Seguridad en WordPress para Principiantes https://gnumax.org/ ¿Necesitas ayuda con la Seguridad de WordPress? ¡Te invito a que conozcas estos contenidos con más detalle! Sat, 05 Aug 2017 11:44:08 +0000 es-ES © 2017 Luis Mendez Alejo - WordPress Security Support PODCAST de Luis Méndez Alejo para aprender un poco más sobre la Seguridad en WordPress y lo que te preocupa cuando tu Blog está en funcionamiento! Luis Mendez Alejo Luis Mendez Alejo gnumax@gmail.com ¿Necesitas ayuda con la Seguridad de WordPress? ¡Te invito a que conozcas estos contenidos con más detalle! ¿Necesitas ayuda con la Seguridad de WordPress? ¡Te invito a que conozcas estos contenidos con más detalle! Luis Mendez Alejo gnumax@gmail.com clean No https://gnumax.org/wp-content/uploads/2016/10/coverPODCAST-de-Seguridad-en-WordPress-para-Principiantes-Cap1.jpg Seguridad en WordPress para Principiantes https://gnumax.org/ https://wordpress.org/?v=4.8.1 PODCAST 4 de Seguridad en WordPress para Principiantes https://gnumax.org/Podcast/podcast-seguridad-wordpress-principiantes/ Thu, 11 May 2017 14:02:31 +0000 Luis Méndez Alejo https://gnumax.org/?post_type=podcast&p=3321 Cómo bloquear IPs desde WordPress o por .htaccess - Podcast dedicado ala Seguridad en WordPress para Principiantes]]>

 
 

Episodio 4 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo bloquear IPs desde WordPress o por .htaccess

En sitios web WordPress que tiene el foco de geolocalización a nivel nacional, regional o local es importante mantener saneados los accesos de forma que el tráfico hacia la web sea fluido.

Plantearse cuál es la forma más adecuada de bloquear IPs o rangos de IPs ayudará a que tu sitio web no colecte demasiados datos en las tablas de la base de datos correspondientes al plugin que gestione estos filtrados de IPs.

Por ello, alternativas como la gestión de listas de Ips en el archivo .htaccess se presentan como soluciones más ligeras, a pesar de tener que ser gestionadas y mantenidas manualmente, pero aportando como ventaja la descarga de esta tarea a WordPress por medio de plugins.

 

¿Cómo bloquear IPs desde .htaccess?

Sin entrar en detalles de porqué sí o porque no bloquear por medio de htaccess, quiero que veas que el bloqueo de una o varias IPs, o inclusive un rango de IPs por .htaccess es un proceso tan sencillo como rápido de aplicar, y no genera carga extra en tu instalación de WordPress.

Las reglas de bloqueos de IPs debes crearlas siempre fuera del código de .htaccess para WordPress que es el siguiente:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

 

Bloquear una IP específica:

El siguiente código te permite bloquear determinada IP estableciendo dicho bloqueo mediante un deny from IP:

order allow,deny
deny from 200.108.100.20
allow from all

 

Bloquear varias IPs:

Esto mismo lo puedes hacer extensivo a varias IPs:

order allow,deny
deny from 200.108.100.20
deny from 174.120.1.50
deny from 10.200.130.100
deny from 104.218.13.155
allow from all

 

Bloquear un Rango de IPs:

Si por ejemplo quieres bloquear un rango de IPs que pueda ser usado desde un origen específico, aplicas la siguiente regla de bloqueo en .htaccess:

order allow,deny
deny from 200.108.100.
allow from all

De esta forma, todo el rango desde la IP 200.108.100.1 a la IP 200.108.100.254 estarán bloqueadas automáticamente y no podrán visualizar la web WordPress alojada en el Hosting donde apliques la regla en el archivo .htaccess

Debes tener cuidado con los bloqueos por rangos, no vaya a ser que por error acabes bloqueando IPs legítimas o tu propia IP (si operas con IPs dinámicas dentro de una red de fibra óptica donde se reparten las IPs dinámicas por cajas de distribución de conexiones en bloques de viviendas o calles, por ejemplo).

 

Bloquear un Host específico:

order allow,deny
deny from baidu.com
allow from all

Esto bloquearía todo el tráfico procedente del host del buscador chino Baidu.

 

Bloquear el accesos a una instalación WordPress en otra carpeta:

En un escenario en el que tu Hosting tiene varias webs, separadas en carpetas, y quieres restringir a una determinada IP, rango o país, a una instalación de una carpeta, por ejemplo /public_html/pruebas lo único que debes hacer es editar el archivo .htaccess de esa instalación (si no existe lo creas) y añadir fuera del siguiente código:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

La siguiente regla de bloqueo cuya sintaxis es la siguiente:

deny from [DIRECCIÓN IP]

Nota: El formato de IP debe ser en IPv4.

Lo ideal sería antes del bloque #BEGIN WordPress añadir el código que bloquee la IPs o el rango, tal como te expliqué anteriormente:

order allow,deny
deny from 200.108.100.20
allow from all

Esto bloqueará a la IP 200.108.100.20 el acceso a la instalación alojada en la carpeta /public_html/pruebas pero no impedirá que acceda a otras instalación del Hosting si las hubiera.

 

¿Cómo bloquear IPs mediante un plugin?

Existen numerosos plugins para aplicar bloqueos de IPs, unos específicos (solo se dedican a esta tarea) y otros como parte de una herramienta de seguridad o hardening más amplia, donde una de las políticas de seguridad es el bloqueo de IPs.

Me gustaría señalar que no merece la pena instalar un plugin que realice múltiples tareas diferentes si solo quieres aplicar bloqueos a IPs o rangos, es desperdiciar el potencial del plugin y sobrecargar tu instalación.

 

Plugins para banear IPs o rangos en WordPress:

Existen muchos más plugins para bloquear IPs específicas, rangos de IPs o bloques de países para evitar que desde esas IPs o países se acceda a tu sitio web WordPress pero ¿es la solución adecuada?.

Es evidente que muchos de los plugins conocidos como Wordfence, Sucuri Security, iThemes Security, etc., además de realizar otras tareas, permiten gestionar el bloqueo de IPs, pero acaban siendo como elefantes en una tienda de porcelanas. Se convierten en plugins pesados, que en muchos casos acaban duplicando funcionalidades de seguridad que el propio servidor de alojamiento ya aplica.

¡Pregunta a tu Hosting qué medidas aplica! no está demás y posiblemente te ahorrarás algún que otro plugin. - tuitealo

 

¿Es necesario tener listas negras de IPs?

Cada vez es más común recibir ataques (o intentos de ataques) de fuerza bruta, con diccionario, etc., principalmente contra formularios de acceso de WordPress, pudiendo llegar de 1, 5 a 20.000 ataques en apenas unas horas sin que tu llegues a percibirlos, lo que no quiere decir que no se produzcan.

Este hecho y otros muy similares justifican la creación de Listas Negras de IPs que se puedan filtrar en reglas de .htaccess o a través de un plugin de WordPress, de forma que mitigues los intentos de ataque y además liberes al servidor donde se alojen tus webs de la cantidad de tráfico que este tipo de ataques generan.

Lo ideal sería poder bloquear automáticamente aquellas IPs que sean detectadas como responsables de ataques de fuerza bruta, DDoS o similares, de manera que no tengas que estar haciéndolo manualmente ya que el volumen puede llegar a ser abrumador.

 

Para estos casos pueden ser útiles plugins como:

El plugin IP Blacklist Cloud te permite listar las direcciones IP desde tu sitio web de WordPress. Te envía el enlace del sitio web a la base de datos de IP Finder que le da a otros usuarios la posibilidad de ver cuántos sitios han bloqueado la IP específica y ver sus comentarios.

Dispone de una función al complemento que te permite bloquear los nombres de usuario de los correos basura (comentarios) en tu sitio web.

Monitoriza los intentos fallidos de autenticación que muestran el usuario y la dirección IP, ID de usuario/nombre de usuario y la fecha/hora del intento fallido de inicio de sesión en tu sitio web.

Tiene la capacidad de bloquear automáticamente los intervalos de direcciones IP que intentan iniciar sesión con un nombre de usuario válido.

 

Conclusiones

Bloquear IPs para reducir el número de peticiones al servidor donde se aloja tu sitio web y de paso bajar el nivel de estrés al que se ve sometida una instalación, por constantes intentos de ataques de diversa naturaleza contra formularios como el de acceso al dashboard de WordPress, es una medida preventiva y paliativa que va ayudar bastante a reducir el marco de ataques que podrían producirse contra tu sitio web.

Métodos para aplicar estas restricciones de IPs van a depender de tu pericia para aplicar directivas en .htaccess o decantarte por un plugin que te facilite el proceso de alta de IPs de forma automática en tu Lista Negra.

 

Hasta aquí el 4º PODCAST de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes cómo mejorarla.

Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX.

 

Este PODCAST ha sido patrocinado por:

nosolocodigo.com

Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM

 
Tu feedback y comentarios son el combustible que alimenta estos PODCAST de Seguridad en #WordPress. - tuitealo

Nos vemos en el próximo #PODCAST dedicado a WordPress y su seguridad!!

 
 

]]>

 
 

Episodio 4 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo bloquear IPs desde WordPress o por .htaccess

En sitios web WordPress que tiene el foco de geolocalización a nivel nacional, regional o local es importante mantener saneados los accesos de forma que el tráfico hacia la web sea fluido.

Plantearse cuál es la forma más adecuada de bloquear IPs o rangos de IPs ayudará a que tu sitio web no colecte demasiados datos en las tablas de la base de datos correspondientes al plugin que gestione estos filtrados de IPs.

Por ello, alternativas como la gestión de listas de Ips en el archivo .htaccess se presentan como soluciones más ligeras, a pesar de tener que ser gestionadas y mantenidas manualmente, pero aportando como ventaja la descarga de esta tarea a WordPress por medio de plugins.

 

¿Cómo bloquear IPs desde .htaccess?

Sin entrar en detalles de porqué sí o porque no bloquear por medio de htaccess, quiero que veas que el bloqueo de una o varias IPs, o inclusive un rango de IPs por .htaccess es un proceso tan sencillo como rápido de aplicar, y no genera carga extra en tu instalación de WordPress.

Las reglas de bloqueos de IPs debes crearlas siempre fuera del código de .htaccess para WordPress que es el siguiente:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

 

Bloquear una IP específica:

El siguiente código te permite bloquear determinada IP estableciendo dicho bloqueo mediante un deny from IP:

order allow,deny
deny from 200.108.100.20
allow from all

 

Bloquear varias IPs:

Esto mismo lo puedes hacer extensivo a varias IPs:

order allow,deny
deny from 200.108.100.20
deny from 174.120.1.50
deny from 10.200.130.100
deny from 104.218.13.155
allow from all

 

Bloquear un Rango de IPs:

Si por ejemplo quieres bloquear un rango de IPs que pueda ser usado desde un origen específico, aplicas la siguiente regla de bloqueo en .htaccess:

order allow,deny
deny from 200.108.100.
allow from all

De esta forma, todo el rango desde la IP 200.108.100.1 a la IP 200.108.100.254 estarán bloqueadas automáticamente y no podrán visualizar la web WordPress alojada en el Hosting donde apliques la regla en el archivo .htaccess

Debes tener cuidado con los bloqueos por rangos, no vaya a ser que por error acabes bloqueando IPs legítimas o tu propia IP (si operas con IPs dinámicas dentro de una red de fibra óptica donde se reparten las IPs dinámicas por cajas de distribución de conexiones en bloques de viviendas o calles, por ejemplo).

 

Bloquear un Host específico:

order allow,deny
deny from baidu.com
allow from all

Esto bloquearía todo el tráfico procedente del host del buscador chino Baidu.

 

Bloquear el accesos a una instalación WordPress en otra carpeta:

En un escenario en el que tu Hosting tiene varias webs, separadas en carpetas, y quieres restringir a una determinada IP, rango o país, a una in]]>

 
 

Episodio 4 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo bloquear IPs desde WordPress o por .htaccess

En sitios web WordPress que tiene el foco de geolocalización a nivel nacional, regional o local es importante mantener saneados los accesos de forma que el tráfico hacia la web sea fluido.

Plantearse cuál es la forma más adecuada de bloquear IPs o rangos de IPs ayudará a que tu sitio web no colecte demasiados datos en las tablas de la base de datos correspondientes al plugin que gestione estos filtrados de IPs.

Por ello, alternativas como la gestión de listas de Ips en el archivo .htaccess se presentan como soluciones más ligeras, a pesar de tener que ser gestionadas y mantenidas manualmente, pero aportando como ventaja la descarga de esta tarea a WordPress por medio de plugins.

 

¿Cómo bloquear IPs desde .htaccess?

Sin entrar en detalles de porqué sí o porque no bloquear por medio de htaccess, quiero que veas que el bloqueo de una o varias IPs, o inclusive un rango de IPs por .htaccess es un proceso tan sencillo como rápido de aplicar, y no genera carga extra en tu instalación de WordPress.

Las reglas de bloqueos de IPs debes crearlas siempre fuera del código de .htaccess para WordPress que es el siguiente:

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

 

Bloquear una IP específica:

El siguiente código te permite bloquear determinada IP estableciendo dicho bloqueo mediante un deny from IP:

order allow,deny
deny from 200.108.100.20
allow from all

 

Bloquear varias IPs:

Esto mismo lo puedes hacer extensivo a varias IPs:

order allow,deny
deny from 200.108.100.20
deny from 174.120.1.50
deny from 10.200.130.100
deny from 104.218.13.155
allow from all

 

Bloquear un Rango de IPs:

Si por ejemplo quieres bloquear un rango de IPs que pueda ser usado desde un origen específico, aplicas la siguiente regla de bloqueo en .htaccess:

order allow,deny
deny from 200.108.100.
allow from all

De esta forma, todo el rango desde la IP 200.108.100.1 a la IP 200.108.100.254 estarán bloqueadas automáticamente y no podrán visualizar la web WordPress alojada en el Hosting donde apliques la regla en el archivo .htaccess

Debes tener cuidado con los bloqueos por rangos, no vaya a ser que por error acabes bloqueando IPs legítimas o tu propia IP (si operas con IPs dinámicas dentro de una red de fibra óptica donde se reparten las IPs dinámicas por cajas de distribución de conexiones en bloques de viviendas o calles, por ejemplo).

 

Bloquear un Host específico:

order allow,deny
deny from baidu.com
allow from all

Esto bloquearía todo el tráfico procedente del host del buscador chino Baidu.

 

Bloquear el accesos a una instalación WordPress en otra carpeta:

En un escenario en el que tu Hosting tiene varias webs, separadas en carpetas, y quieres restringir a una determinada IP, rango o país, a una in]]> clean No no no 13m. Luis Méndez Alejo PODCAST 3 de Seguridad en WordPress para Principiantes https://gnumax.org/Podcast/podcast-3-seguridad-wordpress-principiantes/ Sat, 15 Apr 2017 18:52:59 +0000 Luis Méndez Alejo https://gnumax.org/?post_type=podcast&p=3316 PODCAST 3, Plugins de Seguridad en WordPress ¿es recomendado usarlos, cuales utilizar? conoce algunos y analiza si debes utilizarlos en tu Blog.]]>

 
 

PODCAST 3 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

Plugins de Seguridad en WordPress ¿si, no, cuales?

¿Son importantes los plugins de Seguridad en WordPress para una instalación que necesite tener un control adicional de determinadas acciones?.

Respuesta compleja y sujeta a variables como:

  • Las medidas de seguridad globales del Hosting donde se aloje tu web.
  • La temática de tu Blog (1)

(1) Por extraño que parezca, determinados blogs o sitios webs con una temática específica pueden ser objetivo de usuarios malintencionados.

 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas en este PODCAST 3 de Seguridad en WordPress para Principiantes.

 

¿Instalar plugins de seguridad ayuda?

Instalar plugins que mejoren la seguridad de tu web no es en si una solucion, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizas la pregunta que debas hacerte sea ¿estoy alojado en el proveedor adecuado a mi proyecto?.

La mayoría de plugins para seguridad en WordPress disponibles en el directorio oficial de plugins son buenos, no voy a cuestionarlo, pero no es fácil determinar cuales son los mejores y los más recomendados.

La elección de este tipo de plugins depende mucho de tu Hosting, de tu sitio web y de los objetivos que persigas al implementar ciertas medidas de protección activas o pasivas.

Al final una mezcla coherente y equilibrada de medidas de seguridad, unas a través de .htaccess, otras por medio de plugins y algunas (las menos) bajo demanda para enfrentar situaciones puntuales, ayudarán a que tu web esté protegida evitando que esta se vuelva contra ti.

 

Evita el exceso de medidas de seguridad y la duplicidad de acciones para garantizar la usabilidad de tu web.

 

Plugins de Seguridad para WordPress

Existen muchos plugins orientados a fortalecer todos, algunos o varios aspectos de WordPress.

Muchos de estos plugins son buenos, de desarrolladores o empresas muy reconocidas en el ámbito de la seguridad web, pero no todos los plugins son aptos para cualquier web o Blog realizada con WordPress.

A continuación quiero detallarte algunos de los más utilizados, destacando algunas de sus características o funcionalidades para que los conozcas mejor.

 

Wordfence Security

De el he hablado en el Blog de Webempresa, si buscas en Google “Wordfence Webempresa” podrás encontrar el artículo y conocer detalles que aquí no te voy a comentar.

Es un plugin pesado, aconsejado para quien gestiona instalaciones de WordPress en un servidor local, un VPS o en servidores potentes. Consume muchos recursos y genera muchos registros en la base de datos.

Wordfence Security

 

Sucuri Security

Un buen plugin, de una prestigiosa firma de seguridad como es Sucuri, que permite auditar un WordPress de forma muy completa, buscar malware y proteger la instalación.

Sucuri Security – Auditing, Malware Scanner and Security Hardening

 

All In One WP Security & Firewall

Este plugin de seguridad de WordPress tiene una interfaz fácil de usar para aquellos que no están familiarizados con configuraciones avanzadas.

Tiene una herramienta para ayudarte a crear contraseñas más seguras, una opción de bloqueo de inicio de sesión de IPs persistentes maliciosas o que intentan ataques de fuerza bruta.

All In One WP Security & Firewall

 

iThemes Security

Otro plugin orientado a usuarios básicos que no quieren complicarse excesivamente la vida configurando complejos plugins. Consume bastantes recursos.

iThemes Security (formerly Better WP Security)

 

Security Ninja

Un plugin que despliega una gran cantidad de pruebas de seguridad de forma regular en tu web. Verifica si tu sitio es vulnerable y evita todos los ataques conocidos.

Security Ninja

 

WP Antivirus Site Protection

Un plugin de SiteGuarding.com que permite detectar puertas traseras (que suelen encontrarse en temas pirateados o plugins de dudosa procedencia), rootkits, troyanos, gusanos, herramientas de fraude online, spyware, enlaces ocultos y acciones sospechosas dentro de plugins principalmente.

WP Antivirus Site Protection (by SiteGuarding.com)

 

Brute Force Login Protection

Un plugin, de los muchos que hay para proteger el formulario de acceso de WordPress enmascarando la url de /wp-admin en otra.

Brute Force Login Protection

 

Bulletproof Security

Un firewall para WordPress, para mi gusto pesado aunque tiene algunas funcionalidades orientadas a la protección de la base de datos que en determinados escenarios pueden ser útiles.

Bulletproof Security

 

VaultPress

Un plugin (de pago) de Automattic (WordPress.com) que ofrece algunas medidas de seguridad, de respaldo y analiza hilos sospechosos en archivos de WordPress.

VaultPress

 

Conclusiones

Si tu sitio web WordPress se ve comprometido, infectado o ha sido atacado y vulnerado, mi recomendación es que no apliques medidas desesperadas y busques el soporte de profesionales que puedan ayudarte a recuperar el control de tu web en el menor tiempo posible para que tu imagen o ventas no se vean afectadas.

Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.

 

nosolocodigo.com

Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM

 

No me cansaré de recordarte que WordPress es ¡MUY SEGURO! pero un usuario que no invierta tiempo en mantenerlo actualizado, que utilice plugins desactualizados o temas descargados se sitios de poca confianza, acabará comprometiendo todo el sitio web.

 
Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tú. - tuitealo

Gracias por haberme acompañado hoy en esta breve pero intensa aventura . Espero verte en próximos Podcast dedicados a la Seguridad en WordPress para Principiantes.

Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes o iVOOX .

Tu, yo, mi suegra, la vecina del segundo A y el panadero de la esquina, todos usamos WordPress y necesitamos tener la web segura para dormir tranquilos.

Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!

 
 

]]>

 
 

PODCAST 3 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

Plugins de Seguridad en WordPress ¿si, no, cuales?

¿Son importantes los plugins de Seguridad en WordPress para una instalación que necesite tener un control adicional de determinadas acciones?.

Respuesta compleja y sujeta a variables como:

  • Las medidas de seguridad globales del Hosting donde se aloje tu web.
  • La temática de tu Blog (1)

(1) Por extraño que parezca, determinados blogs o sitios webs con una temática específica pueden ser objetivo de usuarios malintencionados.

 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas en este PODCAST 3 de Seguridad en WordPress para Principiantes.

 

¿Instalar plugins de seguridad ayuda?

Instalar plugins que mejoren la seguridad de tu web no es en si una solucion, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizas la pregunta que debas hacerte sea ¿estoy alojado en el proveedor adecuado a mi proyecto?.

La mayoría de plugins para seguridad en WordPress disponibles en el directorio oficial de plugins son buenos, no voy a cuestionarlo, pero no es fácil determinar cuales son los mejores y los más recomendados.

La elección de este tipo de plugins depende mucho de tu Hosting, de tu sitio web y de los objetivos que persigas al implementar ciertas medidas de protección activas o pasivas.

Al final una mezcla coherente y equilibrada de medidas de seguridad, unas a través de .htaccess, otras por medio de plugins y algunas (las menos) bajo demanda para enfrentar situaciones puntuales, ayudarán a que tu web esté protegida evitando que esta se vuelva contra ti.

 

Evita el exceso de medidas de seguridad y la duplicidad de acciones para garantizar la usabilidad de tu web.

 

Plugins de Seguridad para WordPress

Existen muchos plugins orientados a fortalecer todos, algunos o varios aspectos de WordPress.

Muchos de estos plugins son buenos, de desarrolladores o empresas muy reconocidas en el ámbito de la seguridad web, pero no todos los plugins son aptos para cualquier web o Blog realizada con WordPress.

A continuación quiero detallarte algunos de los más utilizados, destacando algunas de sus características o funcionalidades para que los conozcas mejor.

 

Wordfence Security

De el he hablado en el Blog de Webempresa, si buscas en Google “Wordfence Webempresa” podrás encontrar el artículo y conocer detalles que aquí no te voy a comentar.

Es un plugin pesado, aconsejado para quien gestiona instalaciones de WordPress en un servidor local, un VPS o en servidores potentes. Consume muchos recursos y genera muchos registros en la base de datos.

Wordfence Security

 

Sucuri Security

Un buen plugin, de una prestigiosa firma de seguridad como es Sucuri, que permite auditar un WordPress de forma muy completa, buscar malware y proteger la instalación.

 
 

PODCAST 3 de Seguridad en WordPress para Principiantes.

Hoy hablo de…

Plugins de Seguridad en WordPress ¿si, no, cuales?

¿Son importantes los plugins de Seguridad en WordPress para una instalación que necesite tener un control adicional de determinadas acciones?.

Respuesta compleja y sujeta a variables como:

  • Las medidas de seguridad globales del Hosting donde se aloje tu web.
  • La temática de tu Blog (1)

(1) Por extraño que parezca, determinados blogs o sitios webs con una temática específica pueden ser objetivo de usuarios malintencionados.

 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas en este PODCAST 3 de Seguridad en WordPress para Principiantes.

 

¿Instalar plugins de seguridad ayuda?

Instalar plugins que mejoren la seguridad de tu web no es en si una solucion, y en el caso de necesitar muchos plugins para proteger puntos débiles de tu web, quizas la pregunta que debas hacerte sea ¿estoy alojado en el proveedor adecuado a mi proyecto?.

La mayoría de plugins para seguridad en WordPress disponibles en el directorio oficial de plugins son buenos, no voy a cuestionarlo, pero no es fácil determinar cuales son los mejores y los más recomendados.

La elección de este tipo de plugins depende mucho de tu Hosting, de tu sitio web y de los objetivos que persigas al implementar ciertas medidas de protección activas o pasivas.

Al final una mezcla coherente y equilibrada de medidas de seguridad, unas a través de .htaccess, otras por medio de plugins y algunas (las menos) bajo demanda para enfrentar situaciones puntuales, ayudarán a que tu web esté protegida evitando que esta se vuelva contra ti.

 

Evita el exceso de medidas de seguridad y la duplicidad de acciones para garantizar la usabilidad de tu web.

 

Plugins de Seguridad para WordPress

Existen muchos plugins orientados a fortalecer todos, algunos o varios aspectos de WordPress.

Muchos de estos plugins son buenos, de desarrolladores o empresas muy reconocidas en el ámbito de la seguridad web, pero no todos los plugins son aptos para cualquier web o Blog realizada con WordPress.

A continuación quiero detallarte algunos de los más utilizados, destacando algunas de sus características o funcionalidades para que los conozcas mejor.

 

Wordfence Security

De el he hablado en el Blog de Webempresa, si buscas en Google “Wordfence Webempresa” podrás encontrar el artículo y conocer detalles que aquí no te voy a comentar.

Es un plugin pesado, aconsejado para quien gestiona instalaciones de WordPress en un servidor local, un VPS o en servidores potentes. Consume muchos recursos y genera muchos registros en la base de datos.

Wordfence Security

 

Sucuri Security

Un buen plugin, de una prestigiosa firma de seguridad como es Sucuri, que permite auditar un WordPress de forma muy completa, buscar malware y proteger la instalación.

clean No no no 08:14 Luis Méndez Alejo PODCAST de Seguridad en WordPress para Principiantes – Episodio 2 https://gnumax.org/Podcast/podcast-seguridad-wordpress-principiantes-episodio-2/ Tue, 18 Oct 2016 07:54:09 +0000 Luis Méndez Alejo https://gnumax.org/?post_type=podcast&p=3296 PODCAST de Seguridad en WordPress para Principiantes - Episodio 2]]>

 
 

Episodio 2 de este Podcast sobre Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo usar segundos factores de autenticación en WordPress

No es ningún secreto si te digo que la identificación tradicional con usuario y contraseña en cualquier servicio web, es un procedimiento inseguro y cada vez más fácilmente deducible.

Hay herramientas maliciosas que permiten capturar tus pulsaciones de teclado para luego enviarlas al atacante y que conozca por ejemplo tus datos de acceso a tu cuenta de correo, a tu banco online, o a tu cuenta de Facebook.

Es muy fácil encontrar en Internet herramientas que permiten lanzar ataques de fuerza bruta, algunos valiéndose de un potente diccionario de miles de combinaciones, que se utilizan para romper la seguridad de cualquier formulario de acceso que no esté debidamente protegido.

WordPress utiliza también un formulario de acceso basado en usuario y contraseña, a través de la url de tu-dominio.com/wp-admin y es tan inseguro como tener la llave de la puerta de tu casa debajo de la alfombra de entrada.

 

Pero ¿que es la doble autenticación?

Básicamente, para explicártelo de forma sencilla, te diré que se trata de añadir una capa extra de seguridad a tu acceso habitual.

Si me centro en WordPress diseccionaría un 2FA en dos partes:

  1. El acceso tradicional a /wp-admin con tu “usuario” y “contraseña” (robusto o no -hoy día es indiferente-)
  2. Un acceso de validación adicional basado en una clave aleatoria que se genera en tiempo real desde un dispositivo móvil (en la mayoría de casos).

Lo habitual es disponer de una aplicación en el móvil para generar esas contraseñas aleatorias, por ejemplo:

También se pueden recibir esas claves aleatorias por medio de mensajes SMS, procedentes de algún servicio específico en la nube (de Google o del proveedor del token).

 

¿Porqué es seguro un 2FA?

Debo decir, por experiencia propia y habiendo analizado la mayoría de sistemas de doble autenticación disponibles en el mercado y accesibles a usuarios normales que este método es 100% eficaz en la prevención de ataques de fuerza bruta a un sitio de WordPress.

Es seguro porque es casi imposible que el atacante tenga el usuario y la contraseña y además tu teléfono móvil. (No descarto situaciones puntuales específicas en las que este escenario podría suceder, pero interpreto que estarías siendo forzado en contra de tu voluntad).

 

¿Cuantos servicios de los que conoces y usas habitualmente utilizas con doble autenticación?

Cada vez más servicios online muy conocidos utilizan la doble identificación para garantizar a los usuarios un acceso seguro a sus servicios.

Sony, que tras muchos problemas en 2014 y 2015 finalmente decidió añadir doble autenticación a los servicios de PlayStation Network después de sufrir numerosos ataques con revelación de usuarios y contraseñas.

Google en su servicio estrella de correo Gmail te permite habilitar la doble autenticación con Google Authenticator.

Instagram recientemente ha habilitado el servicio de doble autenticación para tener acceso a tu cuenta desde dispositivos móviles.

 

¿Que tiene que ver esto con WordPress?

La verdad es que tanto o más porque si para ti tu cuenta de correo en Google, o tu cuenta de Instagram es más importante que tu proyecto web, tu Blog o Tienda, entonces deberías realmente preguntarte si valoras el trabajo que te supone sacar adelante tu web con WordPress.

Es muy habitual encontrar instalaciones de WordPress sobrecargadas de plugins para reforzar la seguridad que al final solo contribuyen a aumentar los tiempos de carga de la web, duplicar tareas tanto en el dashboard como en el servidor donde se aloja la web y ayudan a engordar las tablas de la base de datos del Blog.

La mayoría de veces estos plugins no son necesarios, principalmente si tu proyecto se aloja en un Hosting donde la seguridad global y de cada cuenta sea una máxima para la empresa de alojamiento.

Descansar las medidas de seguridad encaminadas a detener los ataques de fuerza bruta contra formularios de acceso, la inyección de spam o ataques de denegación de servicio en tu proveedor de Hosting te van a permitir aliviar la carga de tu Blog o Tienda WooCommerce y dedicar tus esfuerzos a construir buenos contenidos y no a fortificar.

En este sentido los segundos factores de autenticación ayudan a colocar barreras que van más allá de la clásica contraseña y el correspondiente usuario y te permiten utilizar un dispositivo móvil como herramienta para completar el acceso a tu instalación de WordPress con total seguridad.

Herramientas como Latch, desarrollada por EleventPaths, te permiten disponer de un “pestillo digital” en tu móvil que haga de interruptor de seguridad para abrir y cerrar el acceso al formulario de acceso con total seguridad.

 

En este vídeo puedes ver mi última emisión en Facebook LIVE donde explico las facilidades que Latch (pestillo digital) puede aportar a tu instalación de WordPress.

 

Es posible que en algún momento tu usuario y contraseña de acceso a WordPress puedan haber sido comprometidos, pero será muy difícil que la persona que haya obtenido tus datos de acceso de forma fraudulenta además tenga acceso a tu dispositivo móvil para poder completar el proceso de login a tu web.

Este punto es determinante para considerar que activar un segundo factor de autenticación en el formulario de acceso de tu WordPress es probablemente la mejor medida para combatir ataques contra tu web usando técnicas encaminadas a romper esa seguridad.

Se tardan 5 minutos en aplicar un 2FA en tu Blog WordPress, ya sea con el uso del pestillo digital Latch, o utilizando Google Authenticator o servicios similares, y a cambio obtienes un nivel de seguridad muy alto a coste cero.

 

En pocos pasos puedes instalar Latch en WordPress:

  1. Crea una cuenta “gratuita” de usuario en el servicio de Latch.
  2. Ten preparada una instalación de WordPress en la que implementar Latch.
  3. Busca e instala el plugin Latch para WordPress (desde el dashboard).
  4. Instala la App de Latch en tu móvil (es el token físico).
  5. Busca 5 minutos de tiempo para parear el acceso a tu blog por medio del plugin con Latch
  6. Descansa tranquilo porque ahora los malos lo tendrán un poco más difícil.

 
Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tú. - tuitealo

 

Combatir los ataques de fuerza bruta no necesariamente implica llenar tu instalación de WordPress de plugins redundantes, hay medidas muy simples y rápidas de aplicar con las que obtendrás mayores niveles de seguridad …y de tranquilidad.

 

Este PODCAST ha sido patrocinado por:

nosolocodigo.com

Si necesitas resolver problemas con infecciones o hackeos en tu web WordPress, en nosolocodigo.com encontrarás un grupo de profesionales que te ayudarán a resolver este problema y segurizar mejor tu web.  NOSOLOCODIGO.COM

 

Este ha sido el 2º Podcast de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes cómo mejorarla.

Recordarte que este PODCAST lo puedes escuchar desde tu dispositivo en iTunes, iVOOX y Stitcher

Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!

 
 

]]>

 
 

Episodio 2 de este Podcast sobre Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo usar segundos factores de autenticación en WordPress

No es ningún secreto si te digo que la identificación tradicional con usuario y contraseña en cualquier servicio web, es un procedimiento inseguro y cada vez más fácilmente deducible.

Hay herramientas maliciosas que permiten capturar tus pulsaciones de teclado para luego enviarlas al atacante y que conozca por ejemplo tus datos de acceso a tu cuenta de correo, a tu banco online, o a tu cuenta de Facebook.

Es muy fácil encontrar en Internet herramientas que permiten lanzar ataques de fuerza bruta, algunos valiéndose de un potente diccionario de miles de combinaciones, que se utilizan para romper la seguridad de cualquier formulario de acceso que no esté debidamente protegido.

WordPress utiliza también un formulario de acceso basado en usuario y contraseña, a través de la url de tu-dominio.com/wp-admin y es tan inseguro como tener la llave de la puerta de tu casa debajo de la alfombra de entrada.

 

Pero ¿que es la doble autenticación?

Básicamente, para explicártelo de forma sencilla, te diré que se trata de añadir una capa extra de seguridad a tu acceso habitual.

Si me centro en WordPress diseccionaría un 2FA en dos partes:

  1. El acceso tradicional a /wp-admin con tu “usuario” y “contraseña” (robusto o no -hoy día es indiferente-)
  2. Un acceso de validación adicional basado en una clave aleatoria que se genera en tiempo real desde un dispositivo móvil (en la mayoría de casos).

Lo habitual es disponer de una aplicación en el móvil para generar esas contraseñas aleatorias, por ejemplo:

También se pueden recibir esas claves aleatorias por medio de mensajes SMS, procedentes de algún servicio específico en la nube (de Google o del proveedor del token).

 

¿Porqué es seguro un 2FA?

Debo decir, por experiencia propia y habiendo analizado la mayoría de sistemas de doble autenticación disponibles en el mercado y accesibles a usuarios normales que este método es 100% eficaz en la prevención de ataques de fuerza bruta a un sitio de WordP]]>

 
 

Episodio 2 de este Podcast sobre Seguridad en WordPress para Principiantes.

Hoy hablo de…

 

Cómo usar segundos factores de autenticación en WordPress

No es ningún secreto si te digo que la identificación tradicional con usuario y contraseña en cualquier servicio web, es un procedimiento inseguro y cada vez más fácilmente deducible.

Hay herramientas maliciosas que permiten capturar tus pulsaciones de teclado para luego enviarlas al atacante y que conozca por ejemplo tus datos de acceso a tu cuenta de correo, a tu banco online, o a tu cuenta de Facebook.

Es muy fácil encontrar en Internet herramientas que permiten lanzar ataques de fuerza bruta, algunos valiéndose de un potente diccionario de miles de combinaciones, que se utilizan para romper la seguridad de cualquier formulario de acceso que no esté debidamente protegido.

WordPress utiliza también un formulario de acceso basado en usuario y contraseña, a través de la url de tu-dominio.com/wp-admin y es tan inseguro como tener la llave de la puerta de tu casa debajo de la alfombra de entrada.

 

Pero ¿que es la doble autenticación?

Básicamente, para explicártelo de forma sencilla, te diré que se trata de añadir una capa extra de seguridad a tu acceso habitual.

Si me centro en WordPress diseccionaría un 2FA en dos partes:

  1. El acceso tradicional a /wp-admin con tu “usuario” y “contraseña” (robusto o no -hoy día es indiferente-)
  2. Un acceso de validación adicional basado en una clave aleatoria que se genera en tiempo real desde un dispositivo móvil (en la mayoría de casos).

Lo habitual es disponer de una aplicación en el móvil para generar esas contraseñas aleatorias, por ejemplo:

También se pueden recibir esas claves aleatorias por medio de mensajes SMS, procedentes de algún servicio específico en la nube (de Google o del proveedor del token).

 

¿Porqué es seguro un 2FA?

Debo decir, por experiencia propia y habiendo analizado la mayoría de sistemas de doble autenticación disponibles en el mercado y accesibles a usuarios normales que este método es 100% eficaz en la prevención de ataques de fuerza bruta a un sitio de WordP]]> clean No no no 10:38 Luis Méndez Alejo PODCAST de Seguridad en WordPress para Principiantes – Episodio 1 https://gnumax.org/Podcast/podcast-seguridad-wordpress-para-principiantes-capitulo-1/ Wed, 05 Oct 2016 07:29:57 +0000 Luis Méndez Alejo https://gnumax.org/?post_type=podcast&p=3287 PODCAST de Seguridad en WordPress para Principiantes - Capítulo 1]]>

 
 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas.

La popularidad y el amplio uso de WordPress en todos los sectores con presencia en Internet también atrae la atención de miles de potenciales usuarios que con intenciones poco éticas tratan de exponerlo y vulnerarlo con fines lucrativos, dañinos o simplemente para difundir spam.

 

¿Cómo es atacado WordPress?

El 41% de webs con WordPress son atacadas por vulnerabilidades no parcheadas en el Hosting donde se alojan.

El 29% de webs WordPress son atacadas por problemas de seguridad en temas no actualizados o que han sido modificados intencionadamente.

El 22% de webs WordPress son atacadas aprovechando problemas de seguridad en plugins instalados en WordPress, principalmente en plugins no actualizados hace meses.

Y el 8% de webs WordPress son atacadas porque utilizan contraseñas débiles o fácilmente deducibles.

Esto demuestra que es muy importante MANTENER WORDPRESS SIEMPRE ACTUALIZADO, utilizar temas descargados de sitios de confianza, que sean compatibles con tu versión de WordPress y plugins cuyo período de actualización sea inferior a 6 meses.

La premisa más importante para que tu Blog o Tienda online con WordPress sea segura es:

Mantén WordPress, los temas y plugins siempre actualizados. - tuitealo

 

Otras medidas de seguridad que puedes adoptar en tu Blog son:

  • No utilices “admin” como nombre de usuario ¡cámbialo!
  • Usa siempre contraseñas seguras o mejor aún ¡segundos factores de autenticación!
  • Haz copias de seguridad de forma regular y programada.
  • Descarga los temas y plugins de sitios de confianza. Recuerda: lo barato sale caro.
  • Protege el dashboard de ataques de fuerza bruta.
  • No administres tu web desde conexiones publicas o redes abiertas, podrían estar comprometidas.
  • Escoge siempre un Hosting que apueste por la seguridad de tus webs.
  • Protege tus formularios con reCAPTCHA contra el spam y la inyección de usuarios.
  • Utiliza Certificados SSL en tu web, añadirás más seguridad y confianza a tus visitantes.

WordPress es seguro ¡MUY SEGURO! pero un usuario que no invierta tiempo en mantenerlo actualizado, que utilice plugins desactualizados o temas descargados de sitios de poca confianza, acabará comprometiendo todo el sitio web.

Si tu proyecto, tu trabajo o tus ingresos dependen de tu web realizada con WordPress, la primera línea de defensa eres siempre tu.

Te deseo mucho éxito con tu proyecto y ¡mucha seguridad para tus webs!

Si quieres saber más de mi no olvides visitar mi blog donde publico contenidos sobre Seguridad en WordPress para Principiantes y otras temáticas relacionadas con los gestores de contenidos dinámicos con los que habitualmente trabajo.

 

Conclusiones

Este ha sido el 1er Podcast de Seguridad en WordPress para Principiantes dedicado a ti que acabas de empezar con tu Blog, tu Tienda Online con WooCommerce o tu que tienes muchas dudas con la seguridad de tu sitio web y no sabes como mejorarla.

WordPress será tan seguro como quieras que lo sea, pues al final tu eres la parte más importante de todo el proceso. De las políticas de seguridad que lleves a cabo dependerán los resultados y la seguridad de tu web.

Aprovecho para dedicárselo a mi querido amigo Borja Girón, que siempre es un ejemplo para mi y fuente de inspiración ¡Gracias!

Nos vemos en el próximo PODCAST dedicado a WordPress y su seguridad!!

 
 

]]>

 
 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas.

La popularidad y el amplio uso de WordPress en todos los sectores con presencia en Internet también atrae la atención de miles de potenciales usuarios que con intenciones poco éticas tratan de exponerlo y vulnerarlo con fines lucrativos, dañinos o simplemente para difundir spam.

 

¿Cómo es atacado WordPress?

El 41% de webs con WordPress son atacadas por vulnerabilidades no parcheadas en el Hosting donde se alojan.

El 29% de webs WordPress son atacadas por problemas de seguridad en temas no actualizados o que han sido modificados intencionadamente.

El 22% de webs WordPress son atacadas aprovechando problemas de seguridad en plugins instalados en WordPress, principalmente en plugins no actualizados hace meses.

Y el 8% de webs WordPress son atacadas porque utilizan contraseñas débiles o fácilmente deducibles.

Esto demuestra que es muy importante MANTENER WORDPRESS SIEMPRE ACTUALIZADO, utilizar temas descargados de sitios de confianza, que sean compatibles con tu versión de WordPress y plugins cuyo período de actualización sea inferior a 6 meses.

La premisa más importante para que tu Blog o Tienda online con WordPress sea segura es:

Mantén WordPress, los temas y plugins siempre actualizados. - tuitealo

 

Otras medidas de seguridad que puedes adoptar en tu Blog son:

  • No utilices “admin” como nombre de usuario ¡cámbialo!
  • Usa siempre contraseñas seguras o mejor aún ¡segundos factores de autenticación!
  • Haz copias de seguridad de forma regular y programada.
  • Descarga los temas y plugins de sitios de confianza. Recuerda: lo barato sale caro.
  • Protege el dashboard de ataques de fuerza bruta.
  • No administres tu web desde conexiones publicas o redes abiertas, podrían estar comprometidas.
  • Escoge siempre un Hosting que apueste por la seguridad de tus webs.
  • Protege tus formularios con reCAPTCHA contra el spam y la inyección de usuarios.
  • Utiliza Certificados SSL en tu web, añadirás más seguridad y confianza a tus visitantes.

WordPress es seguro]]>

 
 

Si acabas de comenzar tu aventura con WordPress o llevas tiempo queriendo mejorar la seguridad de tu web, aquí aprenderás, descubrirás y te sorprenderás por la sencillez con la que es posible aplicar estas técnicas, tips y pautas.

La popularidad y el amplio uso de WordPress en todos los sectores con presencia en Internet también atrae la atención de miles de potenciales usuarios que con intenciones poco éticas tratan de exponerlo y vulnerarlo con fines lucrativos, dañinos o simplemente para difundir spam.

 

¿Cómo es atacado WordPress?

El 41% de webs con WordPress son atacadas por vulnerabilidades no parcheadas en el Hosting donde se alojan.

El 29% de webs WordPress son atacadas por problemas de seguridad en temas no actualizados o que han sido modificados intencionadamente.

El 22% de webs WordPress son atacadas aprovechando problemas de seguridad en plugins instalados en WordPress, principalmente en plugins no actualizados hace meses.

Y el 8% de webs WordPress son atacadas porque utilizan contraseñas débiles o fácilmente deducibles.

Esto demuestra que es muy importante MANTENER WORDPRESS SIEMPRE ACTUALIZADO, utilizar temas descargados de sitios de confianza, que sean compatibles con tu versión de WordPress y plugins cuyo período de actualización sea inferior a 6 meses.

La premisa más importante para que tu Blog o Tienda online con WordPress sea segura es:

Mantén WordPress, los temas y plugins siempre actualizados. - tuitealo

 

Otras medidas de seguridad que puedes adoptar en tu Blog son:

  • No utilices “admin” como nombre de usuario ¡cámbialo!
  • Usa siempre contraseñas seguras o mejor aún ¡segundos factores de autenticación!
  • Haz copias de seguridad de forma regular y programada.
  • Descarga los temas y plugins de sitios de confianza. Recuerda: lo barato sale caro.
  • Protege el dashboard de ataques de fuerza bruta.
  • No administres tu web desde conexiones publicas o redes abiertas, podrían estar comprometidas.
  • Escoge siempre un Hosting que apueste por la seguridad de tus webs.
  • Protege tus formularios con reCAPTCHA contra el spam y la inyección de usuarios.
  • Utiliza Certificados SSL en tu web, añadirás más seguridad y confianza a tus visitantes.

WordPress es seguro]]> clean No no no 6:04 Luis Méndez Alejo