Plugins de seguridad para detectar código malicioso en WordPress

Quienes han llegado a integrar un blog de WordPress con una plantilla específica y posteriormente, la integración de determinado número de plugins, quizá nunca en la vida llegaron a imaginar que su entorno de trabajo se llegó a contagiar algún tipo de código malicioso.

La sorpresa puede darse debido a que este tipo de situaciones generalmente se suscitan cuando se adquieren a estos dos elementos por parte de terceros, lo cual quiere decir, que tanto a la plantilla que se utiliza para WordPress así como también a los plugins (en la mayoría, de pago) se los pudo haber descargado desde servidores ilegales en la web.

¿Qué código malicioso puede existir en plantillas de WordPress descargadas ilegalmente?

Cuando llegas a comprar una plantilla de WordPress desde un sitio oficial, quienes te la han proporcionado generalmente ofrecen soporte técnico así como también, asesoría en la personalización de su producto. Esta plantilla de WordPress teóricamente tiene que venir completamente vacía sin ningún tipo de código ni nada por el estilo, siendo el administrador del blog de WordPress el que debe empezar a modificar determinados campos según sea su interés.

Si se llega a adquirir una plantilla de WordPress desde un sitio ilegal, lógicamente el administrador del sitio web no tendrá soporte alguno y por tanto, no sabrá el lugar en donde pueden estar determinadas herramientas configuradas de forma predeterminada. Más allá de este hecho, quien alojó a esta plantilla de WordPress en un servidor ilegal pudo haber colocado determinados códigos en su favor.

Por ejemplo, si un bloguero se esta iniciando con este Gestor de Contenido CMS, muy posiblemente no tendrá la capacidad de integrar a su publicidad Adsense ni tampoco, al código de Google Analytics. Hasta que sigan un curso sobre tal aspecto, momentáneamente podrían estar utilizando a dicha plantilla de WordPress sin ningún tipo de modificación importante; esto puede ser realmente preocupante, pues en el interior se pudo haber colocado determinados códigos que:

  • Dirijan al visitante de un sitio web, hacia un entorno completamente diferente al del administrador del blog de WordPress.
  • Que se haya colocado publicidad de Google AdSense perteneciente a otra cuenta completamente distinta.
  • Que se haya colocado el código de Google Analytics para saber la preferencia de visitas que va a tener este sitio web.
  • Colocar determinados códigos HTML con publicidad personal o comercial, perteneciente a otro sitio web.

Sólo hemos mencionado cuatro aspectos para tomar en cuenta, existiendo muchos más y de los cuales te podrás llegar a enterar de labios de expertos en seguridad SEO; resumiendo algo de lo que hemos sugerido en los literales anteriores, un experto en programación HTML podría haber tomado una plantilla de WordPress de cualquier sitio web y posteriormente, haber realizado las respectivas programaciones para que la publicidad de Adsense le dirija réditos económicos a él. Además de ello, si llegaron a colocar un código malicioso, con ello el experto informático podría llegar a rastrear absolutamente toda la actividad del blog para posteriormente, utilizarla en su beneficio.

El motivo del presente artículo es el de dar a conocer, a unos cuantos plugins que se pueden instalar en el blog de WordPress, los cuales deberían tener la capacidad para detectar si en el entorno de trabajo se ha incrustado (o lo han colocado) algún tipo de amenaza.

Aquellas incidencias que podrían llegar a ofrecer un código malicioso y que mencionamos anteriormente se las podría llegar a detectar con este plugin. Al mismo lo puedes llegar a ubicar desde el repositorio de WordPress (o mediante el respectivo enlace de descarga), debiendo instalar y activarlo por cualquiera de las modalidades con las que te sientas más cómodo.

theme-authenticity-checker

Tal y como lo sugiere su nombre, este plugin de nombre «Theme Authenticity Checker (TAC)» tiene la capacidad de detectar la autenticidad del tema de WordPress que hayamos instalado en el blog. Parecería ser una tarea completamente difícil, pero según el desarrollador, su propuesta tiene la capacidad de analizar cada uno de los rincones (línea de código) de los que forma parte esta plantilla de WordPress. Cuando en un momento determinado haya encontrado a algún enlace que redirige al visitante hacia un lugar completamente diferente, el plugin (según el desarrollador) tiene la capacidad de mostrar la línea exacta en donde esta ubicado dicho código.

Sin duda que es una excelente alternativa para adoptar, pues con ello tendremos la posibilidad de eliminar a dicho código. Recordemos lo que mencionamos al inicio, y es que de manera inteligente, alguien pudo haber desviado determinado número de enlaces hacia sitio web completamente distinto al lugar en donde esta instalada la plantilla.

Este plugin actúa de una manera diferente a la propuesta anterior; como bien sabemos, una plantilla de WordPress así como también los diferentes plugins que podríamos llegar a integrar para trabajar en el blog, en realidad vienen a representar una serie de archivos, los cuales se alojan en determinado número de carpetas dentro del web hosting. De ello nos podríamos dar cuenta si pudiésemos utilizar a un cliente ftp (como FileZilla), pues con dicha herramienta lograríamos admirar a estas carpetas una vez que ingresemos hacia la estructura de la plantilla en nuestro blog.

exploit-scanner

Exploit Scanner tiene la capacidad de analizar a cada uno de los archivos que están presentes en estas carpetas o directorios, pudiendo detectar fácilmente si allí esta presente algún archivo que represente una amenaza potencial para nuestro blog. Si este plugin llegara a detectar a dicha amenaza, es el administrador del blog de WordPress quien tendrá que eliminarla manualmente. Hemos mencionado en el párrafo anterior, que este plugin actúa de una forma diferente al anterior debido a que en este caso, no se analiza ningún tipo de línea de códigos en la programación de la plantilla o del plugin sino más bien, a algún archivo (físicamente hablando) que se haya integrado y que no forme parte de la estructura del sitio web.

Seguimos con nuestra lista de plugins que podríamos utilizar para detectar algún tipo de amenaza incrustada en el blog de WordPress; el actual (Sucuri Security) es considerado como uno de los más relevantes debido a la reputación con la que cuenta a la hora de reconocer algún tipo de malware. Una vez instalado el plugin, el mismo llegará a monitorear a todos y cada uno de los archivos que formen parte de nuestro blog de WordPress, basándose en una lista negra que se encuentra alojada en sus respectivos servidores.

sucuri-security

Si no quieres instalar a este plugin debido a las sugerencias que hemos hecho en determinado momento (tratar de utilizar pocos plugins en un blog de WordPress), entonces quizá debas realizar una pequeña prueba, algo que te lo ofrecen los mismos desarrolladores de «Sucuri Security». El hecho es que se puede utilizar a un servicio online para analizar a tu blog de WordPress de forma remota.

Sucuri Security 02

Solamente tienes que dirigirte hacia dicho sitio web y escribir la URL de tu blog de WordPress en el respectivo espacio. Luego de presionar al botón «Scan WebSite» (de color verde) se iniciará automáticamente el análisis. Si tienes suerte, aparecerá un mensaje en donde se informará que tu sitio web esta libre de toda amenaza aunque, aparecerá una pequeña señal de advertencia en la que se te sugiere «estar mejor protegido» con la integración de su plugin en tu blog. Si logras admirar en los resultados que algún tipo de amenaza se ha incrustado en tu blog de WordPress, de manera inmediata deberías tratar de seguir las sugerencias de sus desarrolladores e instalar a su plugin. Si no lo deseas hacer entonces podrías adoptar otro tipo de medidas de seguridad, de las cuales inclusive te las hemos mencionado en diferente número de posts dentro del blog de Factoría Digital.

Para muchas personas y especialmente para expertos en seguridad informática, este plugin viene a ser el ideal para todo el entorno de trabajo en la web. Aplicado específicamente a un blog de WordPress, el plugin tiene la capacidad para detectar y también, eliminar a cualquier amenaza que se haya encontrado dentro de este entorno.

No solamente se encarga de detectar al malware como lo sugiere su nombre sino también, a determinado número de virus y archivos que podrían tener código malicioso. Además de ello, el administrador de un blog de WordPress tiene la posibilidad de elegir el tipo de exploración que desea hacer con «Anti-Malware», existiendo uno personalizado, otro rápido y una opción para explorar profundamente en el sitio web. Desde sus opciones también se puede llegar a admirar si algún archivo de código malicioso ha sido colocado en cuarentena.

anti-malware-and-brute-force-security

A pesar de los inmensos beneficios que hemos destacado de este plugin, existe una pequeña inconveniencia con la que quizá no quieras participar. El hecho es que el desarrollador de Anti-Malware sugiere a los interesados que se suscriban de forma gratuita a su servicio. Si no lo vas hacer, es recomendable que no instales a este plugin pues determinados parámetros y notificaciones te llegarán al número de teléfono móvil que registres con la herramienta; cabe mencionar ligeramente, que si este plugin llegara a detectar algún tipo de amenaza, el administrador del blog de WordPress prácticamente no tendrá que hacer absolutamente nada pues dentro de su configuración, esta en que el plugin tenga la capacidad para eliminar a dicha amenaza de forma automática.

Este plugin también cuenta con la posibilidad de examinar a todos y cada uno de los archivos que hayamos subido a nuestro blog de WordPress. Ello involucra a un análisis de los archivos que forman parte de nuestra plantilla así como también, de los plugins que pudimos haber instalado dentro del blog.

wordpress-antivirus-site-protection

WP Antivirus Site Protection no se limita únicamente a estos dos tipos de elementos sino también, a imágenes, audio o videos que quizá llegamos a utilizar como parte del contenido de un post, a los cuales obligatoriamente se los tuvo que haber subido al sitio web, mismos que formarán parte de la «biblioteca multimedia» del blog. Cabe mencionar, que en determinados casos se suelen subir archivos de diversa índole y diferentes a los que mencionamos anteriormente, los cuales podrían ser un documento .txt o alguna pequeña herramienta que quizá, se quizo compartir mediante un post. Si estos últimos (el documento plano y la herramienta ejecutable) tienen en su interior algún tipo de amenaza, el plugin los detectará y eliminará automáticamente.

Este plugin puede ser el ideal para quien no tiene mucha experiencia (y tiempo) en el manejo de funciones especializadas dentro de un blog de WordPress. Una vez que se instale a este plugin, el administrador del sitio web prácticamente no tendrá que hacer absolutamente nada, siempre y cuando haya configurado determinados parámetros con los que debe trabajar «AntiVirus for WordPress».

antivirus-for-wordpress

La interfaz de manejo de este plugin es algo muy fácil de manejar, pues únicamente necesitamos activar la casilla en donde, se ordena la exploración de la plantilla de nuestro blog de WordPress. Básicamente esa es la tarea principal que llega a realizar el plugin, es decir, que se especializa en tratar de encontrar si existe algo extraño en la plantilla. Solamente tenemos que presionar al botón de color azul para que la exploración se inicie en ese instante. También podríamos llegar a ordenar, que a nuestro correo electrónico llegue una notificación cuando exista alguna situación extraña dentro de nuestro sitio web. Esta última alternativa se la suele utilizar cuando el propietario del blog de WordPress, no pasa mucho tiempo dentro del panel de administración pues en este último campo, es el lugar en donde obligatoriamente tienen que llegar diferente tipo de alertas de virus, ello en el caso de que se haya encontrado a alguna.

Otra ventaja adicional que se puede rescatar de este plugin se encuentran el tipo de análisis a realizar. Tal y como lo sugerimos en el párrafo anterior, si el administrador de un blog de WordPress no tiene mucho tiempo para llevar un control estricto sobre su entorno de trabajo, utilizando a este mismo plugin tendrá la posibilidad de ordenar o programar un siguiente análisis, lo cual quiere decir, que podríamos llegar a realizar esta tarea en los momentos de menor tráfico al sitio web, ello con el único objetivo de no ralentizar el despliegue de páginas a las visitas.

Según el desarrollador (y para muchas otras personas más), este plugin viene a ser el complemento más completo que se puede llegar a utilizar para la detección de algún tipo de malware. No solamente se dedica a tratar de identificar a estas amenazas sino también, a virus, troyanos, gusanos, los malware, archivos con código malicioso y mucho más. Con tanta peligrosidad en la web, quizá sea conveniente tratar de obtener este plugin para que pueda mantener completamente seguro a todo nuestro entorno de trabajo.

quttera-web-malware-scanner

El administrador de un blog de WordPress tiene la capacidad de elegir el tipo de exploración que debe  realizar un plugin, pudiendo utilizarse a su «inteligencia artificial» (según el desarrollador) para detectar algún tipo de malware oculto y desconocido. Además de ello, el plugin integra a determinado número de listas negras que provienen desde las mismas bases de datos de los desarrolladores. Si hemos adquirido un plugin o una plantilla de WordPress en un sitio extraño, «Quttera Web Malware Scanner» tiene la capacidad para analizar cada línea de código, pudiendo detectar si existe algún tipo de enlace que redirija a la página web hacia sitios webs externos.

Todo lo que hemos mencionado anteriormente viene a ser la gran conveniencia aunque, hay que aclarar que este plugin se lo entrega bajo dos modalidades diferentes, siendo una de ellas la gratuita y en la cual se ofrece la posibilidad de detectar malwares únicamente; la versión de pago que tiene un costo de 60 dólares al año (un poco costoso) te ofrece la posibilidad de detectar a otro tipo de amenazas más.

El desarrollador de este plugin menciona, que su propuesta se especializa en tratar de detener todo tipo de amenaza cibernética proveniente desde la web. Entre las características más importantes está la de poder proteger en tiempo real al blog de WordPress contra amenazas conocidas, ofrecer una autentificación de dos factores como lo propone Google, el bloqueo ante toda una red de código malicioso y la protección de cualquier tipo de agujero de seguridad que se haya generado dentro del sitio web.

wordfence

Las características básicas pueden ser utilizadas completamente gratis aunque, si deseas otras más especializadas (incluido su soporte y servicio técnico) tendrás que hacer uso de la modalidad de pago.

Lo que ofrece el desarrollador de este plugin es algo básico y gratuito a la vez; el mismo se especializa en tratar de analizar absolutamente a toda la estructura del blog de WordPress, lo cual quiere decir, que dentro de la exploración se tratara de ver si existen archivos de código malicioso en algún plugin o en la misma Plantilla de WordPress.

wemahu

Si se ha instalado un tema de WordPress o un plugin en un momento determinado y «Wemahu» llega a detectar algún tipo de cambio no autorizado, inmediatamente se notificará al propietario de sitio web mediante correo electrónico o desde el mismo panel de administración.

Consideraciones generales para proteger nuestro blog de WordPress

A pesar de que hemos sugerido a 9 plugins para instalar en nuestro blog de WordPress y de los cuales, quizá debas tratar de utilizar a uno (tal vez a unos cuantos más) para mantener protegido a todo nuestro entorno de trabajo, la sugerencia más importante que podríamos llegar a dar en este instante se encuentra en la «ingeniería social». Ello quiere decir, que más allá de utilizar un plugin (que no está por demás para una seguridad adicional) somos nosotros como administradores del sitio web, los que debemos saber lo que aprobamos o descartamos.

Por ejemplo, si hemos encontrado un plugin que normalmente se lo tiene que comprar pero, que se lo ofrece gratuitamente en redes de servidores ilegales, ello podría ser algo sospechoso pues nadie obsequia nada sin ningún tipo de retribución. Por otro lado, es necesario tratar de adoptar determinadas medidas de seguridad para evitar ataques spam, algo de lo cual inclusive habíamos mencionado anteriormente y en donde recomendamos a la utilización del plugin Akismet, el cual viene siendo uno de los más efectivos del momento para este tipo de seguridades.

De los plugins que hemos mencionado anteriormente, te recomendamos utilizar a aquellos en su versión gratuita para saber el nivel de efectividad con el que cuentan; si luego de ello consideramos que dicho plugin puede ofrecernos una buena protección para el blog de WordPress entonces quizá debamos adquirir a su versión de pago.

De nuestra parte te sugerimos tratar siempre de implementar complementos para tu blog de WordPress desde sitios legales. Ello quiere decir, que si vamos a adquirir una plantilla para estructurar cada uno de nuestros post, podríamos llegar a adquirir algunos de los tantos que existen desde la web oficial de sus desarrolladores. El costo a pagar por una de éstas Plantillas para WordPress no llega a ser de máximo unos 60 dólares, algo que vale la pena invertir pues con ello estaríamos prevaleciendo la seguridad de nuestro sitio web.

Si te estas iniciando con un blog de WordPress, quizá no desearás invertir dicha cantidad de dinero (a pesar que «lo deberías tomar como una pequeña inversión» para tu crecimiento), y por tanto, quizá te dediques a tratar de encontrar algún tema de WordPress gratuito.

Por si no lo sabías, en cada actualización propuestas para WordPress, sus desarrolladores siempre ofrecen a los interesados la posibilidad de utilizar a una de sus plantillas completamente gratis. Te recomendamos hacer uso de estas plantillas pues las mismas, han sido optimizadas para tener buenos rendimientos a la hora de obtener un buen tráfico.

He trabajado con Wordpress durante largos años, conociendo cada uno de sus trucos en las varias versiones desarrolladas. Dar a conocer éstos trucos mediante videos y posts, es un orgullo para que muchos, puedan aplicarlos a sus respectivos blogs.

Publicaciones Similares