Comunidad Tutorial

Plugin WordPress: conoce este plugin de Pandora FMS para mejorar la usabilidad de WordPress

noviembre 3, 2017

Plugin WordPress: conoce este plugin de Pandora FMS para mejorar la usabilidad de WordPress

This post is also available in : Inglés

Plugin WordPress de Pandora FMS para fortalecer la herramienta

WordPress está presente en 27% de las webs y posee más de 27 mil complementos (denominados “plugins” en inglés), y el plugin de Pandora FMS para WordPress es uno de ellos. Está enfocado a fortalecer la seguridad de los sistemas que utilizan este popular software libre. Recordemos, por noticia pública y notoria, que el año pasado (2016) el Primer Ministro del Reino Unido renunció a raíz de un escándalo por la difusión de correos electrónicos almacenados en un servidor de correos donde también se ejecutaba un blog de WordPress y el cual tenía un complemento instalado con una falla de seguridad que permitió a los atacantes hacerse con la información. Vemos, pues, que no es un tema que debamos descuidar. Intrínsecamente WordPress es muy seguro, pero sus complementos y/o sus actualizaciones (incluso las del mismo WordPress) pueden poner nuestros datos en situaciones de riesgo (nosotros no hacemos nada ilegal que debamos ocultar, pero todos deberíamos tener derecho a cierta privacidad).

¿Qué es «Pandora FMS plugin WordPress»?

Ya sabemos para qué se usa, ahora veremos realmente qué es el plugin WordPress de Pandora FMS. Escrito inicialmente como software libre hace poco más de un año en su lanzamiento, cambia recientemente a licencia de uso «Apache 2.0», pero en ambos casos nos garantiza, básicamente, el acceso al código fuente, su uso y difusión e incluso su modificación en caso que necesitemos adaptarlo a nuestras necesidades. Por tanto, la responsabilidad de su uso recae sobre nuestros hombros, ya que la garantía que ofrece «Ártica ST» es limitada.

Pero no nos asustemos, esta empresa tiene una larga trayectoria en el monitoreo de servidores y redes, herramientas indispensables en la administración de la seguridad, y este plugin es una más de ellas. Su producto estrella, Pandora FMS, tiene la capacidad de monitorear, si así lo deseamos, nuestro sitio WordPress y disfrutar así de un robusto entorno de trabajo a nivel empresarial. En el caso que tengamos que administrar múltiples blogs, el plugin WordPress de Pandora FMS ofrece unas opciones de monitoreo que, aunque no son tan avanzadas como cuando lo integramos con Pandora FMS, siempre nos garantiza el objetivo planteado de asegurar y proteger nuestro servidor web que alberga a WordPress.

El plugin WordPress de Pandora FMS está escrito principalmente en lenguaje PHP y JavaScript; su repositorio oficial reposa en GitHub y contiene una breve descripción acerca de su uso, instalación y desinstalación. También ofrece unas capturas de pantalla desde su sitio en “WordPress.org” (de donde podremos descargar de forma segura el plugin WordPress de Pandora FMS). Sin embargo, nosotros aquí publicamos nuestras propias capturas de pantalla bien ampliadas y detalladas con propósitos didácticos.

Instalación de «Pandora FMS plugin WordPress»

Para poder utilizar el plugin WordPress de Pandora FMS debemos tener instalada como mínimo la versión WordPress 4.7 y debemos ingresar con nuestras debidas credenciales de administrador a nuestro sitio web.

Una vez hayamos ganado acceso, desde el escritorio o “dashboard” de WordPress hacemos clic en el icono de complementos y elegimos “Añadir nuevo” y escribimos la palabra clave “pandora” y le damos buscar para ver algo parecido a esto:

plugin wordpress

Aquí debemos revisar que tenga la marca de verificación: “Compatible con tu versión de WordPress”. De ser así procedemos al botón “Instalar ahora”.

Otra manera de instalación sería ir al repositorio, descargar y “subirlo” por medio del botón “Subir plugin”. Esta opción está pensada para entornos donde no tengamos acceso a Internet (una red de área local privada, por ejemplo). En este caso realizamos la primera opción, ya que estamos probando con un servidor en producción y es más rápido de esta manera, comunicándose directamente con el sitio web WordPress.

Deberemos tener paciencia mientras “descarga” el complemento desde el propio sitio web de WordPress.org y una vez haya finalizado nuestro botón cambiará de aspecto y mostrará la leyenda “Activar”. Este es otro proceso que tomará su tiempo según el ordenador que tengamos o si nuestro sitio web es compartido con otras web, como es nuestro caso. De nuevo, paciencia. Veremos luego algo similar a la siguiente figura:

plugin wordpress

Ahora debemos configurar nuestros valores y necesidades personalizados en la siguiente sección.

Configuración de «Pandora FMS plugin WordPress»

plugin wordpress

En esta imagen podemos ver que el plugin WordPress de Pandora FMS trae su propio icono en el menú lateral de WordPress; se destaca de los demás complementos para una mayor facilidad de administración gracias a que tiene bien estructuradas sus opciones:

  • Tablero principal o “Dashboard”.
  • Control de acceso o “Access Control”.
  • Seguridad del Sistema o “System Security”.
  • Configuración General o “General Setup”.
  • Estado de los Ficheros de Sistema o “Filesystem status”.

Veremos todos y cada uno de estos submenús, no necesariamente en el mismo orden. Comencemos por el Tablero Principal.

Tablero Principal o “Dashboard”

Esta será la sección que utilizaremos con mayor frecuencia ya que nos muestra de manera global y a golpe de vista el estado general del sistema:

plugin wordpress

  • Monitoreo.
  • Control de Acceso.
  • Seguridad del Sistema.

– A la sección de Monitoreo le prestaremos mayor atención porque, aunque las otras dos secciones no son menos importantes, cuentan con su propia administración. Por ahora Control de Acceso y Seguridad del Sistema están reprobadas; no obstante, en Monitoreo sí tendremos algunas tareas ya aprobadas y otras tantas por aprobar.

Auditoría de fortaleza de contraseña o “Password strength audit” está aprobada en nuestro ejemplo, indicando así que la contraseña por nosotros elegida no se encuentra en la lista de 100 contraseñas más utilizadas. Recomendamos encarecidamente que tenga al menos diez caracteres entre mayúsculas, minúsculas, dígitos y caracteres especiales, a fin de que no estén incluidas en los gigantescos diccionarios para ataques de fuerza bruta. De no ser así debemos cambiarla por medio de la herramienta de WordPress destinada a tal efecto.

Auditoría de Ficheros de Sistema o “Filesystem audit” está reprobada porque es una tarea programada que se ejecuta cada 24 horas y que viene activa por defecto. Hay que tener paciencia mientras se ejecuta. Lo veremos más detalladamente en otro apartado.

Nuevos comentarios y/o entradas en las últimas 24 horas. Muy útil si somos la única persona que redacta artículos, ya que si no lo hemos escrito nosotros se deberá a que nuestro sistema ha sido comprometido. Recordemos que WordPress incluye una alternativa de publicación que consiste en un buzón de correo electrónico totalmente nuevo y destinado para tal efecto: todo lo que allí enviemos será publicado.

Aunque el plugin WordPress de Pandora FMS no vigila esto por esta opción, nos daremos por enterados si apareciera una publicación no autorizada. Por otra parte si somos varios autores no tiene tanta utilidad; si acaso conocer el ritmo de crecimiento de nuestro sitio y por cálculo matemático detectar anomalías: si tres personas tienen cuenta, no sería lógico que en 24 horas aparezcan publicadas cuatro o más entradas, así que utilicemos siempre el sentido común.

API Rest Enable: ¿Recuerdan que el plugin WordPress de Pandora FMS puede extender sus capacidades de monitoreo automatizado y centralizado con la excelente herramienta Pandora FMS? Pues bien, si queremos adquirir Pandora FMS e integrarlo aquí  necesitamos unas librerías especiales para que se logre la conexión de datos. En nuestro caso de ejemplo está aprobado y listo y no necesita otra acción de nuestra parte.

Versión de WordPress y nombre de nuestro sitio. Es meramente informativo, aquí nos muestra que tenemos instalada la versión 4.7.5 y nos indica que hay disponible una nueva versión, la 4.8, que deberemos actualizar en cuanto sea posible.

Intentos de acceso por fuerza bruta en los últimos 60 minutos o “Recent brute force attempts in 60 minutes” está aprobado y quiere decir que estamos a salvo en este momento.

Versión del plugin WordPress de Pandora FMS.

Plugin WordPress de Pandora FMS en otros idiomas

Por costumbre histórica, los programadores estamos acostumbrados a trabajar en inglés. El culpable de todo esto podría ser Alan Turing. Este británico es considerado el padre de la ciencia de la computación y es el precursor de la informática moderna. Como es de esperar, las bases asentadas de su trabajo están escritas en su lengua materna. Pero como el mundo es muy grande y hay muchísimos idiomas en cada proyecto de desarrollo de software, se asigna una carpeta donde se albergan las llamadas internacionalizaciones o traducciones de cada lengua. En inglés se escribe “internationalization” y hay 18 caracteres entre la primera y última letra, por lo que se abrevia como “i18n”.

Lamentablemente, en el repositorio de Pandora FMS plugin WordPress dicha carpeta existe pero sin contenido alguno, por lo que aquí hacemos las traducciones necesarias mientras se completa ese trabajo. ¿Desea usted colaborar en ese aspecto? Con solo crear una cuenta en GitHub, hacer una bifurcación o “fork”, realizar su aporte (traducción) y solicitar una unificación o “pull request” (en el caso que esté correcto el código y los autores originales decidan aceptarlo, lo cual no es obligatorio) podremos llegar algún día a tener este maravilloso complemento (al menos sus instrucciones e interfaz) en idioma castellano.

Estado de Ficheros de Sistema “Filesystem status”

plugin wordpress

Comentamos que cada 24 horas se realiza una verificación de la integridad de todos y cada uno de los ficheros mediante el procedimiento de control de versiones – revisiones y uno de los más populares es el creado por la “Apache Software Foundation”. Esta fundación creó el “Apache Subversion”, abreviado como SVN, el cual asigna a cada archivo una “huella” o “hash” por un algoritmo matemático y mediante simple comparación sabremos si un fichero ha sido modificado (desde luego que estamos simplificando al máximo, en realidad no es así exactamente como trabaja el código pero es una buena aproximación).

Dicha técnica es ampliamente utilizada por los mal llamados programas antivirus, para realizar su función de detección. El plugin WordPress de Pandora FMS también hace lo propio, mostrando en la figura un resumen si ha sucedido tal evento. También ofrece una ventana de exclusión de ficheros por tipo. Nos remitimos a la figura siguiente donde apreciamos que los archivos gráficos (con extensión GIF, JPG y PNG) no serán monitorizados, así como un subdirectorio llamado askimet en la carpeta de sistema plugin. Ese askimet es un complemento bien conocido, lo que nos indica que el plugin WordPress de Pandora FMS, no hace el seguimiento por ser una ayuda contra el correo basura o “spam”.

plugin wordpress

En este punto podríamos llegar a pensar que es un fallo en la instalación, pero debemos tener en cuenta que, a mayor cantidad de archivos vigilados, más lenta irá nuestra pagina y si es compartida por otros sitios web ¡pues debemos tenerlo en consideración! Queda como decisión propia de cada administrador el borrar -o agregar- las carpetas y/o ficheros, así como los complementos “plugins” que se necesiten.

En todo caso recomendamos mantener siempre en la lista el primer fichero especial “PandoraFMS_WP.class.php”, ya que se utiliza para hacer la instalación del complemento y la activación del mismo con los valores que estamos estudiando.

Así como está planteado, acotamos que una vez hayamos instalado y activado el plugin WordPress de Pandora FMS nunca lo desactivaremos ni activaremos de nuevo. Lo mejor es borrarlo e instalarlo de nuevo. ¿Por qué? Como no vigilamos este fichero que tiene la rutina de activación existe la remota posibilidad de que un atacante cambie los valores por defecto para su beneficio dejando lisiado al software que pretende protegernos. Todo puede suceder, en el siglo diecinueve pensábamos que no podíamos volar y mucho menos llegar a la Luna. ¡Y vean ahora!

Buscar archivos infectados o “Scan for infected files” es una revisión diaria en búsqueda de dos caracteres (escritos en hexadecimal) aparentemente infaltables cuando un archivo PHP está infectado, pero hará falta un software más completo para determinar a ciencia cierta qué tipo de infección presenta (de hecho primero habrá que descifrar el código maligno ofuscado). Esta opción está activada por defecto.

Enviar correo electrónico si los ficheros de sistema fueron modificadosEmail on files list modified” está activada por defecto y si no hemos asignado un correo electrónico Pandora FMS plugin WordPress lo enviará al correo electrónico del administrador “admin”. ¿Por qué otra dirección de correo electrónico distinto? Mientras más ojos vigilen, mejor. Por eso, si son dos personas distintas el administrador de WordPress y el administrador de la seguridad, en teoría habrá mayor protección.

Configuración General “General Setup” en «Pandora FMS plugin WordPress»

plugin wordpress

Aquí podemos agregar nuestro correo electrónico; sería el de la persona que se va a encargar de la seguridad, que como ya dijimos sería deseable que fuese una persona distinta del administrador de WordPress.

También como dijimos, si usamos Pandora FMS, el cual utiliza API’s para recolectar información, podremos especificar las direcciones IP de los servidores autorizados a dicha tarea; eso refina la seguridad al cerrar la brecha de entrada. Así mismo, por defecto, las API reportan cambios cada hora y tenemos siete días para conservar los registros de seguridad del plugin WordPress de Pandora FMS; pasado este período de tiempo serán borrados para ahorro de espacio.

Control de Acceso “Access Control” en el plugin WordPress de Pandora FMS

plugin wordpress

Esta sección a su vez la desglosaremos en dos porciones. La primera está reseñada en la imagen anterior donde, a modo informativo, nos muestra los datos de los usuarios que se hayan conectado y la hora y fecha y dirección IP con la cual lo lograron. El complemento registra los intentos, exitosos o no, de los usuarios registrados; dado el caso que se intente ingresar con cualquier otro nombre de usuario no lo veremos aquí sin embargo ya veremos que hay otro método para combatir estos intentos. En la segunda parte veremos que dichas direcciones IP pueden ser agregadas a una lista de negación de acceso “Black list IPs”.

El plugin WordPress de Pandora FMS nos avisará de los siguientes aspectos, activados por defecto en la instalación:

  • Cada conexión exitosa de cada usuario (puede llegar a ser irritante), “Email on login user”.
  • Al crear una nueva cuenta, “Email on new account creation”.
  • Cuando un usuario cambie su correo electrónico, “Email on user email change”.
  • Cuando se instale un complemento “plugin” nuevo, “Email on new plugin”.
  • Cuando se instale un tema nuevo, “Email on new theme”.

Todos estos acontecimientos debemos vigilarlos, pudiendo excluir la primera línea. Una cosa que no comprobamos es si el plugin WordPress de Pandora FMS se percata cuando agregamos un usuario por medio de MySQL directamente, tal como lo relatan en este tutorial. Dejamos esto como tarea para que ustedes amigos lectores y lectoras practiquen sus habilidades.

plugin wordpress

“Activate login rename” significa renombrar el fichero llamado “wp-login.php”, pero dicho cambio no es tan sencillo como eso: se necesita a lo largo de todo el código de WordPress cambiar las referencias a dicho archivo. Por ejemplo, nosotros hicimos una prueba cambiando el nombre del archivo que permite introducir nuestras credenciales de usuario; lo renombramos como jimmy y guardamos la preferencia. A continuación agregamos un usuario llamado lucy, recibimos el correspondiente mensaje por correo avisando sobre el nuevo usuario y también el nuevo usuario recibió también un mensaje con el enlace del fichero renombrado (e invitando a cambiar su contraseña). Aquí la captura del mensaje:

plugin wordpress

La idea es que “ocultemos” de la vista pública dicho archivo, cortando así de raíz cualquier intento de acceso no autorizado. Incluso podemos cambiarlo periódicamente para despistar aún más a los indeseados. Para esta tarea existen otros complementos que se dedican exclusivamente a eso.

Aunque audaz, esta medida también puede resultar peligrosa hasta el punto de que si algo llegara a salir mal, que puede suceder, la solución sería volver a subir los archivos de sistema de WordPress por vía SFTP a fin de ganar acceso de nuevo.

Por defecto, la siguiente parte viene activada: “limit login attemps” se traduce en limitar el número de intentos de manera incorrecta a un máximo de tres, bloquear el acceso por 120 segundos incluyendo los usuarios correctos y válidos (“pagan justos por pecadores”).

Como dijimos, hay un cuadro de texto donde escribiremos las direcciones IP a las que expresamente le neguemos el acceso. La otra opción que tiene que ver con el “login” a nuestro blog es por medio de colocarle una CAPTCHA, y aquí lo nombran como ReCaptcha porque en realidad es tecnología de Google a quienes debemos solicitar las claves correspondientes para prevenir por completo los ataques automatizados. Esta característica viene desactivada por defecto.

Por último, viene no activadaDisable the XMLRPC of WordPress” que, aunque es muy útil a fin de comunicar e intercambiar información entre diversas plataformas y nuestro sitio, también es utilizado para atacar nuestro sistema, especialmente los “pingbacks” y “trackbacks”.

Seguridad del Sistema “System Security”

plugin wordpress

Por último tenemos las opciones para fortalecer la seguridad del “WebLog”. Lo primero que nos informa es el registro de ataques de fuerza bruta; aquí vacío porque, claro, lo acabamos de instalar.

Al instalar WordPress se crea un usuario por defecto llamado “admin”, por lo que primero que nada debemos crearnos una cuenta de Administrador para nosotros mismos y luego borrar dicha cuenta preconfigurada. El plugin WordPress de Pandora FMS se encarga de verificar que dicha cuenta no exista ya que sería una debilidad fácilmente explotable.

Aunque de manera general WordPress viene configurado para buscar actualizaciones de manera automática (incluidos los complementos), si por alguna extraña razón se encuentra desactivada, Pandora FMS plugin WordPress se ocupará en avisarnos de ello. También permite que no actualicemos ciertos complementos que por alguna u otra razón válida no nos convenga: los agregamos a la lista y quedan “congelados en el tiempo”; no nos advertirá sobre nuevas versiones disponibles del o los “plugins” en la lista.

Por medio del archivo especial de configuración llamado “.htaccess” para el “Apache Web Server”, podemos evitar que sean “subidos” ficheros con la extensión “.php” que son los que puede ejecutar con algún código malicioso; para evitarlo marcamos esta opción. (También podemos delegar la responsabilidad de configurar el fichero especial para los buscadores web, el cual es llamado “robots.txt”. )

Ya por último, otra forma de ofuscar a los hackers y crackers (o por lo menos dificultarles el trabajo) es inhibir la exhibición de la versión de nuestro blog. Aunque es muy sencillo de hacer por nosotros mismos nunca está de más facilitarnos la vida; imagínense que tuvieran que administrar unas cuantas páginas, pues ya significaría algo de tiempo ahorrado. El razonamiento de protección a continuación lo describimos, y es lógico. Supongamos que para una versión específica se descubre un fallo de seguridad que permite exprimir datos de manera ilegal. ¿Qué harían los cibercriminales? Pues buscar de manera masiva cuáles son los portales que aún usan dicha versión exacta, y es fácil hacerlo si lo exhibimos constantemente en cada entrada o sección. Si Google o Wayback Machine tuvieran un “captura” del sitio (un caché de datos) donde hayan grabado la versión por nosotros utilizada, pues mejor todavía porque cuando lleguen los atacantes ya habremos “parchado” y ellos perderán su tiempo inútilmente.

Conclusiones

No debemos confiarnos en que por ser pequeño nuestro blog, o quizás hasta aburrido (por si acaso nuestra afición fuera escribir sobre carreras de tortugas), para los ciberdelincuentes seguimos siendo apetecibles, ya sea para usarnos como agente esclavo para atacar otras páginas web o distribuir publicidad basura. No debemos bajar la guardia y el plugin WordPress de Pandora FMS siempre estará allí ayudándonos las 24 horas del día, las 52 semanas al año de manera ininterrumpida.

Todas las imágenes aquí utilizadas fueron capturadas y modificadas bajo nuestra autoría y están bajo licencia Creative Commons Attribution-Share Alike 4.0 International


Written by:



2 comments
  1. Avatar

    Alberto

    Buenos días, He instalado el plugin pero no se como seguir para que este envie informacion a mi servidor de pandora fms. ¿Podrian enviarme alguna guia o link a esta?

    • Avatar

      maria

      Hola Alberto, Muchas gracias por tu consulta, puedes ver más información de este plugin en la Librería de Pandora FMS: https://pandorafms.com/library/wordpress-monitoring-plugin/ De todas formas, puedes preguntar cualquier duda en nuestro foro: https://pandorafms.com/forums/ Un saludo,

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.