Infección con software de Minado de Bitcoin en WordPress – Caso de Estudio

Sabias que tu sitio web podría estar minando Bitcoin sin vos saberlo?

A diario leemos sobre la creciente ¨moda¨ de sitios web que, por opción propia, usan el minado de bitcoin con sus visitantes, para obtener réditos económicos de sus webs.
Pero existen otros casos en los que hay webs que pueden llegar a minar bitcoins sin siquiera saberlo, y esto es justamente lo que me paso hace unos días en un caso digno de estudio.
Hace unos días un cliente me avisa que al visitar su web, un portal de noticias, aparece una alerta del antivirus Avast, avisando de que la web esta infectada con un virus. También me comenta que hizo la prueba desde varias PC diferentes y en todos los casos pasaba lo mismo.

Ante dicho aviso lo primero que hice fue escanear el sitio, que es un WordPress en su ultima versión y con todo el software actualizado. No podía entender como un sitio con WordPress, con solo 2 o 3 plugins, instalados directamente desde el propio wordpress y con un theme también obtenido de la propia tienda de WordPress, podría estar infectado con un Malware
Así que escanee el sitio desde afuera con Sucuri SiteCheck  y por dentro con Malware Bytes  y con ambos el resultado fue el mismo… NADA. Aparentemente aún no detectan infecciones de software de minado de Bitcoin.
Me llamo bastante la atención, especialmente con Malware Bytes pues lo he usado en varias ocasiones y ha demostrado ser una gran herramienta de desinfección…
Además de usar estas herramientas hice una revisión del código fuente del sitio y no encontré nada extraño…

Escaneo con Malwarebytes
Resultados del escaneo con Malwarebytes libres de Minado de Bitcoin
Escaneo con Sucuri
Resultados del escaneo con Sucuri libres de Minado de Bitcoin

No fue hasta que el cliente me paso una captura de pantalla del mensaje que le ponía Avast cuando comprendí por donde venia la mano..
El mensaje que ponía Avast decia:

Amenaza Resuelta:
Hemos anulado de forma segura la conexion de coinhive.com porque estaba infectada por JS-Miner C[Trj].

Ahí comprendí que había algún tipo de código malicioso minando bitcoin en el sitio, así que chequee al momento de abrir la web el consumo de recursos del procesador y ahi estaba…. Cada vez que visitaba la web los 4 nucleos de mi procesador se ponían a tope… 🙁
Fue así que debí hacer una tarea forense de todo el sitio y con la ayuda de un amigo, mediante el inspector de código de Firefox fue que encontramos al culpable (gracias mister!).
Y como fue que un código de esas características se coló en un WordPress con todo el software actualizado? Bueno.. el culpable era un plugin que añadía un widget para mostrar el estado del tiempo… el cual estaba infectado. Desconozco si la infección es algo hecho por el programador del plugin o simplemente el es una víctima mas y fue hackeado.
El nombre del plugin culpable de todo esto es el Weather for us widget y la url del mismo es http://www.weatherfor.us/

Weather for us widget
Weather for us widget – Plugin que mina Bitcoin

Pero lo cierto es que cada vez es mas importante tener mucha precaución a la hora de instalar un plugin en nuestro wordpress…. ya que como ven.. podría venir con sorpresa!!!
Eliminado el plugin se termino el problema y el sitio volvió a quedar seguro…
Moraleja… no importa que tengas todo el software actualizado de tu wordpress y que solo uses plugins de el repositorio de WordPress.. nadie esta a salvo.

WordPress Themes

Los themes de WordPress o plantillas son un conjunto de archivos que una vez instalados en WordPress, cambian su aspecto por completo.
Ademas, una vez instalado el theme se la puede seguir personalizando, generalmente a través de un panel de control que trae la propia plantilla o también modificando su código fuente.
Hay themes Wordpress gratis y themes de Wordpress Premium que son de pago.
Las mejores son las de pago, pero esto no quiere decir que no haya plantillas de Wordpess gratuitas muy buenas y de gran calidad.

La gran mayoría de los themes son responsive, es decir, el diseño se adapta automáticamente al dispositivo donde la vemos. Esto es sumamente importante pues recuerden que nuestro sitio web, en la actualidad, puede ser visitado desde un sin fin de diferentes dispositivos y resoluciones de pantallas también diferentes. Por ejemplo, es súper importante que el sitio se vea bien tanto si es visitado desde una PC/MAC que en la actualidad puede tener una resolución FULL HD o Superior (1920px x 1080px) o desde un tablet con una resolución menor, o peor aún, desde un móvil con una resolución de 800px x480 o inferior.

A su vez hay otro factor sumamente importante a la hora de elegir un theme de WordPress y este es el soporte que el desarrollador le brinde al mismo. En general todos los themes de pago brindan entre 6 meses y 1 año de actualizaciones gratuitas. Con los themes gratis la cosa cambia y habrá que ver muy bien la web del desarrollador para estar seguros de que el theme se actualiza regularmente. Porque es importante esto? Supongamos que tenemos X versión de WordPress y el theme que le ponemos funciona de maravillas. Ademas, gastamos una cantidad de tiempo considerable ajustando y puliendo todos los detalles para que el sitio se vea a nuestro gusto.
Al sitio comienza a irle muy bien, tiene muchas visitas y todo va de maravillas… hasta que.. sale una nueva versión de Worpress y nuestra plantilla no es compatible con la nueva versión… y cuando actualizamos WordPress (o se actualiza solo automáticamente como sucede a veces) nuestro sitio queda hecho un desastre…. Que fea situación no? Eso nos deja con dos opciones… O ponerle una nueva versión del theme a mi sitio, que este actualizada y sea compatible con la nueva versión de WordPress o simplemente cambiar de plantilla y con eso cambiar toodo el diseño de nuestra web… no mola no?
Entonces, espero que con eso les haya quedado claro el porque es sumamente importante saber de antemano a poner una plantilla si la misma cuenta con actualizaciones periódicas…

Themes Gratis o De Pago?

En realidad va a gusto del consumidor, es decir, si encuentras una plantilla gratuita que se adecue a tu proyecto y que tenga actualizaciones periódicas pues bueno, va de maravillas una gratuita.
De lo contrario deberás buscar una de pago. Plantilla de WordPress de pago hay muchas y muy variadas y de gran calidad. Los precios varían desde € 10 a los € 100 e incluso más.
Todo dependerá de las funcionalidades que agregue la plantilla, del soporte que tenga, etc, etc.

Themes WordPress gratis.

Hay varios sitios que pueden proveernos de plantillas gratis de calidad, pero en general no están todas en un mismo lugar como si lo están las de pago. Para obtener buenas plantillas gratis hay que googlear un rato.
Algunas que podemos recomendarles desde aquí son:

Twenty Ten

Es una plantilla sumamente simple y limpia en la cual podremos personalizar la imagen de cabecera y poco más, pero es una plantilla con un diseño muy sobrio y queda muy bien para multitud de proyectos.
Lo puedes descargar desde aquí

Experon

Es una plantilla con un diseño muy moderno y que de aspecto visual esta a la par de cualquier una de pago. Brinda varias opciones de personalización, es gratuita y la puedes descargar desde aquí

Just Clean Shop

Theme ideal para convertir tu WordPress en una completa y moderna Tienda Online mediate el Plugin Woocommerce.
Lo puedes descargar gratis desde aquí

Si quieres ver más plantillas gratis uno de los sitios más recomendables el el sitio oficial de wordpress  https://goo.gl/wzTCUJ

Themes Wordpress Premium

El universo de plantillas de WordPress de pago es inmenso, hay muchos y muy buenos desarrollos.
Algunas tiendas de las más importantes son:

Elegantthemes

Nuestro preferido. Si eres desarrollador y necesitas variedad de themes para diferentes proyectos y clientes, en Elegantthemes puedes por 69 dólares al año puedes acceder a TODAS sus plantillas, si, una verdadera ganga! Durante ese año tendrás la ultima versión de sus plantillas siempre, sin dudas algo muy conveniente y con la variedad de plantillas que tienen seguro alguna se adapta a tu proyecto.

Themeforest

Nuestro segundo preferido. Tiene gran variedad de themes y los precios están acordes a lo que venden.

Templatemonster

También tiene plantillas de gran calidad aunque con precios un poco más elevados que los demás.

Por cierto, aún no les hemos recomendado ninguna plantilla Premium en especial, pero si que tenemos una para recomendarles.

Avada Theme

Wordpress Themes

Avada Theme es un theme multi propósito, es decir, sirve para una variedad importante de proyectos, pudiéndose instalar cualquiera de sus demos con un simple clic, sin duda algo muy conveniente. Ademas es la plantilla más vendida de todos los tiempos, con más de 250.000 ventas al día de hoy, todo un verdadero record.
Avada trae los siguientes demos:

  • Classic (el diseño que viene por defecto)
  • Photography (como para usar en una web de Fotógrafo)
  • Shop (Tienda Online)
  • Landing Page (para Pagina de Aterrizaje de Producto)
  • Modern Shop (Tienda Online Moderna)
  • Gym (Para un Gimnasio)
  • Tech Forum (Foro de Tecnologia)
  • Church (Iglesia)
  • Cafe (Sitio web sobre Cafe o Cafeteria)
  • Travel (Viajes)
  • Fashion (Modas)
  • Agency (Agencia de Publicidad)
  • Law (para web de Bufete de Abogados o similar)
  • Hosting (para web de Hosting)
  • Architecture (Arquitectura)
  • Hotel (Hotel)
  • Lifestyle (estilo de Vida)
  • App (para web de Aplicación Móvil)

Cuando instalas un theme simplemente vas a la sección demos y usas la que más se adapte a tus necesidades.

Esperamos que con esta información tengan una buena idea general acerca de los themes de WordPress. En próximas entradas de este blog les iremos enseñando más acerca de la instalación de themes y personalización de los mismas.
Si les gusto el articulo favor de compartir!

WordPress Plugins

Los plugins de WordPress son “las vitaminas” que le dan gran parte del poder que ostenta WordPress.

plugins wordpress

Al igual que las extensiones en nuestro navegador web, los plugins de WordPress agregan un sin fin de funcionalidades que no vienen de serie. Los plugins ademas permiten que WordPress sea adaptado a una cantidad diferente de escenarios de uso.
Al igual que con los Themes de WordPress, existen Plugins de WordPress gratis y de pago. Los hay para realizar cosas bien simples como quitar de la url de nuestro wordpress la palabra “category” hasta completas soluciones para Tiendas Online como lo es Woocommerce.
En los plugins de wordpress, a diferencia de lo que sucede con los themes en donde los más “bonitos” son los de pago, la relación esta más a favor de los plugins gratis pues existen gran cantidad de plugins muy buenos y gratuitos.
En la mayoría de los sitios web con WordPress, la mayoría de los plugins que se usan son gratuitos, y salvo contadas excepciones, algunos usan algún plugin de pago.
Tenemos plugins para variedad de cosas que puedas imaginar y muchas que ni siquiera imaginas y que te enteras cuando te encuentras con un problema, y cuando buscas en google solución voila.. existe un plugin que lo soluciona!
Existen plugin para wordpress para:

  • SEO
  • Tiendas en Linea
  • Procesamiento de Pagos (TPV)
  • Foros
  • Redes Sociales
  • Hoteles / Booking (reservas)
  • Seguridad
  • Formularios
  • Aumento de velocidad de nuestro WordPress

Y esas son solo algunas de las categorías mas populares que recordamos ahora, seguro que hay muchísimas más.
Ahora vamos a darles un pequeño repaso categoría por categoría para ver cuales son los plugins ‘mas importantes de cada una de ellas.

Plugins WordPress para SEO

Existen varios plugins para SEO. Uno de los primeros fue el All in One SEO Pack.
Es un plugin muy completo que nos permitirá configurar y mejorar muchos aspecto del SEO de nuestro sitio.
Otro de los referentes de esta categoría de plugins es de más reciente aparición, pero no por eso es menos útiles.
Yoast SEO es otra potente herramienta con utilidades más enfocadas a la optimización de el contenido desde su creación misma. Mediante un sistema de colores nos indica varios puntos claves de nuestras entradas en el blog y nos indica si están OK respecto de las buenas practicas recomendadas para SEO o si debemos corregirlas. Es una gran herramienta para los creadores de contenido optimizado para SEO.

Tiendas en Linea (eCommerce)

Aquí sin dudas el líder indiscutible es Woocommerce, plugin gratuito que con unos pocos clics nos permitirá tener una moderna Tienda Online, con medios de pago y gestión de productos tanto físicos como digitales. Ademas existen plugins para Woocommerce que le agregan nuevas funcionalidades como más medios de pago o simplemente funcionalidades que no incluye de serie Woocommerce.

Procesamiento de Pagos (TPV)

Usados generalmente como complemento de Woocommerce, el plugin de pago en worpdress más popular es el de Paypal, que permite el pago mediante Paypal y Tarjetas de Crédito.
A su vez, dependiendo de la zona del mundo en que deseemos procesar pagos, también hay plugins para bancos Españoles como RedSys o plugins para procesar pagos de todo el mundo como 2checkout.

Foros

El plugin para foros en WordPress más importante es bbPress. Es fácilmente integrable a wordpress pero no por eso menos poderoso.

Redes Sociales

Para redes sociales también hay plugin para wordpress, en este caso el más usado se llama BudyPress.
BuddyPress nos permite agregar a wordpress funcionalidades como, Perfil
Actividad, Configuración, Directorio, Acceso, Amigos, Registro y Bandeja de entrada.

Hoteles / Booking (reservas)

En este caso no hay un claro líder del mercado como en los demás casos, así que nuestra recomendación es WP Hotel Booking Plugin que ofrece funcionalidades como:

  • Administración de Habitaciones
  • Administración de Reservas
  • Administración de Clientes
  • Administración de Cupones
  • Administración de planes y precios
  • Administración de packs adicionales
  • Block de administración de fechas especiales
  • Reportas y listo para multi idioma
  • Multi Moneda
  • 4 pasarelas de pago (Pago Offline, Authorize.net, Paypal, Stripe)

Seguridad

Si, también para aumentar la seguridad de nuestro wordpress existen plugins! El más conocido es Wordfence Security, un completo plugin dedicado completamente a la seguridad de tu wordpress. Integra, todo en uno, un potente Firewall, herramienta de Bloqueo de Ataques, agrega seguridad al Login y Escaneo de Seguridad de nuestro sitio, se encuentran entre las principales características. Sin dudas un plugin que no debe faltar en ninguna instalación de WordPress.

Formularios

Otra categoría para la que hay muchísimos contendientes pero en la que otro plugin se destaca como el numero uno claro ganador. Contact Form 7 es un completo plugin que nos facilitara enormemente a la hora de hacer esos tan tediosos formularios que en ocasiones tenemos que hacer. Otro plugin que no debe faltar en tu WordPress.

Aumento de velocidad de nuestro WordPress

Por ultimo, otro plugin que no debe faltar en ninguna instalación de WordPress, un plugin de cache de wordpress. En esta categoría también existen muchos plugins, pero podemos decir que uno de los más conocidos y usados en el WP Super Cache. De hecho es el que usamos en este mismo sitio.

Como les comentábamos más arriba, estas son solo algunas pocas categorías para las que hay plugins de wordpress, pero en realidad no nos daría la vida para comentarlas todas. Y de seguro hay algunas que ni conocemos… y que seguro descubriremos cuando busquemos información para intentar solucionar algún problema.
De todos modos la información presentada en esta pagina es a modo introductorio, el universo de los plugins es inmenso, es por eso que periódicamente iremos agregando nuevas entradas con nuevas recomendaciones de grandiosos plugins que nos facilitaran la vida de maneras que ni imaginamos.

Si te gusto esta nota, compártela!

Instalar WordPress

Instalar WordPress, Tutorial paso a paso con imágenes

Instalar wordpress manualmente es muy fácil. Además, algunos paneles de Hosting nos dan la posibilidad de instalarlo de manera automática con solo unos pocos clics. Igualmente siempre es importante aprender a instalarlo manualmente por si nuestro Hosting no cuenta con dicha funcionalidad. Es por eso que aprenderemos a instalarlo de forma manual pues es la manera que nunca falla y que se adapta a cualquier hosting.

Instalar Wordpress de forma manual mediante Cpanel

La instalación de wordpress que veremos será mediante Cpanel que es el panel que tiene nuestro hosting. El aspecto y las funcionalidades pueden variar de un panel de hosting a otro pero más o menos en todo encontraremos las mismas herramientas.

En cualquier panel de hosting que tengamos necesitaremos:

  • Acceso por Administrador de Archivos al directorio raíz del sitio web
  • Acceso por FTP (si tenemos acceso al administrador de archivos este no hace falta)
  • Acceso a creación de bases de datos

Paso a seguir:

  1. Descargar WordPress desde el sitio oficial de WordPress,
    la url de descarga en español es
    https://es.wordpress.org/
  2. Una vez que tengamos el archivo comprimido en nuestro disco rígido deberemos entrar al cpanel de nuestro hosting y dirigirnos a “Administrador de Archivos” (Fig 1)

Instalar WordPress - Administrador de Archivos

Una vez en el administrador de archivos nos posicionaremos en el directorio raíz de nuestro sitio web, en este caso el directorio public_html
En la imagen se muestra el directorio test pues es donde nosotros instalamos nuestro test, pero en vuestro caso deberán hacer todo en el directorio raíz.
Ahí deberán presionar el botón Cargar (Fig. 2)

Instalar WordPress - File Manager

Luego deberán seleccionar del disco rígido el archivo comprimido de Worpdress que descargaron del sitio oficial y subirlo al servidor. No debe ser descomprimido pues esto se hará dentro del propio servidor. (Fig. 3)

Instalar WordPress - Carga de Archivos

Una vez subido presionamos el botón derecho del ratón, arriba del archivo comprimido y seleccionamos Extract para descomprimirlo.

Administrador de Archivos Cpanel

En este punto deberá lucir así (Fig. 5)

Una vez descomprimido notaran que todo quedo dentro de un directorio llamada wordpress

Para que nuestro Worpresss cargue directo desde el directorio raíz de nuestro sitio web, es decir, para que no quede www.nuestrositio.com/wordpress si no www.nuestrositio.com, deberemos mover todos estos archivos un nivel para arriba, al directorio raíz. Para eso seleccionamos todos los archivos con Shift como si estuviéramos en windows y presionamos el botón Mover. La nueva ruta sera /public_html/ como muestra la Fig. 7

instalar-wordress-descomprimir-archivos-4

Por el lado de los archivos de WordPress tenemos todo listo. Ahora solo resta crear la base de datos donde se guardara la información de Wordrpess.
Para eso deberemos volver a nuestro cpanel e ir a la sección Bases de Datos tal como lo muestra la Fig. 8

instalar-wordress-creacion-base-de-datos

Una vez dentro, crearemos una base de datos con el nombre que queramos como en la Fig. 9

instalar-wordress-creacion-base-de-datos01

Luego de crear una base de datos deberemos crear un usuario con su respectiva contraseña para esa base de datos tal como lo muestra la Fig.10
No olviden copiar la contraseña pues en unos minutos la necesitaremos.
Se recomienda que utilicen el generador de contraseñas pues es mas seguro.

instalar-wordress-creacion-base-de-datos02

Una vez que tienen usuario para la base de datos deberán asignar ese usuario a esa base de datos con todos los permisos. Para eso deberán ir a la siguiente sección tal como muestra la Fig. 11

instalar-wordress-asignar-usuario-base-de-datos

En el siguiente paso (Fig. 12) deberemos asignarle privilegios a ese usuario.
Deberemos seleccionar “TODOS LOS PRIVILEGIOS” y luego “Hacer Cambios”

instalar-wordress-asignar-usuario-base-de-datos-permisos

Y es así que llegamos a esta pantalla (Fig.13) en donde ya tendremos nuestra base de datos con su usuario y contraseña. Copien estos datos pues en los siguientes paso los vamos a necesitar.

instalar-wordress-asignar-usuario-base-de-datos-user-pass

Ahora deberemos regresar al Administrador de Archivos el cual dejamos en el paso de la Fig. 7 y renombrar el archivo wp-config-sample.php a wp-config.php y abrirlo para editar su contenido, presionando el botón derecho del ratón y eligiendo en el menú contextual la opción Code Edit.

instalar-wordress-edit-config

Una vez dentro del archivo deberemos sustituir el contenido del documento por el nombre de base de datos, usuario y contraseña que guardamos anteriormente.

instalar-wordress-wp-config

Nos quedaría algo así:

instalar-wordress-wp-config2

Por razones de seguridad hemos desenfocado el password.
Una vez que pusimos los datos de nuestra Base de Datos presionaremos el botón que esta en el extremo superior derecho para guardar los cambios.

Listo!! tenemos todo listo para instalar nuestro wordpress!
Ahora solo falta que se dirigían a la url de vuestro sitio web en donde deberá aparecer la pantalla de instalación como aparece en la Fig. 17

instalar-wordress-pantalla-instalacion

En dicha pantalla simplemente rellenaran los datos que están en amarillo y presionaran el botón Instalar WordPress y Voila!

instalar-wordress-instalado

Ahora que ya tenemos wordpress instalado podremos entrar al admin de wordpress desde la siguiente url www.tudominio.com/wp-config y configurar las opciones básicas 

instalar-wordress-dashboard

Sobre la configuración dedicaremos un capitulo aparte pues si no este post quedara demasiado largo.
Instalar WordPress es lo mismo si lo hacen en el directorio raíz o en un directorio, los pasos son los mismos. También, si vuestro proveedor de hosting no les brinda un panel tan completo como cpanel y no pueden descomprimir online los archivos, pueden hacer la subida mediante ftp. Descomprimen los archivos en vuestro disco duro y los suben por FTP. Es lo mismo solo que lleva mas tiempo pues WordPress tiene alrededor de 3 mil archivos y no importa la conexión que tengan, llevara un rato.
Espero que este post les haya gustado y les haya resultado útil.

 

Select your currency