Usando CSP para incrementar la seguridad de tu sitio web

Hacía ya algún tiempo venía manejando la idea de implementar CSP en mi blog de WordPress. CSP -o Content Security Policy, por sus siglas en inglés- es un estándar que define un conjunto de orígenes pre-aprobados desde los que un navegador puede cargar recursos cuando visita un sitio web. Ayuda a prevenir ataques de Cross Site Scripting (XSS), data injection, entre otros. Cuando el navegador visita un sitio web tiene que cargar fuentes, hojas de estilo, imágenes, scripts, etc. Por ejemplo, este blog utiliza la fuente Open Sans de Google por lo que cada vez que alguien lo visite su navegador estará …

Read moreUsando CSP para incrementar la seguridad de tu sitio web

It’s time to replace SHA-1 certificates

Photo by Markus Spiske on Unsplash
It has been 20 years since SHA-1, the world’s most used encryption method, was released.

SHA-1 is an encryption method developed by the National Security Agency of the United States and is considered a federal information processing standard for the Government of that country. The method of output of SHA-1 produces a 160 bits (20 bytes) secure hash value, equivalent to an hexadecimal number of 40 digits long.

In 2005 were published two investigations in which big vulnerabilities in this mechanism were demonstrated. It happens that the hashes have a natural enemy called “collisions”. Collisions are the possibility of encountering an identifier that is notunique, i.e. that a same SHA-1 represent two different incoming data flows through brute force attacks.

By definition, we could say that there is 1 chance in 1208925819614629174706176 (280) of generating collisions in SHA-1. However, at the beginning of 2005, a group of Chinese researchers reduced the number of attempts to 269. Finally, researches of the Macquarie University of Australia were able to reduce it to 252 (about 2000 times faster than expected).

As a result, the CA/Browser Forum recommended in 2011 start to leave SHA-1 as soon as possible. In fact, the Government of the United States stopped using this mechanism in 2010.

About SHA-2

Read moreIt’s time to replace SHA-1 certificates

Cómo proteger mi sitio de WordPress con SSL

Photo by Markus Spiske on Unsplash

Hace algunos días anunciábamos los cambios que está implementando Google en su motor de búsqueda, relacionados con la idea de “subir” el ranking de los sitios que trabajen bajo un protocolo de navegación seguro (SSL/TLS) en los resultados de búsqueda.

Esto, sumado a los acontecimientos que en los últimos meses han demostrado la necesidad de tomar mayores recaudos a la hora de hablar de seguridad en Internet, nos lleva a evaluar diferentes alternativas para proteger nuestra información. En este post les ayudaré a implementar un certificado de seguridad (SSL/TLS) en un sitio de WordPress self-hosted.

WordPress.com no soporta el uso del HTTPS en dominios personalizados. Sin embargo, sí lo permite en aquellos blogs con dominio finalizado en wordpress.com. Más info aquí.

TLS (Transport Layer Security, por sus siglas en inglés) es uno de los protocolos de cifrado de información comunmente utilizados en Internet para proteger los datos enviados entre dos equipos. Más conocido como “HTTPS” o “HTTP con candado”, TLS y SSL, su antecesor, permiten a los usuarios asegurarse que los datos que intercambian en un sitio web viajan de manera segura y no puedan ser interceptados por usuarios malintencionados.

Hosting y SSL

Read moreCómo proteger mi sitio de WordPress con SSL

WordPress.com vs. WordPress.org – ¿Cuál elegir?

Photo by Markus Spiske on Unsplash

wordpress-com-vs-wordpress-orgWordPress es, sin dudas, la plataforma de blogging por excelencia. Elegida por usuarios principiantes, experimentados, emprendedores y grandes empresas, ha sabido ganar terreno en su rubro.

La compañía, fundada por Matt Mullenweg, posee dos versiones de su plataforma de administración de contenidos (CMS, por sus siglas en inglés). Hoy vamos a compararlas para ayudarles en la elección de su destino en la web.

Su versión administrada (WordPress.com) ofrece un servicio similar al de Blogger, la plataforma de Google. Permite comenzar con un blog alojado en los servidores de la compañía y tanto el alojamiento como la puesta en marcha son gratuitos. Tiene tres planes:

WordPress.com gratuito

  • El blog será accesible a través de un dominio terminado en wordpress.com. Por ej.: http://pablofain.wordpress.com.
  • Los usuarios más avanzados y empresas pueden optar por adquirir un dominio personalizado (como www.pablofain.com) a través de WordPress, cuyo costo es de 25 dólares al año, o utilizar un dominio previamente registrado por apenas 13 dólares al año.
  • Los temas y personalizaciones están limitados, y los usuarios pueden acceder a temas premium (con costo adicional).
  • El límite de almacenamiento es de 3 GB, aunque se puede adquirir espacio adicional desde 20 dólares al año los 10 GB.
  • No ofrece almacenamiento de videos en su plan gratuito, pero puede agregarse la funcionalidad VideoPress por 60 dólares al año.
  • Las entradas de blog pueden mostrar publicidad a los visitantes no registrados. Para ocultarla es necesario abonar 30 dólares al año.
  • Copias de seguridad periódicas, sin costo adicional.
  • Autenticación de dos pasos opcional, sin costo adicional.

WordPress.com Premium (99 dólares al año cada blog)

Read moreWordPress.com vs. WordPress.org – ¿Cuál elegir?

¿Qué es la SOPA?

Photo by Markus Spiske on Unsplash

Seguramente han oído hablar mucho en estas últimas semanas sobre la SOPA. Y cuando digo SOPA no me refiero a la horrenda y detestable infusión que nuestros padres nos hacen ingerir de pequeños.

SOPA va mucho más alla de ese caldo caliente, a veces acompañado por arroz o fideos con formas extrñas. Stop Online Piracy Act, por sus siglas en inglés o, Ley de Cese a la Piratería en Línea, es un proyecto de ley propuesto originalmente por el representante Lamar Smith, de la Cámara de Representantes de los Estados Unidos. Esta ley le da el poder al Gobierno de los Estados Unidos de bloquear el acceso a cualquier sitio a través de del sistema de nombres de dominio (DNS), o de obligar a los proveedores de servicios de búsqueda (Google, Bing, entre otros) a removerlo de los resultados de búsqueda o de frenar todo tipo de transacción financiera relacionada con el sitio en cuestión. O todas las anteriores.

La ley SOPA le cortaría a cualquier sitio su posicionamiento, su tráfico y sus ingresos con el mismo sistema que se usa en Iran, en China, etc. (del blog de Mariano Amartino, uberbin.net)

Para entender un poco más esta cuestión, pongamos un ejemplo: ¿A todos nos gusta cantar frente al espejo, verdad? ¿Pero qué tal si decido grabarme mientras interpreto el último hit de Michel Teló, “Ai Se Eu Te Pego” y luego publico el video en mi blog? Gracias a la ley SOPA, ese contenido que colgué de la red, así como mi blog en toda su extensión, podrían desaparecer en cuestión de días. ¿Te preguntas por qué?

La ley SOPA entiende que yo no le estoy pagando a Michel Teló, el artista, los derechos de autor y propiedad intelectual que manda la ley. ¿Estúpido, no?

Read more¿Qué es la SOPA?

Un plugin de Firefox infectado con adware es distribuido desde el sitio oficial

Photo by Markus Spiske on Unsplash

El plugin del idioma vietnamita para Firefox 2, ha sido distribuido
desde el sitio oficial (y desde febrero) infectado con adware. Window
Snyder, responsable de seguridad de Mozilla, ha dicho “todo el que haya
descargado una copia del paquete de idioma vietnamita desde el 18 de
febrero, está infectado”.

Xorer, el malware en cuestión, había incrustado su carga en el paquete
oficial de idioma vietnamita en febrero. Los responsables de Mozilla
tuvieron noticia del problema el martes pasado. Al parecer, la red local
del autor del plugin estaba infectada, y los archivos fueron subidos al
servidor oficial contaminados con los efectos de Xorer (estos efectos
son válidos bajo cualquier sistema operativo, no limitado a los usuarios
de Windows), y no con el malware en sí (que se dedica a distribuir los
scripts y es sólo para Windows). Al menos, esto impide en un principio
que los usuarios que hayan descargado el plugin puedan distribuir el
adware inmediatamente (a no ser que este cargue un nuevo módulo).

¿Cómo se infecta un plugin de Firefox?

Read moreUn plugin de Firefox infectado con adware es distribuido desde el sitio oficial