Problemas más comunes (malware, protección de CMS, Suhosin)

Al ejecutar una aplicación web en nuestro hosting, podemos experimentar algunas situaciones inesperadas que pueden causar un comportamiento no deseado del sitio Web o impedir el inicio de sesión en la administración del sistema de administración de contenido. 

No siempre tiene que deberse a un defecto técnico, sino mas bien a una configuración aplicada al servidor mediante la cual nuestros administradores aumentan la seguridad de los servicios que operan. A continuación se muestra una solución para los problemas más comunes.


 

Malware en el Hosting

AVISO: Preste atención a la información que aparece a continuación, ignorarla puede dar lugar a la suspensión de los servicios de alojamiento en el dominio. Si no entiende esta información, póngase en contacto con el autor de su sitio web

Cuando se visita una página web, puede ocurrir una situación desagradable si esta contiene un malware fraudulento. Se trata de un código malicioso que está siendo usado para ataques cibernéticos, spam o para infectar los ordenadores de los visitantes del sitio web.

El malware entrará en el sitio en la mayoría de los casos mediante la explotación de una vulnerabilidad de seguridad en el código de la aplicación web. La mayoría de las veces se debe a la utilización de una versión anticuada de Gestores de contenido CMS, tales como Joomla, WordPress, OsCommerce, etc. Por lo tanto, es muy importante mantener este sistema actualizado, incluyendo todos los complementos y plantillas de diseño utilizados .

Si el sitio web está infectado, recomendamos los siguientes pasos:

  1. Actualizar el sistema de gestión de contenidos (CMS), incluidos todos los complementos y temas de la versión actual. Haga las actualizaciones periódicamente, algunos sistemas ofrecen actualizaciones automáticas. 
  2. Cambiar la contraseña de administración del gestor de contenidos CMS. No guarde la nueva contraseña por correo electrónico
  3. Compruebe el contenido de todos los archivos del servidor. Si nuestros sistemas encuentran archivos infectados, se cambian automáticamente a la extensión .malware. Cambiar el nombre de los archivos infectados puede causar un mal funcionamiento del sitio. Es necesario pasar por cada uno de estos archivos y eliminar el código defectuoso. A continuación, puede cambiar el nombre del archivo a su nombre original. Elimine los archivos innecesarios inmediatamente
Sugerencia: Si lee este artículo en relación con una notificación de malware, utilice la lista de archivos de contenido sospechoso que le hemos enviado junto con la alerta.


Los autores de malware son muy ingeniosos y pueden ocultar su código de manera inteligente. En lugar de limpiar, es posible restaurar el sitio desde una copia de seguridad previa al ataque. A continuación, cambie la contraseña de administrador del sistema de gestión de contenidos y actualice el CMS y todos los complementos y temas, sin estos pasos es sólo cuestión de tiempo que el malware aparezca de nuevo en el sitio web.

A modo de orientación, también puede comprobar su sitio web con un explorador de malware en línea, por ejemplo,. sitecheck.sucuri.net.

Sin embargo, debe recordarse que este escáner puede que no detecte todo el malware, a veces sucede que el resultado del análisis está bien, pero las páginas siguen infectadas. 

 



Protección del CMS de los ataques de robots

Al acceder a una administración de CMS, normalmente WordPress, Joomla, etc., u otro componente, como xmlrpc.php, puede recibir una solicitud para introducir un nombre y una contraseña. El mensaje también indica que debe introducir cms como nombre y contraseña.  Esta es la protección contra los ataques de robots al CMS desde el exterior.

Escriba las tres letras siguientes como nombre y contraseña: cms. A continuación, puede seguir administrando su sistema de gestión de contenido, donde puede continuar con sus datos de acceso habituales.

Nos vimos obligados a implementar esta medida debido a las formas masivas de ataque de algunos de los componentes de los sistemas de gestión de contenidos más utilizados. Esto es para evitar sobrecargas o caídas de los servidores, así como para proteger contra el acceso no autorizado a la administración web.

La medida se aplica principalmente al acceso desde un país distinto al que usted solicitó su alojamiento. En otros casos, no debería sucederle.

A petición, podemos desactivar esta acción en el servidor, pero la condición es que el CMS utilizado no sea actualmente el objetivo del ataque, y que usted reemplazará nuestras medidas, con medidas adecuadas como restricciones de acceso a direcciones IP seleccionadas o su propia contraseña a través de .htaccess.

La medida es plana y persistente, pero si la ola de ataques desaparece durante un largo tiempo, estamos preparados para cancelarla. La situación se vigila constantemente.

 


Suhosin

Utilizamos el parche PHP Suhosin en nuestro alojamiento compartido en la plataforma Linux, lo que mejora el nivel de seguridad del servidor y evita una variedad de formas de dañar los sitios web. Suhosin está haciendo su trabajo muy bien, pero en casos aislados puede limitar la funcionalidad del sitio. 

Si observa este problema y no lo puede resolver a nivel de aplicación, puede desactivar Suhosin mediante un archivo .htaccess en el directorio de su web:

php_flag suhosin.simulation On