Nota del autor

Si la entrada que estás leyendo carece de imágenes, no se ve el vídeo que teóricamente lleva incrustado o el código fuente mostrado aparece sin formato, podéis conocer los motivos aquí. Poco a poco iré restableciendo la normalidad en el blog.
Este blog es un archivo de los artículos situados previamente en Lobosoft.es y ha dejado de ser actualizado. Las nuevas entradas pueden encontrarse en www.lobosoft.es. Un saludo,
Lobosoft.

miércoles, 13 de agosto de 2008

Divagando

Tras los insistentes ataques sufridos por el blog, como bien sabéis quienes me leéis habitualmente, decidí cambiar el CMS que uso para la publicación. Hasta el momento, en Lobosoft había usado Wordpress en sus versiones 2.3.1 a 2.6 (pasando por la 2.3.2, 2.3.2 “MU” y 2.5.1), ya que me pareció -y sigue pareciendo- una completa gozada a nivel de usuario.


Aunque me inicié en este mundillo con un blog de Blogger, la capacidad de expansión (casi) ilimitada de Wordpress gracias a la amplia cantidad de plantillas y plugins disponibles me gustó tanto que me decidí a probarlo, no en la versión de Wordpress.com, más rápida en su configuración pero menos flexible por las limitaciones propias del hosting que ofrece Wordpress, sino descargando el software de Wordpress.org e instalándolo en mi propio servidor. Y he de admitir que me encantó. Era como tener una especie de CMS “mecano” que ir construyendo poco a poco, y haciéndolo crecer. Su interfaz de usuario además es sencillísima, ya que al estar especialmente orientado a la publicación de entradas no provoca una sensación de desorientación en el usuario, que enseguida sabe dónde encontrar cada cosa.


Lo cierto es que Wordpress pronto me mostró su cara más cruel, ya que debido a la ingente cantidad de memoria que consumen tanto su core como los plugins instalados tuve algún que otro problema, pero que con algunos ajustes en la configuración de Apache quedo pronto atajado, de modo que en verdad no podía quejarme. De hecho, en su momento álgido, Lobosoft llegó a tener más de 20 plugins ejecutándose, configurados adecuadamente e incluso modificados en algunos casos para ofrecer una funcionalidad extra, o para interactuar entre sí ofreciendo nuevas capacidades al blog, tanto a nivel administrativo como en cuanto a la visión que ofrecía a los usuarios del mismo. De ahí mis reticencias a la hora de llevar a cabo actualizaciones completas (iba actualizando los módulos vulnerables conformen aparecían problemas de seguridad), que desembocaron hace unas semanas en la obligación de dar el salto a la versión 2.5.1, tras los primeros ataques hackers al blog, desactivando de paso gran parte de los plugins.


Esta acción me proporcionó unos días de respiro, pero la persistencia de los atacantes obtuvo su fruto y dieron con un nuevo agujero de seguridad. Actualicé a la versión 2.6, pero días después atacaban mediante SQL-Injection al plugin Now Reading que tenía instalado para ir mostrando qué libros me encontraba leyendo en un momento dado, intentando realizar una escalada de privilegios y acceder como el usuario administrador del blog. Por último, y tras ver cómo era rodeado por más y más atacantes, decidí cortar por lo sano y proteger el sitio web mediante directivas a Apache incluidas en el correspondiente archivo .htaccess. Esto dio un mejor resultado, protegiendo definitivamente el blog, pero para entonces Wordpress me había tocado la moral y el orgullo, y comencé a investigar sobre el mismo. Tras encontrar un mar de críticas sobre la seguridad de WP, decidí cambiar de sistema de publicación. Resumiendo, que tras hacer variados pinitos detectivescos averiguando por dónde entraban las ratas al barco, decidí ser yo mismo quien lo hundiera antes de que se comieran todo el queso.


Pero dado que Wordpress se ha convertido en el CMS más difundido a la hora de crear bitácoras y, por ende, es usado y se seguirá usando con este fin, podríamos dar una serie de consejos respecto a su seguridad que nos harán la vida un poco más fácil. Y diréis: “¿cómo osas dar consejos cuando tu propio blog ha sido atacado y vencido por los hackers?” Y os responderé: “bien decís, amados lectores. Mas si he sido defenestrado por los hackers no ha sido más que por mi inconsciencia, y una vez caído, tras levantarme y sacudirme el polvo del camino, he mirado hacia arriba y he presenciado con pesadumbre y cierta sensación de vértigo los despropósitos que había cometido debido a mi cerrazón. Además, que más sabe el diablo por viejo que por demonio”.


¿Y a que viene todo esto? Pues que en el próximo post encontraremos un resumen de la jugada. ¡Salud!

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)