Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

Cómo proteger mi sitio de WordPress con SSL

Photo by Markus Spiske on Unsplash

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Read moreCómo proteger mi sitio de WordPress con SSL

WordPress.com vs. WordPress.org – ¿Cuál elegir?

Photo by Markus Spiske on Unsplash

wordpress-com-vs-wordpress-orgWordPress es, sin dudas, la plataforma de blogging por excelencia. Elegida por usuarios principiantes, experimentados, emprendedores y grandes empresas, ha sabido ganar terreno en su rubro.

La compañía, fundada por Matt Mullenweg, posee dos versiones de su plataforma de administración de contenidos (CMS, por sus siglas en inglés). Hoy vamos a compararlas para ayudarles en la elección de su destino en la web.

Su versión administrada (WordPress.com) ofrece un servicio similar al de Blogger, la plataforma de Google. Permite comenzar con un blog alojado en los servidores de la compañía y tanto el alojamiento como la puesta en marcha son gratuitos. Tiene tres planes:

WordPress.com gratuito

  • El blog será accesible a través de un dominio terminado en wordpress.com. Por ej.: http://pablofain.wordpress.com.
  • Los usuarios más avanzados y empresas pueden optar por adquirir un dominio personalizado (como www.pablofain.com) a través de WordPress, cuyo costo es de 25 dólares al año, o utilizar un dominio previamente registrado por apenas 13 dólares al año.
  • Los temas y personalizaciones están limitados, y los usuarios pueden acceder a temas premium (con costo adicional).
  • El límite de almacenamiento es de 3 GB, aunque se puede adquirir espacio adicional desde 20 dólares al año los 10 GB.
  • No ofrece almacenamiento de videos en su plan gratuito, pero puede agregarse la funcionalidad VideoPress por 60 dólares al año.
  • Las entradas de blog pueden mostrar publicidad a los visitantes no registrados. Para ocultarla es necesario abonar 30 dólares al año.
  • Copias de seguridad periódicas, sin costo adicional.
  • Autenticación de dos pasos opcional, sin costo adicional.

WordPress.com Premium (99 dólares al año cada blog)

Read moreWordPress.com vs. WordPress.org – ¿Cuál elegir?

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

Photo by Markus Spiske on Unsplash

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido
desde el sitio oficial (y desde febrero) infectado con adware. Window
Snyder, responsable de seguridad de Mozilla, ha dicho “todo el que haya
descargado una copia del paquete de idioma vietnamita desde el 18 de
febrero, está infectado”.

Xorer, el malware en cuestión, había incrustado su carga en el paquete
oficial de idioma vietnamita en febrero. Los responsables de Mozilla
tuvieron noticia del problema el martes pasado. Al parecer, la red local
del autor del plugin estaba infectada, y los archivos fueron subidos al
servidor oficial contaminados con los efectos de Xorer (estos efectos
son válidos bajo cualquier sistema operativo, no limitado a los usuarios
de Windows), y no con el malware en sí (que se dedica a distribuir los
scripts y es sólo para Windows). Al menos, esto impide en un principio
que los usuarios que hayan descargado el plugin puedan distribuir el
adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox?

Read moreUn plugin de Firefox infectado con adware es distribuido desde el sitio oficial