/.htpasswd user1
# Si el archivo ya existe, puedes añdir usuarios así (Si user2 ya existe podrás actualizar la contraseña):
htpasswd /home/account/.htpasswd user2

Ya tenemos el directorio wp-admin protegido con contraseña.

Permitir solicitudes Ajax/Post

El API Ajax de WordPress se ejecuta en el archivo wp-admin/admin-ajax.php. Hemos bloqueado el acceso a todo el directorio wp-admin, así que cualquier plugin, tema o widget que utilice el API Ajax en el frontend dejará de funcionar.

Lo mismo ocurre con las solicitudes GET/POST realizadas a través de admin_post_{$action}o admin_post_nopriv_{$action}, las cuales necesitan acceso a wp-admin/admin-post.php.

Para solucionarlo podemos seguir bloqueando el directorio wp-admin pero permitir las solicitudes a los archivos admin-ajax.php y admin-post.php. Abre el archivo .htaccess en wp-admin generado en el paso anterior e introduce estas líneas al comienzo:

<FilesMatch "(admin-ajax|admin-post)\.php">
 Order allow,deny
 Allow from all
 Satisfy any
</FilesMatch>

3

Permitir solicitudes a imágenes, css y javascript

Las imágenes, archivos CSS y javascript localizados bajo el directorio wp-admin, aunque raro, pueden ser utilizados en el frontend por algunos temas o plugins. Si estás en este caso y quieres que todo siga funcionando deberá crear un archivo .htaccess en wp-admin/css/, wp-admin/js/ y wp-admin/images/ con el siguiente contenido:

Order allow,deny
Allow from all
Satisfy any

En estos directorios no hay nada más que archivos css, js y de imágenes respectivamente. No obstante, si quieres afinar más por si las moscas, puedes poner una regla <File> según el directorio y los tipos de archivos. Por ejemplo, en el directorio wp-admin/js/ podrías poner el siguiente .htaccess para permitir sólo solicitudes a archivos con extensión .js:

<Files ~ "\.(js)$">
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

fuente: https://goo.gl/o5xW2o

read more...