Tarsis.net — Agencia Web y Marketing Digital — Tel: (+34) 911 413 259 EU

ALERTA COVID-19: Asesoramiento gratuito sobre digitalización
Tarsis.net › Agencia Web y Marketing Digital

Archivo de la categoría ‘Tecnología’

Si su sitio web WordPress ha sido ya comprometido

Tarsis.net

Una de las peores pesadillas del administrador de un sitio web es encontrárselo modificado por alguien no identificado (defaced) y/o no poder acceder a él debido a que ha sido asaltado con éxito. Llegados a este punto, ¿qué podemos hacer?

Foto de freestocks en Unsplash

Si ha seguido los consejos de nuestra anterior entrada, usted no tendrá, afortunadamente, que hacer uso de los puntos que vienen a continuación, pero si no ha sido así y su sitio ha sido comprometido, es el momento de tomar algunas medidas drásticas post-ataque:

  • Deshabilite el acceso al sitio web desde cualquier dirección IP que no sea la suya. Incluso si el sitio web deja de estar accesible, es mejor a que esté mostrando información incorrecta y perjudicando la imagen de su empresa.
  • Deshabilite todos los usuarios, a excepción del usuario administrativo que utilice y cambie todas las claves por otras nuevas y robustas.
  • Reinstale su versión actual de WordPress y actualícela a la última versión.
  • Hágase con la lista de todos los plugins que están instalados. Deshabilítelos todos y compruébelos uno a uno, para estar seguro de que todos y cada uno de ellos están actualizados y son compatibles con su versión actual de WordPress. No reinstale ningún plugin que no tenga todas las garantías o no sea compatible con la última versión.
  • Instale plugins de seguridad y configúrelos adecuadamente para defender a su sitio de nuevos ataques.
  • Aquí es donde entra la utilidad de haber seguido una buena política de backup. Si la ha seguido usted tendrá todos los datos (base de datos, archivo principal de configuración de WordPress, temas personalizados) para recuperar su instalación. Si no la ha seguido, le espera un calvario de trabajo y frustración, porque habrá perdido no sólo su sitio web, sino todo el trabajo de posicionamiento en buscadores y enlaces externos que haya hecho durante los años que haya estado funcionando su sitio web.
  • Según el grado de compromiso, y si es incapaz de determinar el alcance de este, puede ser mejor comenzar el sitio web de cero, apoyándose parcialmente en contenidos extraídos de su copia de seguridad de la base de datos. Si su sitio web ha estado haciendo un mapa del sitio (sitemap), esta lista de contenidos puede serle útil para restaurar parcial o totalmente su sitio.
  • Una vez que la situación haya vuelto a una normalidad relativa, vuelva a habilitar el acceso público al sitio web.
  • Es evidente que algo ha salido mal, así que tiene que averiguar qué es lo que ha pasado y, a ser posible, cuándo ha pasado, para impedir que vuelva a ocurrirle. No subestime la importancia de este punto o puede ver su sitio de nuevo comprometido en unos pocos días tras haberlo recuperado.
  • Asegúrese de dotarse de las herramientas y procedimientos necesarios para disponer de un sitio web WordPress securizado, que no sea una presa fácil de los amigos de lo ajeno.

Si no se encuentra usted con el ánimo de emprender la recuperación de un sitio web WordPress comprometido, contacte con nosotros. Valoraremos su situación sin compromiso y le haremos una propuesta para reflotarlo.

PODEMOS AYUDARLE

Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

Securización de WordPress

Tarsis.net

Estadísticamente un 30% de los sitios web activos utilizan WordPress como gestor de contenidos (CMS), pero muy pocos de esos sitios están preparados para resistir unos asaltos que se producen todos los días, la mayor parte de las veces de forma automatizada.

Sitios web bajo asedio
Sitio de Budapest, 1686. Fuente: Wikimedia

Tipos de ataques

La mayor parte de los ataques que sufrirá su sitio web serán automatizados. Estos ataques están siendo permanentemente llevados a cabo por grupos de bots que exploran sin descanso todos los sitios web que pueden detectar en busca de información, tal como qué gestor de contenidos ha servido para crear un sitio, dónde se ubican diferentes servicios que ofrece WordPress (login, XMLRPC, cron) y tratar de evaluar los plugins instalados y sus versiones.

Con esta información otros bots llevarán después a cabo ataques contra dichas instalaciones, apoyándose en las vulnerabilidades públicamente conocidas (y no conocidas, o zero-day) con el objetivo de ganar acceso a la instalación o, en ocasiones, de obstaculizar sus operaciones mediante ataques de denegación de servicio (que pueden haber sido contratados o bien creados simplemente para extorsionar a la organización propietaria del sitio).

Como puede ver se trata de un panorama encantador con el que los administradores de sitios web batallan silenciosamente día tras día. Si es usted el administrador de un sitio web y no está al tanto de esta situación, es porque le falta información sobre lo que ocurre en su infraestructura, ya que la probabilidad de que su sitio web haya sido explorado y posteriormente atacado es del 100%.

Si su sitio web sigue funcionando normalmente es porque su administrador de sistemas está haciendo un buen trabajo, así que aproveche el último viernes de julio (“Día del Administrador de Sistemas”) para reconocer y felicitarle por una labor que hace en beneficio de toda su organización.

Para hacer la situación aún más amena, tendremos también que saber que hay otro tipo de ataques, dirigidos y llevados a cabo manualmente, sobre sitios concretos por personas concretas, que pueden también afectar a nuestros sistemas. Lo que habíamos visto respecto a los ataques automatizados representa una forma de fuerza bruta aplicada a granel sobre cualquier sitio con cualesquiera características.

De lo que hablamos ahora es de ataques quirúrgicos llevados a cabo por personas altamente cualificadas que pueden querer ganar acceso a un sitio web con multitud de posibles objetivos: Ganar acceso en el sitio web a información que no es pública, modificar interesadamente la información publicada en la web de su empresa u obtener una colección de claves encriptadas (hash) que después puedan ser descifradas y probadas en otros servicios de la organización. ¿Se imagina qué ocurriría si la clave del administrador de WordPress de su empresa es la misma que la del administrador de Google Apps/G Suite o de su intranet?

Este tipo de ataques son más profesionales, más interesados y por tanto más peligrosos. Tienen como objetivo las operaciones internas y la imagen pública de una organización. Pueden empezar también con una exploración del sitio web, o incluso con una operación que tenga como blanco una persona concreta (spear phising) con el fin de engañarla y conseguir información explotable.

Los resultados del éxito de uno de estos ataques es mucho más letal que los de los ataques automatizados. Para hacerles frente, además de disponer de las herramientas adecuadas, se necesita formación y unos procedimientos de seguridad consistentes en toda la organización.

Medidas para asegurar una instalación de WordPress

Pero no sucumbamos a la desesperación, porque no todo está perdido. Podemos poner a salvo nuestro sitio web WordPress si establecemos y seguimos técnicas y procedimientos factibles, relativamente sencillos, en la gestión del día a día:

  • En primer lugar, y más importante: Mantenga su instalación actualizada. Esto quiere decir que el núcleo de WordPress, todos los plugins que tenga instalados y los temas tienen que estar actualizados a su última versión, y que son compatibles con la versión actual de WordPress. No se permita trabajar de otra manera, porque de lo contrario es sólo cuestión de tiempo que un atacante localice una grieta de seguridad en su instalación anticuada y la aproveche.
  • Elimine todos los plugins y temas que no utilice. No están haciendo más que ocupar recursos y abrir potenciales agujeros de seguridad.
  • Elimine todos los usuarios que no sean necesarios. No deje abandonadas cuentas de usuario antiguas que, con el tiempo, se puedan convertir en puerta de entrada a su instalación.
  • Siga la buena práctica de establecer contraseñas seguras, no sencillas, ni compartidas con otros sitios web o servicios externos. La comodidad y la seguridad son dos conceptos que en la mayor parte de los casos están reñidos, y ésa es precisamente la razón de ser de los ataques de fuerza bruta para descubrir su clave de acceso. Para algunas instalaciones puede ser viable incluso optar por un doble factor de autenticación (2FA, Two Factor Authentication), que combine un usuario y una clave con el envío de un código temporal o un código QR legible por un teléfono móvil.
  • Mantenga siempre una estricta disciplina de backup. Hay excelentes plugins gratuitos que pueden hacerle la vida más sencilla, más segura y más tranquila.
  • Instale y configure inteligentemente un conjunto adecuado de plugins de seguridad que eviten la mayoría de los ataques y que le mantengan informado de cambios en su instalación.
  • Si su instalación dispone de un firewall o un CDN que usted pueda manejar, establezca reglas adecuadas para limitar el tráfico, especialmente a la parte administrativa de la instalación.
  • En muchas instalaciones puede ser necesario contar con un firewall de aplicación (Web Application Firewall, WAF), que actúa examinando las peticiones enviadas a WordPress y filtrando las que puedan ser potencialmente peligrosas.
  • Planifique el desastre. Póngase siempre en el peor de los casos y esté preparado para que su sitio web sufra un ataque irreversible, incluso si eso nunca llega a ocurrir. En esa circunstancia usted no puede quedarse parado sin saber qué hacer. Necesita haber asumido esa posibilidad, estar listo para reaccionar inmediatamente y restaurar la situación, al menos parcialmente, en pocas horas.

Si usted no tiene el tiempo o el personal que pueda asegurar su sitio web WordPress, contacte con nosotros. Valoraremos su situación sin compromiso y le haremos una propuesta para optimizarlo y securizarlo y evitarle problemas en el futuro.

En un próximo artículo explicaremos qué hacer cuando nuestro sitio WordPress ha sido ya comprometido y tenemos que tomar acción para devolver el sitio a la normalidad. No se lo pierda.

PODEMOS AYUDARLE

Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

El papel de la intranet en Recursos Humanos

Tarsis.net

El número de usos que tiene una intranet como soporte de los procesos internos de una empresa es incontable. Cualquier proceso interno susceptible de digitalización, especialmente aquellos que requieren una información estructurada, son susceptibles de saltar a una intranet, como plataforma aglutinadora.

Es frecuente encontrar usos de la intranet vinculados a preventa, postventa, IT interna y operaciones pero, aunque menos difundido en los medios especializados, el potencial de una intranet en el campo de los Recursos Humanos (RRHH) es enorme. Valga como muestra unos ejemplos:

  • Herramienta de difusión de las políticas de empresa. Políticas de contratación, de igualdad, de vacaciones, de retribuciones, de integración, de conciliación, de responsabilidad social corporativa, política medioambiental, política de privacidad, etc.
  • Anuncios de Recursos Humanos, como el calendario laboral, apertura de contratación de puestos de trabajo, anuncios de jubilación, política salarial, etc.
  • Repositorio de documentos de Recursos Humanos, como formularios de vacaciones, bajas, convenios sectoriales, normas de uso de instalaciones, revistas de prensa, etc.
  • Sistema para albergar formularios de uso interno: Vacaciones, notas de gastos o reserva de salas de reunión y otras instalaciones compartidas de uso exclusivo.
  • Comunicación de eventos internos, como kick-offs, conferencias, participación en eventos externos, comunicación de patrocinios, etc.
  • Directorio de empresa, para evitar la duplicidad y obsolescencia de los directorios en papel o electrónicos, pudiendo tener además herramientas de búsqueda según varios criterios.
  • Fomentar el aspecto social de la empresa, mediante las herramientas de la intranet social, organizada jerárquicamente en departamentos, pero también transversalmente en equipos o grupos de interés.
  • Formación interna: Desde cursos, vídeos, webinars, podcasts, documentos hasta un completo sistema de e-learning.
  • Facilitar y estructurar los procesos de on-boarding, que tienden a ser lentos, costosos y con tendencia a la informalidad.
  • Publicación de encuestas para medir el clima laboral e impedir que el tiempo y dinero invertidos por la empresa en reclutamiento se echen a perder debido a situaciones que usualmente escapan del radar del departamento de RRHH.
  • Soporte de blogs internos, que ocupan un lugar intermedio entre formación y comunicación, y en los que el personal más cualificado en una determinada materia puede verter sus conocimientos para beneficio de todos.
  • Servir de medio de comunicación de actividades extraempresariales, como la participación en programas de voluntariado o eventos en los que la empresa actúe como patrocinador.
  • Aumentar la satisfacción y el compromiso de los empleados poniéndolos en contacto unos con otros y fomentando actividades conjuntas e interacciones.
  • Sistema de resolución de consultas de empleados. Algo muy sencillo, pero que constituye de hecho la formalización de un proceso que normalmente se lleva a cabo informalmente mediante una consulta personal, una llamada telefónica o un mensaje de correo electrónico.

Como puede verse, una empresa cuyo departamento de RRHH emprenda sólo la mitad de estas posibilidades habrá avanzado un paso enorme en la gestión de muchos de los recursos del trabajo del día a día.

Como colofón, una nota sobre la insistencia a lo largo de este artículo en los términos “formalización” y “estructuración”: No se trata sólo de una llamada a un trabajo más organizado — que también — , sino que son precisamente esas características en los procesos las que permiten que el departamento cuente a medio y largo plazo con datos sobre los que luego se pueden obtener estadísticas y analizar para descubrir patrones y sacar conclusiones, es decir, actuar. No hay directivo al que se le escape la importancia de este hecho.

PODEMOS AYUDARLE

Si su empresa puede beneficiarse con la creación de una presencia web profesional, una intranet/extranet corporativa, herramientas de colaboración empresarial, marketing de contenidos (inbound marketing) o integración de tecnologías de terceros, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas:

WordPress como plataforma para una intranet o extranet

Tarsis.net

Créditos: Jonathan Farber en Unsplash

Debido a que WordPress es un gestor de contenidos accesible y muy extendido (inicialmente un software de blogging) que actualmente sirve para gestionar el 33% de todos los sitios de Internet, tendemos a asociarlo únicamente a eso, a un sistema de publicar contenidos.

Sin embargo, WordPress ha evolucionado mucho desde sus primeros pasos, y hoy en día es en realidad un ecosistema capaz de alojar todo tipo de aplicaciones sofisticadas, desde sistemas de publicación con flujos de trabajo editoriales hasta tiendas on-line con funciones avanzadas de todo tipo. La oferta de extensiones es apabullante, dispuesta a satisfacer cualquier necesidad.

Menos frecuente es ver a WordPress asociado a tareas que tienen que ver con herramientas de colaboración relacionadas con procesos internos o externos de una empresa (intranet o extranet), pero no existe ninguna razón técnica o de funcionalidad para que esto no sea así.

El desarrollo de sitios web de intranet o extranet ha estado tradicionalmente más relacionado con Drupal o incluso Joomla. Sobre todo Drupal presenta un grado de elaboración conceptual en su diseño que lo hace muy apto para el desarrollo de intranets, cuando la complejidad de la organización y sus procesos así lo demanda.

Naturalmente, ese grado de complejidad lleva también aparejado una mayor dificultad de desarrollo y una menor facilidad de mantenimiento. Joomla, por su lado, representa un grado de complejidad intermedio, entre Drupal y WordPress.

¿Qué ocurre si una organización necesita de una solución sencilla de utilizar, con una curva de aprendizaje suave para evitar rechazo o abandono entre sus usuarios y que le permita mantener el sistema por ella misma? En ese caso WordPress puede ser la solución más idónea, más barata y más sostenible a medio y largo plazo.

WordPress no es una intranet. Todavía

Una instalación nueva de WordPress está aún lejos de asemejarse a una intranet, porque consiste en un software inicialmente orientado a la publicación sencilla de contenidos. Necesitamos añadirle extensiones que nos proporcionen el resto de cosas que necesitamos para convertirlo en una flamante intranet.

Hay algunas cuestiones sobre las que hay que trabajar para llegar a ese punto:

  • Privacidad. Una intranet es un entorno privado y seguro, en el que sucede una parte importante del trabajo y los procesos de una organización.
  • Seguridad. Por la misma razón anterior, la seguridad tiene que ser un ingrediente básico de la intranet, desde el minuto uno.
  • Diseño. Una intranet no es meramente un repositorio de información. Además es un entorno de comunicación y de trabajo colaborativo. Cada organización es diferente, y su intranet tiene que dar solución a sus problemas particulares, y a sus desarrollos futuros.
  • Funcionalidad. Ahora que ya sabemos para qué vamos a usar la intranet, tenemos que dotarnos de las funcionalidades, lo cual habitualmente consiste en elaborar un cocktail de extensiones (plugins) a medida, que seguramente va a incluir una mezcla de extensiones gratuitas y de pago.

WordPress puede muy bien acometer todas esas tareas, si se sabe cómo diseñar una intranet con las facilidades que nos proporciona, y cumpliendo con buenas prácticas de diseño y desarrollo de intranets.

Muchas organizaciones, que tienen necesidades no tan complejas de comunicación, centralización de información o retención de conocimiento, pueden encontrar en WordPress la solución al trabajo colaborativo en una o varias ubicaciones, con la participación o no de usuarios externos.

Podemos ayudarle. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Tecnología Web

Etiquetas:

Securización de una intranet

Tarsis.net

Una de las cosas que se aprenden con la experiencia de años de diseñar, poner en marcha, hacer crecer y mantener intranets –o quizá sería más correcto decir herramientas privadas de colaboración empresarial— es que la seguridad debe ser un elemento presente desde el minuto uno. No vale acordarse de ella a posteriori, y no se pueden tomar atajos.

Para el usuario común, que utiliza servicios Internet de diferentes proveedores ya sea a través de su navegador o de aplicaciones móviles, la seguridad es algo que tiene que ver principalmente con cómo utiliza sus claves de acceso y, quizá, con mantener actualizado su sistema operativo y aplicaciones.

El panorama para los que administramos sistemas es muy diferente. Un examen rutinario del tráfico que atrae nuestro sistema revela información interesante –y a veces terrible– sobre el origen e intenciones de los visitantes. Los ataques contra sistemas son una circunstancia permanente, no episodios aislados. Cualquier sistema conectado a Internet es atacado de forma automatizada y de manera frecuente y permanente.

Pero, dejando aparte los numerosos ataques automáticos –generalmente poco sofisticados y dirigidos a sistemas mal configurados y gestionados–, hay también ataques menos frecuentes, más refinados, y que aspiran a ganar un acceso permanente y silencioso a un sistema en producción, a exfiltrar información valiosa y, finalmente, a dañar la reputación de la organización titular del sistema.

A nadie se le puede escapar que una intranet, que alberga información interna de una empresa referente a sus operaciones del día a día, pero que también puede alojar información estratégica, datos de clientes, de empleados y de proveedores, es por su propia naturaleza un blanco en el que se posan muchas miradas. Por tanto, la seguridad de la instalación debe formar parte de la misma desde su concepción.

La seguridad de un sistema es un concepto que tiene muchas facetas. Un sistema puede ser atacado de muchas formas distintas, a diferentes niveles de la pila de comunicación (¿alguien se acuerda del Modelo OSI?), y por esa razón las medidas que hay que adoptar tienen que cubrir un amplio espectro de posibles tipos de vulnerabilidad. El funcionamiento del sistema puede ser comprometido desde usando fuerza bruta (p. ej. utilizando un ataque de denegación de servicio, DoS o DDoS), hasta mediante el descubrimiento de una clave de usuario demasiado débil y, entre medias, a través de una miríada de posibles puntos débiles de los que es necesario ser consciente en todo momento.

Sin pretender hacer un recuento exhaustivo, sirvan de referencia diferentes elementos importantes que van a entrar en juego cuando se trata de asegurar una intranet:

  • Sistema operativo, que debe estar siempre actualizado a la última versión estable.
  • Configuración. Configuración correcta del sistema operativo y servicios del servidor.
  • Asignación de recursos. El servidor tiene que estar dimensionado para hacer frente a los picos de demanda de los usuarios de la intranet.
  • Filtrado de tráfico. Elementos de filtrado de tráfico (IP, UDP, ICMP), medidas de mitigación de ataques de denegación de servicio.
  • Orígenes de contenido. Configuración correcta de orígenes de tráfico (Content Security Policy), en el caso de servicios web, para impedir la inyección de código hostil desde orígenes no deseados (XSS, Cross-site scripting).
  • Aplicaciones. Medidas de seguridad de aplicación, que impiden que un usuario, autenticado o no, pueda utilizarla para ejecutar código en el servidor, incluida la posibilidad de exfiltración de datos.
  • Claves. Políticas de claves de usuarios (longitud, composición, periodo de validez). Una medida completamente básica y, sin embargo, ampliamente desatendida. También es importante educar a los usuarios para evitar malas prácticas en la custodia de claves, como por ejemplo apuntarlas en post-it a la vista de todo el mundo o compartir la clave con otra persona. Es necesario también hacerles conscientes de la posibilidad de que sean abordados por alguien malintencionado que practique sobre ellos la ingeniería social, para ganar acceso a sus cuentas (por ejemplo, pero no sólo, mediante la técnica conocida como spear phising).
  • ACL. Mecanismos de control de acceso a los contenidos (ACL, Access Control Lists), que autorizan/niegan acceso a según que parte de la intranet en función de quién sea el usuario y los permisos que tenga.
  • API. Es posible también que, dependiendo de la plataforma que hayamos utilizado como base de nuestra intranet, tengamos también que tomar medidas para asegurar la API (Application Program Interface) con la que están dotadas muchas de ellas.
  • Datos. Seguridad de los datos, que deben ser frecuentemente salvaguardados de una forma completa y segura, para el caso en que se produzca una situación de desastre. Piénsese que el software es reemplazable, pero los datos no lo son.
  • Plan de contingencia. ¿Qué vamos a hacer si el sistema tienen una caída grave? ¿Podremos reemplazar sus subsistemas más prioritarios? ¿Tenemos copia de seguridad de los datos? ¿En cuánto tiempo podemos restaurar el servicio y por qué medios?

A pesar de que siempre hay que tomar estas medidas, nunca tendremos la completa seguridad de que no pueda ocurrir algo: malas prácticas o errores humanos, vulnerabilidades no públicas (zero-day) o errores de hardware son posibilidades siempre presentes, y hay que estar en situación de hacerlas frente, porque el trabajo de una organización depende de ello.

Precisamente por eso la vigilancia permanente de administrador es el colofón a todas las medidas que se adopten. No es suficiente con que las medidas estén implantadas, porque existen situaciones en las que esas medidas van a verse desbordadas. La monitorización de los registros de las diferentes partes del sistema para asegurarnos de que el conjunto está funcionando como debe es siempre imprescindible.

Podemos ayudarle. Si su empresa puede beneficiarse con la creación de una intranet/extranet corporativa, contacte con nosotros y estudiaremos su caso, sin compromiso.

Publicado en: Empresa Tecnología Web

Etiquetas: