lunes, 12 de mayo de 2014

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Heartbleed, el mayor fallo de seguridad de la historia de Internet: qué es y qué hacer para asegurar WordPress

Posted: 11 May 2014 11:00 PM PDT

heartbleed-openssl-bug

Si estás en este mundo ya sabrás que hace poco más de un mes se descubrió un fallo enorme que afecta a más del 66% de todo Internet: el bug Heartbleed.

:: ¿Qué es Heartbleed? ::

Heartbleed-logo

De hecho, Heartbleed está considerado el mayor fallo de seguridad en Internet de toda la historia, pues afecta al software Open SSL, el más utilizado en servidores Apache y NGinx desde 2012 para ofrecer páginas de conexión segura (la ironía está servida).

Así que tu red social, tu tienda de comercio electrónico, hasta la web donde haces la compra del supermercado podrían ser vulnerables si usan una versión no segura de Open SSL, desde la 1.0.1 hasta la 1.0.1f ambas incluidas.

Lo peor de todo es que cualquier atacante mal intencionado puede utilizar este fallo y no deja rastro alguno de su actividad, simplemente toma posesión de la web, puede sustituir usuarios, obtener información personal y de tarjetas de crédito, incluso crear un clon del sitio.

De hecho, se recomendó que, si nos preocupaba la seguridad de nuestros datos, hasta que no hubiese una versión segura de Open SSL (la primera ha sido la 1.0.1g) y se actualizasen a la misma los principales servicios era mejor no utilizar Internet, ahí es nada.

:: ¿Cómo me protejo de Heartbleed como usuario? ::

heartbleed usuario contraseña

Cómo usuario de Internet el único modo de protegerte de Heartbleed es estar informado, algo que pasa por lo siguiente:

  1. Comprueba en esta lista si tus webs favoritas están afectadas por el fallo Heartbleed.
  2. Instala esta extensión de Chrome que te avisa si la web que visitas está afectada por Heartbleed.
  3. Cambia inmediatamente las contraseñas en todos los sitios que usen Open SSL y se haya demostrado que han estado comprometidos (casi todos, ejemplos: Google, Facebook, Flickr, Yahoo, GoDaddy, etc, etc, etc.).

:: ¿Cómo protejo WordPresss de Heartbleed? ::

heartbleed wordpress

Para empezar … si no utilizas certificado seguro entonces no tienes que hacer nada. Esto afecta solamente si has dado de alta un certificado para ofrecer una tienda de comercio electrónico, una red social o similares. Esto solo afecta a páginas https.

En caso contrario, si usas un certificado SSL/TLS, la cuestión es bien distinta y lo que deberías hacer es lo siguiente:

  1. Comprueba si tu sitio está afectado por el fallo Heartbleed aquí o aquí. En caso afirmativo (o de duda) contacta con tu proveedor de alojamiento para exigirle que actualice Open SSL a una versión segura con la mayor urgencia.
  2. Una vez actualizado Open SSL obtén nuevos certificados SSL/TLS (normalmente tu proveedor de alojamiento)
  3. Como administrador responsable y precavido requiere a tus usuarios de que cambien sus contraseñas, o se las reincidas tu todas a la fuerza. Siempre es buena estrategia forzar el cambio de contraseña cada cierto tiempo.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Seguidores

Archivo del blog