Ataque a instalaciones frescas de WordPress

Recientemente, han ido creciendo los ataques a instalaciones nuevas de WordPress. Estos ataques buscan el siguiente URL:

/wp-admin/setup-config.php

Esta es la url que WordPress utiliza para mostrar la pantalla de configuración una vez instalado los archivos pero previo a dar de alta todos los datos de conexión a la base de datos y contraseña de administración.

Si instalas WordPress haciendo unzip de los archivos o con el instalador que proveen la mayoría de los sitios de hosting, el siguiente paso es llenar los datos en esta pantalla y es la que activamente han estado atacando.

Una vez que ganan acceso administrativo, pueden instalar plugins que corren código en php con el que pueden ganar acceso a todo el servidor.

Una solución sencilla para prevenir este tipo de ataque es agregar un archivo .htacess previo a instalar WordPress y poner los siguientes datos:

order deny,allow
deny from all
allow from <tu ip>

donde “tu ip” es la ip desde la máquina dónde te conectas.

Esperamos que esta información les sea útil.

Utiliza una landing page para una campaña Teaser

Normalmente la mayoría de los empresarios y marcas se esperan hasta tener su producto listo para crear su página web y empezar a promocionar sus servicios. Sin embargo esta no es la mejor estrategia.

Lo ideas es empezar a hacer ruido previo al lanzamiento como lo hizo Google con sus Nexus o Tesla con sus coches, esto ayuda a que el día en que se lanza, ese mismo día se logran generar ventas.

Para esto lo ideal, a parte de generar awareness en redes sociales es crear un landing page a dónde llegue todo ese tráfico y nos deje su información de contacto para que el día de lanzamiento, se les mande un recordatorio a todos y durante los días previos generar la expectativa.

Ahora les mostraré algunos ejemplos de landings de este tipo:

Fijitsu, para lanzar su LifeBook Q, creo el siguiente landing:

tease landing page de fujitsu

Cubriendo solamente el espacio Above the fold,, nos muestra una de las cualidades de la notebook (muy delgada y ligera) y que estará disponible en X días, si queremos estar informados, dejamos nuestro emal y el día de lanzamiento podemos ser de los primeros en ordenar nuestra notebook.

Stimulate, creo un pre-launch para su conferencia, dónde muestra algunos de su ponentes (los más importantes) con la fecha y la opción de dejar tu email, para cuando tengan abierto el registro te manden los datos. Esto es ideal para ir creando una masa crítica previa al evento, con la cual se pueden tomar muchas decisiones de que tanta demanda va a tener.

teaser landing page de la conferencia de stimulate

 

Para el juego de The Drowning, crearon un landing page haciendo un teaser  del juego, dónde tienen un video corto para emocionar a los gammers, un descripción muy breve de lo que trata el juego y refuerzan su posición en el mercado como grandes creadores de juegos como Crysis y Far Cry. Finalmente te dan una opción de pre-registrarte para ser de los primeros en poder jugarlo.

Pre Launch del juego drowning

 

La aplicación de YayPlanner creo este landing para empezar a capturar a usuarios beta, que están dispuestos a sufrir los problemas de usar una app que no esta funcionando al 100% con tal de ser los primeros.  Al igual que los demás, el usuario deja su email y cuando lo aprueba, le llega un email de confirmación para poder usar la versión beta.

landing page para usuarios beta de la app

Algunos otros ejemplos:

 

Algunos tips para diseñar tus pre launch landing pages:

  1. Entre más rápido te dejen el email mejor. Búsca tener el campo del email en el above the fold
  2. Diseña la página al rededor del registro / email
  3. Cuenta tu historia en un elevator pitch o en poco párrafos.
  4. Diseña para que lo compartan después de registrarse. Muestra algún popup u otra página con la opción de compartir en redes.
  5. Agradece a los que se registran
  6. Pixelea con Facebook y Google a todos los visitantes
  7. Incluye Google Analytics

 

Espero que les haya resultado útil esta información y tengan una idea de lo que pueden lograr con un teaser como landing page previo a su lanzamiento.

Chrome y Firefox Nuevo Ataque de Phishing con SSL

Ataques simulando certificados de SSL

El último año hemos visto como Google junto con otros han venido empujando el uso de certificados de SSL para nuestros sitios. Y haciendo más prominente el sello “verde” de que la conexión es segura.

Un gran problema que han tenido todos los ataques de phishing, dónde mandan emails idénticos a los de los bancos, y al darle clic entras a un sitio igual al de tu banco, pero a la hora de ver la barra de navegación, la dirección no es la misma del banco (aunque algunas veces es tan similar que no nos damos cuenta) y el otro problema es que no tiene el sello verde de que la conexión es segura.

Ahora al parecer han encontrado como sobre pasar estos dos problemas de un solo tiro.  Comprando dominos con códigos unicode e instalando certificados de SSL en estos, que a la hora que los abres en tu navegador, convierte los caracteres unicode en el URL que quieres simular.

Como ejemplo vean estas imágenes:

Ataques simulando certificados de SSL
Dos dominios distintos que se muestras igual

La URL falsa en este caso es https://www.xn--e1awd7f.com/  que a la hora de convertirla se muestra como epic.com tal como el atacante busca que se vea con todo y su certificado de SSL.

Al parecer Chrome en su versión  58.0.3029.81 ya resolvió este problema y en Firefox pueden cambiar el parámetro network.IDN_show_punycode  a true.

Por ahora hay una solución, pero esperen más ataques sofisticados como estos en un futuro.  Ya no va a ser suficiente con ver el certificado, ahora también vamos a tener que abrirlo y asegurarnos que es para el dominio correcto.

 

Ataques a WordPress en el primer trimeste del 2017

WordPress, siendo uno de los CMS más utilizados para desarrollar todo tipo de sitios web, se ha convertido en un blanco de ataque constante.  Por lo que ahora, todos los que desarrollamos sitios en WordPress estamos constantemente actualizando y reforzando la seguridad de estos.

WordFence, una empresa a seguridad de sitios web , mes con mes publica los nuevos ataques que encuentra en los sitios y una cosa interesante que encontraron en Marzo de 2017, es que los ataques desde Argelia han incrementado de manera importante.

Las IPs que más ataques iniciaron a sitios de WP en todo el mundo se listan en la siguiente tabla: (pueden ver el airtable con todos los datos aquí)

IP con más ataques a sitios de WordPress en Marzo del 2017
IP con más ataques a sitios de WordPress en Marzo del 2017

Cualquiera que sea el plugin de seguridad de WP que utilicen o en su archivo de configuración asegúrense de agregar estas IPs a la lista de direcciones bloqueadas.

En promedio en el mes de Marzo vimos alrededor de 35 millones de ataques de fuerza bruta diarios un incremento de 5 millones comparado con febrero de este año.

Ataques de fuerza bruta a sitios de WP

La cantidad de ataques complejos (aquellos que buscan explotar alguna vulnerabilidad de WP, los temas o los plugins) también incremento un 10% de febrero a marzo llegando a 3.8 millones de ataques diarios en promedio.

Ataques complejos a sitios de WP (promedio diario)

Los temas que más fueron atacados durante el mes de marzo fueron mThemes-Unus, infocus, dejavu y elegance como pueden ver en la tabla:

Lista de temas más vulnerables de WP

 

También podemos notar que los ataques ya no son tan concentrados en pocos temas, sino que están aumentando la cantidad total de temas atacados.

Para los plugins de WP, en la siguiente tabla podemos ver que wp-symposium recibió cerca de 2 millones de ataques promedio ¿será por eso que están dando sus extensiones pro en 1 dólar o viceversa?

Extensiones de WP con más ataques de seguridad en marzo 2017
Extensiones de WP con más ataques de seguridad en marzo 2017

Si se dedican a la seguridad de sus sitios, les recomiendo que utlicen estos datos y los incorporen en su análisis.

Safe browsing,

 

Diseñando para los navegadores más comunes

Diseño Web en 2017

Cuando diseñamos una página o aplicación web hoy en día, normalmente pensamos en como se ve en los grandes navegadores como Chrome, Firefox, Edge y Safari para desktop y Safari y Chrome en móvil.  Pero la realidad es más compleja.

Hoy en día tenemos que pensar en todos los lugares dónde pueden ver nuestra aplicación y esto incluye un webview cuando lo abren dentro de Facebook, o aplicaciones como Flipboard e InstaPaper o el nuevo navegador de Samsung que va a venir preinstalado en todos los nuevos modelos, al igual que navegadores poco conocidos como Yandex o UC Browser de Alibaba y Opera Mini.

browsers
Logos Navegadores web

Es interesante notar que navegadores como el de Samsung buscar darle acceso a sus usuarios a funcines como Realidad Virtual y Acceso Biometrico en lugar de contraseñas. Lo cual complica las cosas para los diseñadores.

Por este motivo es que la mejora progresiva y  los Progressive Web Apps han ganado tanto terreno, ya que tratan de darle la funcionalidad básica a todos, e irle dándo más opciones a los que tienen navegarores más complejos.

Definitivamente 2017 va a ser un reto para el diseño de sitios web. Va a ser un reto encontrar el balance entre los viejos navegadores como IE9 que todavía es muy utilizado en el mundo corporativo y gobierno en latinoamérica y los nuevos navegadores con API avanzadas como el reconocimiento de voz y el VR.

Al parecer el consenso actualmente esta en definir que la funcionalidad básica, o sea que es lo que queremos que todos los usuarios puedan hacer en nuestro sitio o webapp, sin importar que navegadore tengan y de ahí ir aumentando funcionalidad según el presupuesto y tiempo.

Y esto no incluye algunos de los otros problemas como accesibilidad a navegadores de solo texto, o para ciegos asegurandonos de que cumple con los estándares WCAG 2.0. Y encima de todo esto que se vea bien en todos los navegadores y tamaños (que sea 100% responsivo).

Un buen sitio o wep app actualmente requiere de considerar demasiados factores que una pequeña agencia o empresa no se puede dar el lujo y por lo tanto hay que hacer compromisos.  Así que el diseño web se ha vuelto mucho más complicado de lo que parece, ya que tenemos que probar el sitio a distintas velocidades para asegurarnos que cargue rápido, usar servicios como CrossBrowserTesting para asegurarnos que se ve bien y funciona en todos los navegadores, a parte de usar service workers, API nuevas, librerías interactivas como d3 o jQuery, hacer la interfaz más moderna con React.js o Anguar, usar polyfills para navegadores anteriores, optimizar las imágenes, agregar códigos de seguimiento y conversiones. Y encima de todo esto revisar que todos el código y contenido cumpla con las reglas para que el sitio se posicione en las búsquedas (SEO).

En resumen, tenemos que considerar:

  • Diferentes resoluciones -> Diseño Responsivo
  • Diferente navegadores -> Mejora Progresiva
  • Diferentes Velocidades -> Apps Progresivas
  • Nuevas APIs -> ¿mejora progresiva? ¿incitar a descargar otro navegador?

¿Cuál es su estrategia para este año?