• Saltar a la navegación principal
  • Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página
algoentremanos

Algoentremanos.com

  • Ofertas
  • Aplicaciones
    • Programas utiles
      • Los 10 mejores emuladores de videojuegos (NES, SNES, N64, PS1, MAME…)
      • Mejores aplicaciones para Mac
      • Mejores programas fotografía para Mac
      • Mejores programas para Linux
      • Las mejores aplicaciones para utilizar tu tableta gráfica
      • La regla de Backup 3-2-1: la mejor manera de hacer una copia de seguridad de tu ordenador
        • Los mejores programas para hacer un backup online y offline de tu PC o Mac
    • Las mejores aplicaciones para iPhone – iPad
  • Privacidad
    • VPN
      • Cuales son los mejores VPN por calidad precio
      • Los mejores VPN gratis
      • Cómo ver Netflix en España y otros países
      • ¿Qué VPN funciona con Netflix?
      • Las mejores VPN para Disney Plus
      • Las mejores VPN para gaming
      • El mejor VPN para Mac
      • Mejores VPN para Windows
      • Mejores VPN para torrents
      • El mejor VPN para tu smartphone o tablet Android – iOS
      • Los mejores VPN para Bet365
      • Los 5 mejores VPN que aceptan Bitcoin como pago
      • Proxy vs VPN
    • Bloqueadores de anuncios
      • Las mejores aplicaciones para proteger tu privacidad en smartphones y tablets
    • e-Mail Seguro
    • Gestores de contraseñas
      • Mejores gestores contraseñas
    • Proxy
    • Tor
  • Web y SEO
    • SEO
      • Las mejores herramientas para controlar el posicionamiento de las palabras clave de tu web en Google
      • Las mejores herramientas gratis de búsqueda de palabras clave
    • Blogs
      • Donde registrar dominios online
      • Los mejores servidores VPS por calidad precio
      • Tipos de hosting para alojar tu blog: hosting compartido, VPS, Cloud o servidor dedicado
      • Compra dominios baratos
      • WordPress
        • WordPress y HTTPS
        • Los mejores temas de Genesis Framework para WordPress
    • Los mejores gestores de contenido (CMS) Open Source
    • ¿Cuál es el mejor panel de control gratuito para un servidor linux?
  • Juegos
    • Cómo jugar con tu familia en Animal Crossing
    • Los mejores juegos para iPhone
    • Los mejores juegos para el iPad
    • Los mejores juegos para Mac
      • Los mejores juegos para Mac gratis y de pago
    • Trucos y estrategias de Clash Royale que nunca nadie te había contado
      • Mejor baraja Clash Royale
    • 20 trucos y estrategias para jugar al juego Boom Beach
    • Cómo empezar a jugar a Minecraft (Tutorial para principiantes)
    • Guía Farmville
      • Solución a los problemas de conexión y carga en Farmville
  • Internet
    • Amazon
      • Reclamaciones Amazon
    • android
    • Apple
      • Tú iMac o Macbook suena y hace ruido: posiblemente sea el ventilador [solución]
    • facebook
    • Google
    • Herramientas Online
      • Los mejores servicios para hacer una copia de seguridad online
        • Los mejores servicios de almacenamiento en la nube gratis (2022): guarda tus fotos y archivos online
    • Tutorial
      • Las mejores páginas web para descargar torrents
  • Actualidad
    • ciencia
    • Cine
    • Dinero
    • Geek
    • Libros
      • Mejores libros Ciencia Ficción
    • Móviles
    • Ofertas
    • Series TV
    • Tecnología
    • Viajes
Inicio / Web y SEO / Blogs

Cloudflare CloudBleed: una brecha de seguridad espectacular. Cómo proteger tu WordPress o página web

febrero 24, 2017 Por Ivan Benito Deja un comentario

Te levantas por la mañana y te encuentras un post de Cloudflare diciendo que han tenido un fallo de seguridad de proporciones épicas, que ya esta corregido, pero que hay que tomar medidas de seguridad. Así ha empezado hoy nuestro día. Si tienes dada de alta tu pagina web o instalación de WordPress con Cloudflare, ya te digo que te interesa leer este post al completo.

Cloudflare CloudBleed: una brecha de seguridad espectacular. Cómo proteger tu WordPress o página web

Qué ha pasado en Cloudflare

Cloudflare ha experimentado un fallo de seguridad que lleva arrastrando desde hace 5 meses pero que se ha intensificado las últimas semanas y que ha sido descubierto por Tavis Ormandy.

¿Qué hace Cloudflare? Cloudflare proporciona un cortafuegos y un servicio de CDN. Sus servidores se encuentran entre tu sitio web y tu propio servidor web. Cloudflare devuelve los datos que cada visitante del sitio ha solicitado a ese visitante. Por lo general este proceso se realiza a través de un canal seguro.

Desde el 22 de septiembre de 2016 hasta el 18 de febrero de 2017, los servidores de Cloudflare mezclaban datos que pertenecían a un visitante de un sitio web, con datos pertenecientes a otros que visitaban un sitio web completamente diferente. La peor fuga de datos se produjo entre el 13 de febrero y el 18 de febrero de 2017, cuando se filtró una de cada 3,3 millones de solicitudes a los servidores de Cloudflare. Espectacular.

Este error en los sistemas de Cloudflare se ha descrito como una «fuga de datos». No está claro si se considera una «brecha de seguridad». Veremos. 

Cómo os podéis imaginar, después de que Cloudflare haya echo publica su solución (ya ha corregido el fallo), todo internet se ha vuelto loco pensando en que va a pasar ahora, porque el problema es que los buscadores han guardado esa información sensible en su caches, y aunque Google y otros ya han borrado parte, seguro que en algún lugar alguien tiene la información suficiente para entrar en tu WordPress sin tu consentimiento.

Parece que el problema se ha centrado en tres características menores de Cloudflare (email obfuscation, Server-side Excludes y Automatic HTTPS Rewrites), pero eso no quiere decir que si no las usas estes libre de pecado. Mejor tomar medidas de seguridad.

¿Sitios afectados? Todos los que usen Cloudflare deberían tomar medidas de seguridad, pero parece que hay un listado de los principales afectados: github.com/pirate/sites-using-cloudflare. Cloudflare comenta en blog que se han puesto en contacto via e-mail con los principales afectados y que van a mandar un e-mail a todos sus usuarios en breve.

Qué información se ha filtrado

Pues contraseñas y logins, cookies y tokens de autenticación… vamos, todo lo necesario para hackear WordPress. Si un atacante puede acceder al texto de tus cookies, es posible que pueda utilizarlas para iniciar sesión en tu sitio web. Todavía se pueden ver resultados en Google:

cloudflare-cloudbleed_Google

¿Qué puedes hacer para proteger tu sitio web con WordPress si tienes instalado Cloudflare?

1.-Lo primero que deberías hacer es cambiar tu password de acceso a WordPress en el panel de administración. Esto también sirve para otras páginas web que estén dadas de alta en Cloudflare y no usen WordPress.

2.-Lo segundo es cambiar las Authentication Unique Keys & Salt que se encuentran en wp-config.php en el directorio raíz de tu instalación. Ya sabes que puedes generar unas nuevas usando https://api.wordpress.org/secret-key/1.1/salt/.

WordPress Secret Key Generator - WordPress.org API

Esto provocara que todos tus usuarios tengan que hacer logout de tu WordPress y evitara que te roben la información de las cookies de WordPress. Si usas otro CMS, asegúrate de invalidar todas las sesiones de tu sistema.

Email que han mandado desde Cloudflare a sus clientes

Thursday afternoon, we published a blog post describing a memory leak caused by a serious bug that impacted Cloudflare‘s systems. If you haven’t yet, I encourage you to read that post on the bug:

https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare–parser-bug/

While we resolved the bug within hours of it being reported to us, there was an ongoing risk that some of our customers’ sensitive information would still be available through third party caches, such as the Google search cache.

Over the last week, we’ve worked with these caches to discover what customers may have had sensitive information exposed and ensure that the caches are purged. We waited to disclose the bug publicly until after these caches could be cleared in order to mitigate the ability of malicious individuals to exploit any exposed data.

In our review of these third party caches, we discovered exposed data on approximately 150 of Cloudflare‘s customers across our Free, Pro, Business, and Enterprise plans. We have reached out to these customers directly to provide them with a copy of the data that was exposed, help them understand its impact, and help them mitigate that impact.

Your domain is not one of the domains where we have discovered exposed data in any third party caches. The bug has been patched so it is no longer leaking data. However, we continue to work with these caches to review their records and help them purge any exposed data we find. If we discover any data leaked about your domains during this search, we will reach out to you directly and provide you full details of what we have found.

To date, we have yet to find any instance of the bug being exploited, but we recommend if you are concerned that you invalidate and reissue any persistent secrets, such as long lived session identifiers, tokens or keys. Due to the nature of the bug, customer SSL keys were not exposed and do not need to be rotated.

Again, if we discover new information that impacts you, we will reach out to you directly. In the meantime, if you have any questions or concerns, please don’t hesitate to reach out.

Matthew Prince
Cloudflare, Inc.
Co-founder and CEO

¿Dónde puedes conseguir más información?

  • https://news.ycombinator.com/item?id=13718752
  • https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
  • https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by-cloudflare-parser-bug/
  • https://www.reddit.com/r/sysadmin/comments/5vu3yn/cloudbleed_seceurity_bug_cloudflare_reverse/

Comparte esto:

Relacionado

  • Cómo bloquear ataques de Fuerza Bruta contra WordPress (wp-login.php y xmlrpc.php) con Cloudflare y Jetpack
  • Bloquear los ataques de Fuerza Bruta en WordPress contra el archivo xmlrpc.php con Jetpack.
  • enero 10, 2017
  • En «Blogs»
  • ¿Cómo podemos mejorar la velocidad de WordPress con Cloudflare y sus Page Rules?
  • enero 23, 2014
  • En «Blogs»
  • El DNS más rápido, seguro y privado: Cloudflare 1.1.1.1 y 1.1.1.1 for Families
  • ¿Qué es Cloudflare 1.1.1.1 for Families?
  • septiembre 12, 2022
  • En «Internet»

Publicado en: Blogs, Wordpress Etiquetado como: Cloudflare, Seguridad, Wordpress

Acerca de Ivan Benito

Apasionado de la lectura y los viajes, experto en tecnología e informática y fan de la privacidad online. Desde el año 2007 me he dedicado al SEO, a escribir y a crear páginas web con WordPress sobre todo tipo de temáticas. Si tienes alguna duda y necesitas ayuda... ¡Pregúntame!

Descargo de responsabilidad

Algoentremanos realiza reviews de manera profesional y en muchas ocasiones recibimos compensación de las compañías cuyos productos revisamos. Probamos cada producto a fondo y otorgamos altas calificaciones solo a los mejores. La propiedad de Algoentremanos.com es independiente y las opiniones expresadas aquí son solo nuestras. Saber más.

Introduce tu correo electrónico para suscribirte a este blog y recibir notificaciones de nuevas entradas. ¡Gracias!

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Date de alta por e-mail y recibe todos nuestros artículos en tu correo. ¡Muchas gracias!

Únete a otros 6.407 suscriptores
  • Facebook
  • Twitter
  • Instagram
  • Pinterest
  • YouTube

TOP ofertas Black Friday 2022 servicios online, VPN, SaaS

TOP ofertas Black Friday 2022 servicios online, VPN, SaaS

Privacidad y seguridad

privacidad y seguridad online

Los mejores VPN de 2022

Los mejores VPN para mejorar tu seguridad y privacidad online

Entradas y Páginas Populares

  • Las mejores páginas web para descargar torrents en 2023
    Las mejores páginas web para descargar torrents en 2023
  • Los mejores programas y aplicaciones gratis para Linux (Ubuntu y otras distribuciones) en 2023
    Los mejores programas y aplicaciones gratis para Linux (Ubuntu y otras distribuciones) en 2023
  • Las mejores extensiones para Tachiyomi
    Las mejores extensiones para Tachiyomi
  • Las pulseras del sexo o del amor: significado del código de colores para empezar el juego
    Las pulseras del sexo o del amor: significado del código de colores para empezar el juego
  • Las mejores canciones para probar tus auriculares o audífonos
    Las mejores canciones para probar tus auriculares o audífonos
  • ¿Por qué mi VPN no funciona? ¿No se conecta o no puedes navegar por internet? ¿Funciona de manera correcta?
    ¿Por qué mi VPN no funciona? ¿No se conecta o no puedes navegar por internet? ¿Funciona de manera correcta?
  • Los mejores VPN para Bet365 en 2023
    Los mejores VPN para Bet365 en 2023
  • Los mejores programas para escribir libros, crear ebooks o editar textos (2023)
    Los mejores programas para escribir libros, crear ebooks o editar textos (2023)
  • Las mejores páginas para descargar subtítulos en Español para series de TV y películas
    Las mejores páginas para descargar subtítulos en Español para series de TV y películas
  • Los mejores programas para dibujar con tableta gráfica gratis y de pago
    Los mejores programas para dibujar con tableta gráfica gratis y de pago

Categorías

  • Actualidad
  • Amazon
  • android
  • Aplicaciones y Programas
  • Apple
  • blogger
  • Blogs
  • Bloqueadores de anuncios
  • ciencia
  • Cine
  • Destacados
  • Dinero
  • e-Mail Seguro
  • facebook
  • Geek
  • Gestores de contraseñas
  • Google
  • Herramientas Online
  • Internet
  • Juegos
  • Libros
  • Móviles
  • Ofertas
  • Privacidad
  • Programas utiles
  • Proxy
  • SEO
  • Series TV
  • Tecnología
  • Tor
  • Tutorial
  • Viajes
  • VPN
  • Web y SEO
  • Wordpress

Footer

Sobre algoentremanos.com

algoentremanos.com comenzó siendo una buena manera de recopilar información interesante sobre internet, programas informáticos y todo tipo de proyectos online. Fue fundada en el año 2009 por Iván Benito. Desde entonces, he pasado cientos de horas realizando análisis y reviews de servicios online y de todo tipo de apps y programas.

Privacidad y cookies: este sitio utiliza cookies. Al continuar utilizando esta web, aceptas su uso.
Para obtener más información, incluido cómo controlar las cookies, consulta aquí: Política de cookies

Análisis y opiniones

Si quieres encontrar información de calidad para elegir los mejores servicios online y programas para tu PC, Mac, Linux o smartphone, algoentremanos.com es el sitio indicado: te ayudo a elegir las mejores opciones. La privacidad y la seguridad online es mi prioridad. No te pierdas los tutoriales y la selección de ofertas. ¿Preguntas o ayuda? Ponte en contacto conmigo... ¡No lo dudes!

Enlaces de interés

  • Sitemap
  • Quienes somos
  • Contacto

Copyright © 2023 · Todos los derechos reservados algoentremanos.com ·

  • Política de Privacidad y Datos Legales
  • Politica de Cookies
  • Sitemap de la web