WordPress: Como encontrar una Backdoor en un sitio hackeado. Y como solucionarlo.

Que es una Backdoor?

Una backdoor es un código añadido al sitio que le permite al hacker acceder a la web sin ser detectado, logrando esquivar el logueo normal. Le permite acceder, por ejemplo, incluso cuando ya se han removido los plugins infectados o las vulnerabilidades de tu website.

Las backdoor sobreviven, regularmente, un upgrade de WordPress. Esto significa que tu sitio será vulnerable hasta que se encuentre y arregle cada backdoor.

Como funciona una Backdoor?

Algunas “Puertas traseras” son simplemente usuarios admin ocultos. Le permiten al hacker loguearse de manera normal tipeando usuario y contraseña.

Algunos backdoors mas complejos le dan al hacker la capacidad de ejecutar código PHP. Manualmente envia el código a tu website usando su navegador de internet.

Incluso hay backdoors que permiten ejecutar consultas a bases SQL.

Dónde están escondidas las Backdoors?

En cada caso, una “puerta trasera” esta disfrazada para parecerse a un archivo WordPress. Comunmente, estan alojadas en las siguientes locaciones:

  • Un THEME de WordPress. Pero seguramente no el que estés usando. El código en un theme no es sobreescrito cuando se actualiza WordPress; de ahi que es un buen lugar para esconder una backdoor. Por eso se recomiendo borrar todos los themes inactivos.
  • Los PLUGINS son otro lugar apropiado para esconder una backdoor. Sucede lo mismo que con los themes en la actualización de WordPress, y existen usuarios que no hacen updates de sus plugins.
  • La carpeta UPLOADS contiene cientos de archivos, lo cual lo hace un buen lugar donde ocultar backdoors.
  • El archivo wp-config.php contiene informacion delicada para configurar WordPress. Es uno de los archivos más apuntados por los hackers.
  • La carpeta WP-INCLUDES contiene archivos PHP necesarios para correr correctamente WordPress. Se usa como lugar para esconder backdoors porque es una carpeta que los usuarios no revisan con regularidad.

COMO ENCONTRAR UNA BACKDOOR EN UN WORDPRESS HACKEADO Y REPARARLO.

La mayor dificultad aqui es encontrarla, pero ahora tenés una idea de donde buscar la backdoor. Mas alla de eso, limpiar el WordPress es tan simple como borrar un código o archivo.

1 – Borrá tu carpeta de Plugins.

Buscar a través de la carpeta de Plugins puede ser tedioso, mas teniendo en cuenta que los hackers pueden esconder muy bien la backdoor.
Lo mejor es borrar el contenido completo de la carpeta e instalar desde cero tus plugins.

2 – Borrá tu carpeta de Themes.

Exactamente el mismo caso que con la carpeta de plugins. Es mejor eliminar y reinstalar de cero.

3 – Buscar en la carpeta UPLOADS por archivos .php

No hay una razon logica para que esta carpeta posea archivos PHP, ya que solo se usa para guardar archivos media como imagenes.

4 – Borrá el archivo .htaccess

Algunos hackers añaden codigo al .htaccess que envia a los visitantes de tu web a otro sitio diferente.
Podes eliminarlo, ya que WordPress lo recreará automaticamente.

Si por algun motivo no lo recrea, dirigite en el panel de WordPress a Settings => Permalinks. Haciendo simplmente clic en el boton de “Save Changes” creará un nuevo .htaccess.

5 – Controlar el archivo wp-config.php

Este archivo es importantisimo ya que contiene informacion vital para el funcionamiento de tu WordPress.
La mejor manera de chequear que no haya algun codigo extraño, es comparar el archivo wp-config.php con el archivo wp-config-sample.php, ya que éste último posee la informacion por defecto que deberia poseer el archivo wp-config.php.
Deberías entonces eliminar cualquier código que estés seguro que no pertenece al archivo.

6 – Restaurar el sitio desde un Backup.

Si hace backups de su sitio de manera regular, puede probar con restuarar el sitio desde un respaldo. Aunque esto no asegure al 100% que eliminará las backdoors del sitio, es un buen punto de partida para revisar mas a fondo el sitio, tal cual se indicó en los pasos anteriores.

Como prevenir futuros hackeos.

Ahora que ha limpiado su sitio, es tiempo de mejorar la seguridad de su sitio para prevenir futuros hackeos.

  • Mantener actualizado el sitio WordPress, asi como sus plugins y themes.
  • Utilice, tanto en el admin de su WordPress como en otras passwords del dominio, contraseñas fuertes y dificiles. Lo mejor es usar numeros, símbolos, alternar entre minusculas y mayusculas, etc.

Cómo optimizar las imágenes para SEO (y por qué es importante)

Una gran página web contiene mucho más de lo que las personas ven cuando visitan tu web. Desde luego que el contenido, las páginas y la navegación son importantes, pero también hay todo un soporte que no debes ignorar si quieres aumentar su visibilidad.

Si has decidido centrarte en crear un gran contenido y publicar tu página web antes de abordar la optimización para motores de búsqueda (SEO), sería recomendable hacer a continuación una auditoría del contenido multimedia de tu biblioteca de WordPress.com. O, como mínimo, pensar en el SEO para imágenes.

¿Qué es el SEO para imágenes? Consiste en incluir palabras clave y metadatos relevantes para cada imagen, documento y vídeo que subas a tu página web. Los metadatos, que son una descripción de una pieza de contenido de tu página web, son una herramienta valiosa que los motores de búsqueda, como Google, utilizan para posicionar tu contenido en los resultados de las búsquedas.

Sólo necesitas unos minutos para optimizar las imágenes para SEO y, a cambio, puede generar tráfico constante en la web. Hemos descrito aquí los conceptos básicos para ayudarte a comprender cómo puedes utilizar esta herramienta para aumentar la visibilidad de tu página web.

El tamaño importa

Antes de acceder a la biblioteca de contenido multimedia de WordPress.com, haz un poco de trabajo preliminar con respecto al tamaño de tus imágenes. El tamaño de las imágenes es importante porque, según Google, afecta al rendimiento de tu página web. Las imágenes más grandes utilizan más datos, lo que hace que las páginas tarden más en cargar: cuantos más datos tiene que procesar un navegador, más tarda en descargar una página o una web. Esto podría hacer que los usuarios prefieran buscar la información que necesitan en otro lugar.

Los motores de búsqueda toman nota de las páginas web que tardan en cargarse o que ofrecen una mala experiencia a los usuarios, así que planificar una estrategia sobre el tamaño de tus fotos puede mejorar el SEO de tu página web y tu posicionamiento en los resultados de búsqueda. ¿Cómo saber si una imagen es demasiado grande? No hay una respuesta directa, pero verás que en tu biblioteca de contenido multimedia WordPress.com establece un tamaño máximo para las imágenes. Por suerte tienes la opción de ajustar el tamaño de tus imágenes para cada publicación o cada página.

También puedes utilizar la edición de fotos, o programas como iPhoto o Adobe Photoshop, para optimizar las fotos de tu página web. El ancho estándar de una página web está entre 960 y 980 píxeles según Iteracy, así que asegúrate de no tener imágenes que superen este ancho. Las dimensiones del área de contenido en WordPress.com también te ofrecen una pista. Si cargas tu imagen y ocupa toda la página, es mejor cambiar el tamaño para evitar que tarde mucho en cargarse.

Pon el contenido multimedia a trabajar

Una vez que hayas ajustado el tamaño de tus imágenes, dirígete a la biblioteca de contenido multimedia de tu página web WordPress.com para cargarlas. Cuando inicies sesión en la página web de WordPress.com, verás una lista de opciones en la parte izquierda de la página. Haz clic en Medios para ver tu biblioteca de contenido multimedia. Aquí es donde encontrarás todas las imágenes, videos, archivos de audio y documentos que has cargado en tu web.

Si ya has cargado contenido en tu página web, haz clic en la imagen dentro de la biblioteca de contenido multimedia y selecciona Editar para acceder a sus campos de descripción. Aquí es donde puedes añadir los metadatos. Encontrarás los siguientes campos: Título, leyenda, texto alternativo y descripción. Supongamos que tienes un página web para tu casa rural y has escrito una publicación en el blog sobre los atractivos más conocidos de tu ciudad, todo ello completado con fotos. Deberás incluir el nombre completo de cada lugar de interés en el campo Título («Paseos en bici junto al río Tormes», por ejemplo), y luego tendrás que añadir más detalles sobre la imagen en sí en el campo Leyenda («Turistas en bicicleta cruzando el puente sobre el Tormes», por ejemplo). Recuerda que aunque el título de la imagen es invisible para tus visitantes, la leyenda sí aparece al lado o debajo de la imagen.

La información del campo Texto alternativo puede ser similar a la del campo Leyenda, ya que ofrece a los motores de búsqueda más información sobre la imagen. El texto de este campo lo leen los lectores de pantalla y es lo que se ve cuando una imagen no carga. En el campo Descripción, puedes añadir muchos más detalles sobre la imagen y el contenido relacionado. Por ejemplo, aquí puedes añadir más información acerca de la empresa que ofrece paseos en bici, el precio y su programa diario de excursiones. Los motores de búsqueda, como Google, rastrean las páginas web en busca de información que les ayude a decidir cómo posicionar los resultados de búsqueda. Si todos los elementos de tu página web, incluidas las fotos y los nombres de los archivos, tienen palabras clave relevantes, esto aumentará el SEO de tu web y lo hará más visible en las búsquedas.

El SEO para imágenes, como todo el SEO, es en parte arte y en parte ciencia. Sin embargo, estos sencillos ajustes pueden ayudarte a mejorar el rendimiento de tu web. Cuando quieras incorporar una nueva imagen a tu página web, dedica unos minutos a cambiar el tamaño de la imagen y a rellenar los campos de metadatos al cargarla en tu biblioteca de contenido multimedia. La optimización SEO de las imágenes sólo aporta cosas buenas, así que ¿por qué no hacer el esfuerzo?

Fuente: https://wordpress.com/es/go/tutorials/como-optimizar-las-imagenes-para-seo-y-por-que-es-importante/

Cómo optimizar imágenes en WordPress

No hay nada más frustrante que una página web que tarda muchísimo tiempo en cargarse. Como visitante, es lamentable encontrar este problema; pero es incluso más frustrante si te ocurre en tu propia página web. Muchos son los factores que pueden ralentizar el tiempo de carga de la página, y seguramente las imágenes demasiado grandes son los principales culpables.

Muchos propietarios de páginas web tienen este problema y no son conscientes de ello. Saber optimizar imágenes en WordPress es muy importante. Además de hacer perder el interés de los visitantes, incluir imágenes muy grandes puede:

  • ralentizar la carga de las páginas
  • reducir tu posicionamiento en buscadores (como sugiere Search Engine Land)
  • agotar el límite de almacenamiento de tu sitio (dependiendo de tu plan)

Entonces, ¿cómo se soluciona el problema? ¿Cuáles son las maneras relativamente fáciles de optimizar tus imágenes sin tener que pasar todo el día usando un software de edición de fotografías?

1. Seleccionar el tipo de archivos correcto

Con frecuencia este aspecto se olvida, pero es una de las maneras más sencillas de reducir el tamaño de los archivos de imágenes. También aumentará la velocidad de carga de tu página web sin la necesidad de hacer ningún cambio importante.

La mayoría de las veces, la elección se reduce a dos tipos principales de archivo de imagen: JPEG o PNG.

  • Si quieres ahorrar espacio, puedes convertir los archivos a JPEG antes de cargarlos. El formato JPEG usa la compresión para reducir el tamaño de los archivos, minimizando el tiempo que tardan en cargarse.
  • También se puede usar el formato PNG, pero el tamaño de los archivos es mayor. Normalmente, se usan archivos PNG si estás mostrando una imagen que necesita mantener los detalles de alta calidad.

2. Opciones de WordPress.com para cambiar el tamaño

WordPress.com crea automáticamente tres tamaños de archivo diferentes de cualquier imagen que puedas cargar. De entre estas opciones, se recomienda optar por aquella con el archivo de menor tamaño que mantenga la calidad original de la imagen.

Menú desplegable para seleccionar el tamaño de la imagen

No hay motivo para incluir una imagen con unas dimensiones superiores a la página de visualización, por lo que es importante saber los píxeles de ancho de la web. Como referencia, 600 píxeles suele ser el tamaño de la mayoría de los anchos de las publicaciones que aparecen en los blogs.

Si hay demasiada diferencia entre los tres tamaños de imagen generados automáticamente por WordPress.com, puedes cambiar el tamaño de imagen de manera manual.

Para ello, primero haz clic en la imagen en el editor de contenidos y, a continuación, en el icono del lápiz.

Seleccionar el icono del lápiz

En los ajustes de visualización de la foto, selecciona Tamaño personalizado.

Seleccionar Tamaño personalizado

Por último, especifica las medidas que desees.

Especificar las medidas

Cuando especifiques la anchura, puedes configurar la altura para que se ajuste automáticamente y mantener las proporciones correctas. De esta manera, no tendrás que preocuparte de hacer los cálculos.

3. Plugins de WordPress

Gracias a la sólida y exclusiva comunidad en línea de WordPress, no necesitarás aprender cómo optimizar imágenes en WordPress. Algunos plugins como reSumsh.it o EWWW Image Optimizer te ayudarán a comprimir imágenes una vez que las hayas subido, y te permitirán también optimizar las imágenes subidas anteriormente. Si tu sitio está dentro del plan Business, tendrás acceso a todos los plugins de WordPress.

Optimizar tus imágenes para que las páginas se carguen con más rapidez

Ahora que las plataformas como Pinterest e Instagram crecen en popularidad, las imágenes son una parte cada vez más importante de la comunicación online. Pero si tus imágenes no se cargan con rapidez, es posible que tu mensaje no llegue a tu público de una manera eficaz. Selecciona las imágenes correctas para tu blog y optimízalas usando uno de los tres métodos que se han especificado anteriormente para expresar lo que quieres, y para proporcionar a los lectores experiencias de usuario que logren convencerlos de que vuelvan a visitar tu página.

Fuente: https://wordpress.com/es/go/tutorials/como-optimizar-imagenes-en-wordpress/

WordPress Toolkit Versión 5.9: Que trae de nuevo esta actualización.

La gran mayoría de las actualizaciones de esta herramienta están apuntadas a mejorar la seguridad, algo sumamente importante en estos días.

A continuación, describimos cuales son dichas actualizaciones en WordPress Toolkit:

Site Vulnerability Scan (Scanner de vulnerabilidades del sitio)

Introducido en la version 5.8; el “scan automático de vulnerabilidades” chequea cada hora las posibles vulnerabilidades de la base de datos; para controlar si se ha reportado alguna nueva inseguridad o flaqueza; y entonces controla cada sitio administrado por WordPress, incluyendo cada theme y cada plugin.
Si alguna es descubierta, WordPress Toolkit marca el sitio en la interface para que el admin de la web sepa que debe tomar acción al respecto.

Site Vulnerability Policies (Políticas de vulnerabilidad del sitio)

Introducido en la version 5.9; y en conjunto con el Site Vulnerability Scan mencionado anteriormente; son políticas avanzadas de auto actualización. Estas políticas (Que deben ser activadas de manera manual), aseguran que cada vulnerabilidad detectada, que se pueden corregir instalando actualizaciones, se realicen de manera automatica.

Dicho de otra manera, si alguna actualizacion existente puede corregir alguna vulnerabilidad detectada, WordPress Toolkit se hará cargo del proceso por si mismo.

En el caso que se trate de un plugin vulnerable, el admin tendrá la posibilidad de simplemente deshabilitar dicho plugin, en lugar de actualizarlo.

Las actualizaciones de seguridad son instaladas inmediatamente despues que se encuentran las vulnerabilidades.

Tambien hay que destacar que no hay políticas de auto actualizaciones especiales para WordPress en su totalidad, ya que estas auto actualizaciones menores ya se encargan de esto.

Site Vulnerability Email Notifications (Notificaciones por Email de las vulnerabilidades del sitio)

La última característica relacionada con la seguridad, es la notificación vía correo electronico asociada con los resultados dados por el Site Vulnerability Scan.

Los admin no deberán loguearse más a WordPress Toolkit para controlar estos temas de seguridad.

Y estas notificaciones difieren de las normales notificaciones de WordPress Toolkit; ya que las mismas son enviadas inmediatamente después que alguna vulnerabilidad fue detectada.

Es importante destacar que estas norificaciones son enviadas solo cuando ocurre algun evento de vulnerabilidad; para evitar que dichos correos sean considerados SPAM.

Actualizaciones adicionales en WordPress Toolkit.

  • La blocklist ahora trabaja en conjunto con CLI operations, y no busca actualizaciones de plugins bloqueados.
  • El proceso de escaneo ya no re-escanea sitios que ya son parte del listado en WordPress Toolkit, asi que trabaja de manera mas veloz.
  • El proceso de actualizaciones inteligentes (Smart Updates) ya no deja carpetas vacias después de finalizar.
  • El rendimiento en la tarea de instalar y eliminar sitios WordPress en servidores con gran cantidad de conexiones a base de datos ha sido mejorado de manera significativa.
  • El rendimiento de Action Log tambien ha sido mejorado cuando se trabaja con registros de gran tamaño.
  • El doble de bugs han sido corregidos en esta versión, si la comparamos con la anterior.

Fuente: https://blog.cpanel.com/wordpress-toolkit-version-5-9-update/

“Error Too Many Redirects Issue” en WordPress. Como solucionarlo.

Está usted tratando de solucionar el error “Error Too Many Redirects Issue” en su WordPress?

Este problema, más comun de lo que uno supondría, podría ser causado por un plugin o una incorrecta configuración en el sitio.
Este error deja a los usuarios bloqueados de su WordPress, lo que es bastante problemático.

Ahora, dependiendo del navegador que utilice, este mensaje puede diferir. Por ejemplo, en el browser Mozilla Firefox, este error suele aparecer como “The page isn’t redirecting properly”.

Pasos a seguir para corregir este problema:

1 – Limpiar cookies y caché de su navegador.

Una causa común de este error pueden ser las cookies de tu navegador. Puede probar acceder a su sitio usando un navegador diferente, para corroborar si justamente el inconveniente está en su browser.
Si usted puede acceder utilizando otro navegador, entonces el problema está en el browser que usa de manera regular.
La solucion entonces sería limpiar las cookies y la caché de su navegador.

2 – Desactivar todos los plugins de WordPress.

La causa mas comun de este problema, es un conflicto con un plugin instalado. Un plugin que trata de redireccionar de una manera que entra en conflicto con las redirecciones por defecto de WordPress, puede generar este error.

El primer paso para solucionar esto, es desactivar todos sus plugins del sitio.
Normalmente, puede ir a Plugins => All Plugins en el area de admin de su WordPress y deactivar alli todos sus plugins.

Si no puede acceder a su area de admin, la manera de proceder es haciendo este proceso desde un cliente FTP.
Una vez conectado, dirijase a la carpeta /wp-content/, busque la carpeta /plugins/ y renombre esta última carpeta, por ejemplo /plugins.desactivados/; lo que efectivamente desactivará sus plugins.

Ahora pruebe acceder a su admin area de Wodpress. Si puede hacerlo, entonces el problema lo causa uno de sus plugins.

Para poder descubrir cual plugin es la causa de este error, vuelva a conectarse via FTP, y renombre nuevamente la carpeta a /plugins/.
Despues de eso, vaya a su admin area de WordPress y vissite Plugins => All Plugins. Desde alli, pruebe ir activando uno a uno sus plugins para ver si puede reproducir el error.

Una vez que encuentre el plugin problematico, puede eliminarlo y buscar una alternativa al mismo, o reportar el error al creador del plugin.

3 – Reparar URLs de WordPress.

Otra de las grandes causas de este error es una mala configuracion en la URL de WordPress. Normalmente, usted puede ver estas opciones en Settings => General dentro de su WordPress.

Para la mayoria de los sitios, las URLs en los campos WordPress Address y Site Address deben ser los mismos. Aun así; algunos usuarios pueden terminar usando www en una URL y sin www en otra.

Como usted posiblemente no tenga acceso al area admin de WordPress, debera reparar este inconveniente usando un cliente FTP.

Conectese al sitio via FTP y dirijase a /wp-content/themes/your-theme-folder/.
Localice alli el archivo functions.php, y utilice un bloc de notas para editarlo.

Luego, deberia añadir el siguiente condigo al final del archivo:

update_option( ‘siteurl’, ‘https://example.com’ );
update_option( ‘home’, ‘https://example.com’ );

Donde https://example.com deberia colocar la URL de su sitio. Puede ahora salvar los cambios y subir el archivo de nuevo a su web.

Pruebe ahora acceder a su website para corroborar si esto soluciona el error.

4 – Resetear el archivo .htaccess de WordPress.

El archivo .htaccess es un archivo espacial que le permite administrar redirecciones y otras configuraciones de su sitio.

Sucede a veces que los plugins de WordPress hacen cambios en el .htaccess del sitio y esto puede disparar este error. Es posible tambien que desactivar un plugin no remueva los cambios realizados sobre el archivo .htaccess.

En este caso, deberá resetear de manera manual su archivo .htaccess.

Nuevamente, deberá usar su cliente FTP para esta tarea.
Busque el archivo .htaccess en la carpeta root de su sitio (En cpanel suele estar dentro de /public_html/, a menos que haya instalado WordPress en una carpeta especifica).

Antes que nada, baje una copia del .htaccess a su PC como de respaldo.
Despues de eso, vaya y elimine el archivo .htaccess de su sitio. Pruebe ingresar nuevamente su WordPress, y si todo funciona, entonces implica que su .htaccess estaba causando este problema de redireccion.

Ahora, como ha borrado el archivo, deberá recrearlo.
Normalmente, su WordPress puede funcionar sin dicho archivo, pero asegurese de ir a Settings => Permalinks y haciendo clic en el boton de “Save Changes” el archivo .htaccess se regenarará.

Estos pasos deberian solucionar el problema “Error Too Many Redirects”. Si luego de esto el error sigue apareciendo, por favor comuniquese con WordPress.

WordPress 5.8 “Tatum” lanzado con casi 300 nuevas funciones y correcciones

Se lanzó una actualización importante de la versión de WordPress, la versión 5.8, que contiene casi 300 mejoras y nuevas funciones.

WordPress 5.8 está disponible para actualizar en este momento en todos sus escritorios de administrador. El nuevo lanzamiento lleva el nombre del innovador músico de jazz Art Tatum. Es un nombre apropiado para esta nueva versión de WordPress porque está llena de características completamente nuevas que facilitan a los editores innovar y expresarse creativamente.

Soporte para Internet Explorer 11 eliminado

Esta es la versión que elimina el soporte para Internet 11. IE 11 es un riesgo para la seguridad.

WordPress ahora se convierte en un sistema de gestión de contenido más ágil y rápido, ya que reduce la cantidad de código en el núcleo.

Bloques

Bloques es una forma moderna y actualizada de editar la apariencia de WordPress. La edición con bloques se ha convertido en una característica en partes en todo el sistema de WordPress.

Bloques Widget

El modelo de bloques para editar un sitio ahora está disponible en el área de widgets. 

Notas de WordPress en otros lugares:

“Esto brinda a los usuarios nuevas y poderosas formas de personalizar sus sitios utilizando la rica biblioteca de bloques centrales y de terceros.

Los widgets existentes y los de terceros seguirán funcionando y se pueden utilizar junto con los bloques “.

Bloques de consulta

Esta nueva función brinda a los editores la capacidad de mostrar publicaciones según criterios personalizados.

Por ejemplo, la sección de publicaciones de visualización se puede limitar para mostrar publicaciones de una categoría seleccionada.

WordPress lo compara con una funcionalidad de Últimas publicaciones pero más poderosa.

Vista de la lista

La vista de lista es una nueva forma de ver la estructura de una página web. Los editores ahora pueden alternar entre la vista normal y la vista de lista para obtener una descripción general de todos los bloques de la página en la que se está trabajando.

Esto también puede permitir que un editor navegue a un bloque específico.

Dar estilo y colorear imágenes

Esta es una nueva característica de diseño que permite a un editor colorear imágenes o videos. Es una forma de agregar más estilo creativo a una página.

WordPress lo describe como un filtro en blanco y negro donde el negro y el blanco pueden ser reemplazados por cualquier color para las sombras y las luces.

API de configuración y estilos globales con theme.json

Este es un gran cambio que brinda más control sobre la apariencia de un sitio web. Permite a los desarrolladores y editores de temas cambiar los elementos de estilo predeterminados de las páginas web.

Según WordPress:

“Este archivo de configuración habilita o deshabilita funciones y establece estilos predeterminados tanto para un sitio web como para los bloques”.

Soporte para WebP

WebP es un formato de imagen de nueva generación que puede mostrar imágenes en tamaños de imágenes más bajos.

El soporte de WordPress para el formato WebP permite a los editores crear sitios web que se descargan más rápido. Eso es una victoria para los editores y los visitantes del sitio.

Algunos pueden decidir esperar unos días antes de actualizar en caso de errores.

Pero WordPress prueba minuciosamente cada versión, por lo que puede ser seguro actualizar ahora.

La metodología de lanzamiento incluye probar versiones mejoradas consecutivamente del lanzamiento hasta que los desarrolladores sientan que está listo para ser utilizado.

Fuente: Search Engine Journal | WordPress

WordPress: Limpiando el hackeo de Anonymous Fox

Estamos actualizando los pasos para limpiar los sitios WordPress infectados por Anonymous Fox. Hasta ahora el procedimiento sería el siguiente:

1) Dirijase en su cPanel a Seguridad => ImunifyAV.

Allí verá un listado de los archivos infectados detectados por nuestro antivirus. Eliminelos usando el Administrador de Archivos de cPanel o un programa FTP.
Si la ruta de el archivo a eliminar se encuentra en una carpeta desconocida, elimine directamente la carpeta; más aun si dicha carpeta está dentro de /plugins.
Por ejemplo: /home/usuariocpanel/public_html/site/wp-content/plugins/aknxryu/dwmruibv.php

En lugar de borrar el archivo dwmruibv.php, se ahorra varios pasos borrando la carpeta /aknxryu que es, obviamente, un plugin falso.

Un vistazo a los plugins falsos instalados por el virus

2) Borre las casillas de correo creadas por el virus.

El hackeo implica vulnerar un WordPress desde un plugin falso, desde ese plugin pueden modificar, via virus, el archivo contactmail de cPanel, y de esa forma pueden enviarse el password de cPanel.

Una vez dentro, usan archivos de cPanel para crear casillas de correos. Vaya a Correo Electronico => Cuentas de Correo Electronico y eliminelas.
Ejemplo de casillas que crea el virus:

admin@
administrator@
backing@
back-up@
backup@
chief@
call@
client@
clients@

Son entre entre 15 y 20 casillas de correos las que crea el virus.

3) Este virus crea usuarios del admin de su WordPress para tener acceso al mismo.
En cPanel, vaya a Base de Datos => PHPmyadmin.

Abra la base de datos de su sitio. En casi todos los sitios la base tiene el mismo nombre: usercpanel_wp123 (Es siempre un numero al azar).
Busque ahora la en dicha base la tabla wp_users.
Elimine todos los usuarios creados por el virus. Si el que posee su casilla de correo fue editada; restaure la misma editando los datos y modificando la contraseña; tal como lo muestra esta guia: https://www.youtube.com/watch?v=cb5GTYGXrwg

Use nombres de usuario y passwords complejos. Evite nombres conocidos como “admin”.

4) Es momento de ir a Dominios => WordPress Toolkits.
Lo mas probable es que al entrar vea un mensaje indicando que la instalacion de WordPress esta dañada.
Para solucionar esto, haga clic en el botón “Comprobar la integridad de WordPress”.

Le saldrá una pantalla con varias opciones; seleccione “Restaurar núcleo de WordPress” para reinstalar los archivos necesarios para que WordPress funcione correctamente.

5) Es momento de volver al Administrador de Archivos de cPanel.
Una vez allí, dirijase a la carpeta de WordPress llamada /wp-includes. La misma se encuentra dentro de la instalación de WP; en la ruta por defecto de /public_html/wp-includes.

Una vez dentro, busque por el archivo plugin.php; haga clic con el botón derecho sobre dicho archivo y seleccione la opcion “Change Permissions”. Asegurese que dicho archivo solo quede con permisos 444, es decir, que tenga tildada solo la opcion “Leer” en cada modo.

6) Es tiampo de modificar las contraseñas de acceso a la cuenta: Usuario de admin de WP; user de base de datos y cPanel.

La password del usuario admin de su WordPress la debería haber editado en el paso 3 donde se eliminaron usuarios creados por el virus.
La password del usuario de base de datos la puede cambiar desde el cPanel; en Base de Datos => Bases de Datos MySQL => Usuarios actuales => Cambiar Contraseña.
La password de cpanel puede modificarla desde su area de cliente en https://www.sitioshispanos.com/es/clientarea.php , yendo a Servicios => Mis Servicios => Haga clic sobre el servicio en cuestion => En la columna de Acciones, verá la opción “Cambiar Contraseña”.

7) Actualizar WordPress a la última versión disponible. Elimine cualquier instalación de WordPress que no se use.

8) Actualizar los Plugins, Woocomerce y Theme a la ultima versión y no mantenga instalados plugins que no se usen.

9) Usar la ultima versión de PHP disponible: https://www.php.net/supported-versions.php

10) Limite el numero de Logins fallidos (generalmente mediante un plugin de seguridad)

EJ: https://wordpress.org/plugins/wp-limit-login-attempts/

11) Deshabilitar el editor de archivos de WordPress (Theme Editor)

  • Agregue esta linea en el archivo wp-config.php
define( 'DISALLOW_FILE_EDIT', true );

Cambiando de “true” a “false” esta linea podrá activar y desactivar la opción segun la necesidad de usarla.

12) Deshabilitar XML-RPC

  • Agregar este código en el .htaccess principal de la instalación de WordPress:
 # Block WordPress xmlrpc.php requests

 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Puedes reemplazar xxx.xxx.xxx.xxx por la ip a la que deseas darle acceso, o puedes eliminar esa línea para un bloqueo total.

  • El codigo, por defecto, que crea WordPress en los htaccess es este, agregue el codigo de arriba debajo del codigo de WordPress:
 # BEGIN WordPress

        RewriteEngine On

        RewriteBase /

        RewriteRule ^index\.php$ - [L]

        RewriteCond %{REQUEST_FILENAME} !-f

        RewriteCond %{REQUEST_FILENAME} !-d

        RewriteRule . /index.php [L]

        # END WordPress 

13) Deshabilitar la creación de archivos PHP en directorios de WordPress

Es recomendable crear un .htaccess, si no existe, con este mismo codigo en /wp-includes/ y /wp-content/uploads/

 <Files *.php>

        deny from all

        </Files>  
  • Asegurar el wp-config.php
  • Prevenir que se pueda editar el archivo wp-config.php desde el navegador Agregar este codigo al .htaccess principal
# protect wpconfig.php 

    <files wp-config.php> 

        order allow,deny 

        deny from all 

    </files>
  • Luego modificar los permisos del archivo a 600

14) Busque en “Cuentas FTP” que no haya sesiones raras creadas, si hay sesiones, cualquiera, es recomendable cambiarles el password.

15) Busque en “Mysql Remoto” que no haya ips raras o desconocidas agregadas.

Por qué debería limitar el uso de plugins en su sitio WordPress

Al crear un sitio web de WordPress, tiene la opción de personalizarlo para casi cualquier propósito imaginable. Puede vender productos, crear una base de fans, publicar contenido irresistible, administrar un hotel, iniciar un club basado en membresías y más.

Puede optar por contratar a un desarrollador para construir su visión desde cero. Pero también puede aprovechar miles de complementos (plugins) que brindan todo, desde capacidades avanzadas de membresía hasta mejoras de seguridad y funcionalidad de diseño. 

Listado de plugins instalados en el escritorio de WordPress

Esta flexibilidad inigualable es una fortaleza central de la plataforma WordPress y una gran parte de por qué impulsa el 40% de la web. Pero todas estas opciones también vienen con un mayor nivel de responsabilidad para usted como propietario de un sitio web. 

Por qué no debería usar demasiados plugins de WordPress

Agregar docenas de complementos a su sitio web puede ponerlo en riesgo de violaciones de seguridad, mantenimiento estresante del sitio, conflictos potenciales y bajo rendimiento.

1. Riesgos de seguridad

Incluso el desarrollador mejor y más cauteloso puede cometer errores. Existe algún elemento de riesgo para cualquier código, tema o extensión de un sitio web. Eso también significa que cuantos más complementos instale, mayor será el riesgo de que descargue uno con una vulnerabilidad de seguridad.

La mayoría de las veces, si un desarrollador de complementos lanza una actualización, es para agregar funcionalidad o corregir un error. Si no actualiza sus complementos con regularidad, esas vulnerabilidades no se solucionan y les brindan a los piratas informáticos una manera fácil de acceder a su sitio.  

Y, por supuesto, cuantos más complementos haya instalado, más actualizaciones deberá realizar. Esto requiere tiempo adicional y aumenta la posibilidad de que olvide una actualización. A los piratas informáticos les encanta aprovechar los complementos obsoletos. Por suerte en SitiosHispanos.Com disponemos del WordPress Toolkit para ayudarlo a administrar sus cuentas.

2. Aprender a usarlos

Todos los complementos en el repositorio de WordPress son creados por diferentes desarrolladores con diferentes soluciones. 

Aunque estos diversos enfoques ayudan a resolver las necesidades únicas de los usuarios, el inconveniente es que no todos los complementos funcionan de la misma manera, tienen la misma configuración, muestran la misma funcionalidad o permiten el mismo nivel de personalización. El panel de control o la interfaz de configuración de cada complemento es diferente. 

El tiempo necesario para aprender a aprovechar cada complemento se suma rápidamente. Además, a menudo hay un mantenimiento involucrado para garantizar que cada uno funcione correctamente.

3. Conflictos de complementos

Dado que WordPress es una plataforma de código abierto, cualquier desarrollador puede enviar un complemento al repositorio de complementos de WordPress. Dado que son creados por diferentes personas, con diferentes niveles de habilidad, hábitos y conocimientos, no es raro que dos o más complementos entren en conflicto entre sí.

Los conflictos pueden resultar en páginas de carga lenta, mensajes de error o funcionalidad rota. En última instancia, un conflicto de complementos puede hacer que un sitio web se bloquee.

¿Cómo saber si un complemento entrará en conflicto con otro complemento? Por lo general, no lo hace, a menos que ambos complementos estén muy bien documentados. Y los complementos que pueden no entrar en conflicto cuando los configura pueden causar problemas después de la actualización. 

Cuantos menos complementos se utilicen en su sitio, menos probable es que una actualización provoque conflictos que puedan afectar negativamente su reputación, ventas u otros objetivos.

4. Baja velocidad del sitio

La instalación y activación de numerosos complementos en su sitio web puede afectar el tiempo de carga de su página y el rendimiento de su sitio en general. 

Toda la información de su sitio web se almacena en la base de datos. Muchos complementos utilizan consultas de bases de datos para recuperar y almacenar información. Más complementos significan más consultas, lo que aumenta la carga en su servidor de base de datos, aumentando posteriormente el tiempo de carga del sitio, especialmente si su plan de alojamiento incluye recursos limitados.

Cuantos más complementos tenga, más espacio utilizará en su servidor. Con la mayoría de los planes de alojamiento web, se le asigna una cierta cantidad de espacio y si maximiza ese “espacio asignado”, debiendo aumentar de plan para soportar el sitio.

¿Cuántos complementos son demasiados?

Desafortunadamente, no hay una respuesta establecida para esta pregunta. Depende de la calidad de los complementos utilizados y el peso que agregan a su sitio.  

Si su sitio requiere complementos de gran impacto para funcionar de la manera que lo necesita, es posible que desee considerar el uso de servidores cloud dedicados. Tendrá más recursos disponibles, lo que ayudará a que su sitio se cargue más rápido a pesar de los complementos adicionales.

También es importante que considere la calidad de los complementos que utiliza. Aquí hay algunos factores para examinar al elegir un complemento de WordPress:

  • ¿Es confiable la fuente? ¿Un desarrollador o una empresa de renombre creó el complemento?
  • ¿Funciona con la última versión de WordPress? En el repositorio de complementos de WordPress , aparecerá una notificación en la parte superior si está desactualizado.
  • ¿Tiene buenas críticas? Los usuarios identificarán rápidamente errores, vulnerabilidades y problemas de funcionalidad.
  • ¿Cuántos sitios web lo utilizan? El repositorio de complementos de WordPress también identifica la cantidad de usuarios activos. Generalmente, cuanto más popular es un complemento, es más probable que sea de alta calidad.
  • ¿Hay soporte y documentación? Una buena documentación hará que aprender a usar un complemento sea mucho más fácil y un equipo de soporte debe estar disponible para responder cualquier pregunta que pueda tener.

Fuente: Jetpack | Adaptación de SitiosHispanos.Com

5 razones por las que tu sitio en WordPress no aparece en Google

Hizo todo el trabajo duro: obtuvo un plan de alojamiento web, instaló WordPress, configuró un tema agradable y escribió algo de contenido. Se publica la entrada y es momento de obtener visitas, ¿verdad? Pero, cuando buscas tu propio sitio en Google… “Mi sitio web no aparece en Google, ¿qué está pasando?!” Bueno, aquí hay cinco razones que podrían explicar por qué un sitio no aparece en Google.

1: Es demasiado reciente, Google aún no lo sabe

Primero, ¡que no cunda el pánico! Si su sitio es nuevo, podría ser simplemente una cuestión de relajarse y volver a consultar en otro momento. Hay muchas partes para que su sitio sea rastreado, indexado y clasificado. A veces, Google tarda días o incluso semanas en descubrir su sitio.

Puede buscar su sitio con la sintaxis de búsqueda site:sudominio.com en Google, ejemplo site:blog.sitioshispanos.com y verá una lista de las páginas que se encuentran en ese dominio. Si escribe la URL completa de un artículo específico, debería ver sólo un resultado de búsqueda. Si ve sus páginas, esto significa que Google conoce su sitio y ha incluido, al menos una parte, en su índice. Una vez que descubra que su página está en el índice, pero cree que no funciona bien, es posible que desee profundizar más.

Resultado de una búsqueda en google utilizando la sintaxis site:

2: No ha indexado su sitio ni el contenido

Una de las razones más comunes por las que Google no indexa su sitio o una página específica es porque, sin darse cuenta, se configuró como noindex. Agregar las etiquetas meta etiquetas robots con noindex a una página le dice al robot de Google que puede rastrear una página, pero que las mismas no se pueden agregar a Google.

¿Cómo comprobar si su página no está indexada? Eso es fácil, simplemente abra la página y vea el código fuente. En algún lugar del encabezado de la página, encontrará el código a continuación. Esto le dice a los rastreadores de los motores de búsqueda que el contenido de la página no debe agregarse al índice y, por lo tanto, evitar que se clasifique.

<meta name="robots" content="noindex">

3: Google no puede rastrear su sitio

Es posible que le haya dicho a Google que no indexe su contenido, ¡pero también es posible que le haya dicho a Google que no rastree su sitio en absoluto! 

Bloquear los rastreadores en un archivo llamado robots.txt es una forma segura de no obtener tráfico. Bloquear robots es más fácil de lo que piensas. Por ejemplo, WordPress tiene una opción en Ajustes -> Lectura que, una vez configurada en Disuade a los motores de búsqueda de indexar este sitio, hace todo lo posible para mantener alejados a los rastreadores. Desmarque esta opción para que su sitio esté disponible nuevamente.

Captura de la opción para buscadores

4: Su contenido no está a la altura y / o no coincide con la intención de los usuarios

Puede haber varias razones técnicas por las que su sitio no se muestra en Google. Sin embargo, esa no es toda la historia. También puede ser tu contenido. Es posible que su contenido simplemente no sea lo suficientemente bueno o autorizado para que Google elija esa frase clave específica. Piense en cómo usted, como ser humano, encontraría su sitio. No se centre en Google.

El contenido que no aparece en Google podría ser “simplemente” el caso de no coincidir con lo que espera el buscador. Es posible que su contenido no se ajuste a la intención de búsqueda del usuario. En este caso, debe hacer una investigación de palabras clave y también observar bien la intención de búsqueda. ¿Qué buscan las personas, en qué términos y qué piensan hacer?

5: su contenido carece de vínculos de origen externo

Hace mucho tiempo, cuando Google era solo una empresa incipiente, las clasificaciones estaban determinadas en parte por la popularidad. La idea era que cuantos más enlaces obtuviera un sitio o una página, más personas veían este sitio como una fuente valiosa y Google debería colocarlo en la parte superior de la página de resultados. Si bien muchas cosas han cambiado en más de dos décadas, los enlaces aún juegan un papel importante en la visibilidad y clasificación del contenido. Usted puede clasificar y sin vínculos, pero es sólo muy duro.

Crear contenido increíble es una buena forma de obtener enlaces a sus páginas. El contenido de alta calidad tiende a atraer clics de lectores que también pueden compartir el contenido a través de las redes sociales. Todo esto ayuda a conseguir esos enlaces.

Pd: ¡Agregar enlaces internos entre sus artículos también ayuda a Google y a los buscadores a descubrir tu contenido!

Fuente: Edwin Toonen de Yoast

Nuevo kit de herramientas WordPress cPanel en SitiosHispanos.Com

WordPress Toolkit es una interfaz de administración de funciones que permite a cualquier persona instalar, configurar y administrar sitios web de WordPress. WordPress Toolkit Lite se incluye GRATIS en planes de Alojamiento Web de SitiosHispanos.Com y es compatibles con Versiones de cPanel y WHM.

Ha llegado la evolución de la gestión de WordPress

El kit de herramientas de WordPress incluye todo lo que necesita para tomar el control de sus sitios web de WordPress. No hay límite para la cantidad de sitios web de WordPress que puede administrar con el Kit de herramientas de WordPress.

  • Gestión de contraseñas de administración y base de datos
  • Gestión de indexación de motores de búsqueda
  • Funcionalidad de inicio de sesión en el Escritorio WordPress único
  • Fortalecimiento de la seguridad automático

El kit de herramientas más completo, seguro y versátil para WordPress

Desde instalaciones personalizables hasta la gestión intuitiva de copias de seguridad, temas, complementos y contraseñas, el kit de herramientas de WordPress es ideal para cualquier persona con uno o varios sitios web de WordPress.

La instalación de WordPress desde cPanel nunca ha sido más eficaz

Cree conjuntos de complementos y temas predefinidos que se pueden utilizar para configurar automáticamente nuevas instalaciones de WordPress con un solo clic. Este administrador de WordPress cPanel es un verdadero ahorro de tiempo.

Mantenimiento, herramientas de copia de seguridad y depuración al alcance de su mano

Ponga su sitio en modo de mantenimiento y muestre un mensaje personalizado a sus visitantes, mientras realiza diversas tareas como copias de seguridad, restauraciones o depuración; ¡está todo incluido!

Fuente: cPanel.net | Video: SitiosHispanos.Com

cPanel, WebHost Manager and WHM are registered trademarks of cPanel, L.L.C. for providing its computer software that facilitates the management and configuration of Internet web servers.