internetlab.es Las últimas noticias del mundo de los dominios web, hosting, servidores y marketing online.
Últimamente hemos visto publicadas varias noticias sobre blogs WordPress alojados por Network Solutions que estaban siendo hackeados. Las credenciales de autentificación de las página Web fueron robadas, de modo que los blogs fueron utilizados para redirigir miles de visitantes a otras webs que distribuían malware . Parece ser que el archivo de configuración de WordPress, llamado “wp-config.php”, almacena la contraseña de la base de datos del usuario en forma de texto sin formato. A pesar de ello, los atacantes no tendrían acceso al archivo si los permisos son configurados. Las páginas hackeadas tenían archivos de configuración que daban permiso de lectura a terceros, incluidos los visitantes de la Web.
Dado que el error que permitió el ataque es responsabilidad del usuario y no de WordPress, es importante asegurarse de que los blogs de WordPress que estamos usando son seguros. Lo primero que podemos hacer es chmod wp-config.php a 640, es decir, negar el acceso a todo usuario externo:
chmod 650 wp-config.php
Lo segundo que podemos hacer es configurar los permisos de entrada con .htaccess, de este modo nadie que acceda al servidor Web necesitará tenr acceso al archivo.
# Para proteger wp-config.php
order allow, deny
deny from all
Estos cambios deberían ser suficientes para evitar hackeos en tu página Web de WordPress. Por último, una advertencia, ten en cuenta que algunos proveedores de hosting web proporcionan scripts automatizados para instalar WordPress y esto podría darte problemas de seguridad. Instala Worpress a mano siempre que puedas.
