Ciberseguridad

WPS Hide Login: Protege tu WordPress con un Simple Cambio de URL

La mayoría de los ataques a sitios WordPress empiezan por el mismo lugar: la página de login. ¿Por qué? Porque por defecto, todos los sitios WordPress comparten la misma URL para iniciar sesión: /wp-login.php o /wp-admin. Y eso lo convierte en un objetivo fácil para ataques automatizados, bots y fuerza bruta. Aquí es donde entra en juego WPS Hide Login, un pequeño pero poderoso plugin de seguridad.

¿Qué es WPS Hide Login?

WPS Hide Login es un plugin gratuito y liviano para WordPress que te permite cambiar la URL de acceso al panel de administración a lo que tú quieras —por ejemplo, de tusitio.com/wp-login.php a tusitio.com/entrar-mi-web.

No modifica archivos core de WordPress ni afecta el sistema de redirección. Solo intercepta la solicitud y la redirige de forma segura.

Ventajas de usar WPS Hide Login

  • Mejora la seguridad de tu sitio: Al cambiar la URL de login, evitas el acceso directo de bots y scripts automatizados que buscan sitios con URLs conocidas. Esto reduce el riesgo de ataques por fuerza bruta o intentos de acceso masivo.
  • Fácil de instalar y configurar: No necesitas conocimientos técnicos ni editar archivos del sistema. Desde el panel de WordPress, puedes configurar tu nueva URL en segundos.
  • Bloquea intentos de acceso no autorizados: Las solicitudes a /wp-login.php o /wp-admin devolverán un error 404 (no encontrado), haciendo que los bots pierdan tiempo y abandonen.
  • Ligero y sin complicaciones: A diferencia de algunos plugins de seguridad que añaden múltiples funciones (y a veces sobrecargan tu sitio), WPS Hide Login hace solo una cosa, y la hace muy bien.
  • Ideal como primera línea de defensa: No reemplaza un firewall o autenticación en dos pasos, pero sí reduce significativamente la superficie de ataque inicial.

¿Cómo usarlo?

  1. Instálalo desde el panel de plugins de WordPress (WPS Hide Login).
  2. Actívalo.
  3. Ve a Ajustes > Generales y busca el campo «URL de acceso».
  4. Cambia la ruta a algo personalizado (ej: tusitio.com/ingreso-seguro).
  5. Guarda los cambios y recuerda la nueva URL, ya que la anterior dejará de funcionar.

¿Por qué deberías usarlo?

  • Porque el 90% de los ataques automatizados apuntan directamente a /wp-login.php.
  • Porque es gratuito, liviano y no interfiere con otros plugins.
  • Porque ocultar no es suficiente, pero sí es una capa adicional de seguridad muy efectiva.
  • Porque prevenir ataques simples evita problemas mayores (como bloqueos de hosting o ralentización del sitio).

WPS Hide Login no es un plugin milagroso, pero es una medida inteligente y rápida para mejorar la seguridad de tu sitio WordPress. Si estás buscando una forma sencilla de evitar ataques automatizados y reducir riesgos, este plugin es un «must-have».

Rhino User Checker: Potencia tu OSINT con esta herramienta de reconocimiento de usuarios

En el mundo de la ciberseguridad, la información es poder. Ya sea para investigaciones de amenazas, análisis de superficie de ataque o simplemente para rastrear la huella digital de un objetivo, contar con herramientas OSINT (Open Source Intelligence) eficientes marca una diferencia abismal. Hoy te quiero hablar de Rhino User Checker, una herramienta ligera pero poderosa que todo analista debería tener en su arsenal.

¿Qué es Rhino User Checker?

Rhino User Checker es una herramienta OSINT diseñada para verificar rápidamente si un nombre de usuario está registrado en múltiples plataformas y servicios online. A diferencia de herramientas más complejas que buscan perfiles completos, Rhino se enfoca en un análisis directo: te dice si un nombre de usuario existe o no en una larga lista de sitios.

Es como un radar de presencia digital: ideal para investigaciones de perfiles, rastreo de cibercriminales, auditorías de exposición digital y más.

Instalación y uso básico

Rhino User Checker está disponible en GitHub. Puedes clonarlo fácilmente:

git clone https://github.com/FlameOfIgnis/rhino
cd rhino
pip install -r requirements.txt

Para usarlo:

python rhino.py <nombre_de_usuario>

El programa devolverá una lista de sitios donde el nombre de usuario está registrado y dónde no lo está. También puede exportar los resultados.

Alternativas

Aunque Rhino destaca por su simplicidad, también existen herramientas como:

  • Sherlock – Una de las más populares, escrita en Python.
  • WhatsMyName – Orientada a investigadores OSINT, con soporte para múltiples formatos.
  • Maigret – Muy completa, con generación de informes detallados.

Pero si buscas algo rápido, personalizable y minimalista, Rhino es una excelente opción.

WormGPT: la cara oscura de la inteligencia artificial que nadie te está contando

¿Te imaginas una versión de ChatGPT creada específicamente para hackear, estafar y engañar? Pues deja de imaginar. Se llama WormGPT y es real.

¿Qué es WormGPT?

WormGPT es una inteligencia artificial entrenada con propósitos maliciosos. A diferencia de modelos como ChatGPT, que tienen filtros éticos y de seguridad, WormGPT no tiene límites: fue diseñado específicamente para facilitar actividades ilegales, como:

  • Redactar correos de phishing ultra realistas.
  • Automatizar fraudes por email (BEC attacks).
  • Generar malware o scripts peligrosos.
  • Enseñar técnicas de hacking de forma detallada y sin restricciones.

¿Quién lo usa?

Cybercriminales, estafadores y actores maliciosos que buscan automatizar ataques con lenguaje convincente. El peligro no es solo que exista, sino que es fácil de usar y se distribuye por foros clandestinos en la dark web.

Actualmente, gobiernos, investigadores en ciberseguridad y empresas tecnológicas están alertando del crecimiento de estas herramientas. Pero la regulación va muy por detrás del desarrollo de la IA.

FaceCheck ID: ¿La nueva era del reconocimiento facial o un paso más hacia el fin de la privacidad?

¿Alguna vez te has cruzado con alguien y te has preguntado quién es? ¿O has visto una foto en redes y sentido curiosidad por saber más de esa persona? Pues prepárate, porque FaceCheck ID podría ser el inicio de una nueva (y polémica) era digital.

¿Qué es FaceCheck ID?

FaceCheck ID es una plataforma de reconocimiento facial que permite subir una foto de una persona y buscar coincidencias en bases de datos públicas, redes sociales, sitios de noticias, y más. ¿El resultado? Puedes saber quién es alguien solo por su rostro.

¿Cómo funciona?

  1. Subes una imagen facial.
  2. El sistema analiza rasgos biométricos y los compara con su base de datos.
  3. Devuelve resultados con posibles perfiles, enlaces e incluso ubicación de la imagen en la red.

¿Para qué se está usando?

  • Investigación personal: gente buscando estafadores románticos o identidades falsas.
  • Periodismo y OSINT: verificar la identidad de personas en investigaciones.
  • Seguridad: algunas empresas lo exploran como medida de verificación.

¿Y la privacidad?

Muchos expertos advierten que herramientas como esta pueden cruzar límites éticos importantes:

  • ¿Qué pasa si alguien busca tu rostro sin consentimiento?
  • ¿Puede usarse para acosar o vigilar?
  • ¿Estamos listos como sociedad para esta tecnología?
Minientrada

R4ven: Rastrea a cualquier persona gracias a esta herramienta

Esta herramienta simula un sitio web legítimo cargado en un iframe desde dentro de un sitio web malicioso. Si el usuario lo permite, puede acceder a su ubicación GPS (latitud y longitud), capturar varias imágenes, obtener la dirección IP y recopilar información sobre el dispositivo.

Se trata de una prueba de concepto con fines exclusivamente educativos.

El objetivo es mostrar de forma práctica qué tipo de datos puede obtener un sitio web malicioso y por qué es importante no hacer clic en enlaces sospechosos ni conceder permisos sensibles como el de Localización sin estar seguros de su legitimidad.

Está hecha en python y se puede descargar de git

git clone https://github.com/spyboy-productions/r4ven.git 
cd r4ven 
pip3 install -r requirements.txt 
python3 r4ven.py

Quita el difuminado a imágenes con esta herramienta

Actualmente es muy popular la utlización de Apps y Webs que pueden pixelar o difuminar imágenes para que sea más «seguro» a la hora de compartirlas. Al igual que existen formas de difuminar imágenes, existen herramientas que vuelven a la foto original.

Hoy os traigo, SIUN. Se trata de una herramienta para eliminar el desenfoque de las imágenes. Su código está en GIT y su uso es muy simple.

Debemos aprender que con pixelar una imágen no basta, ya que por mucho que la desenfoques alguien puede recuperar el contenido original.

Fuente: https://github.com/minyuanye/SIUN

Los riesgos de los dispositivos conectados a Internet. Cómo comprometer por completo tu privacidad y seguridad

Recientemente, se ha publicado una noticia sobre el hackeo de un robot doméstico de los que se utilizan para limpiar el hogar.

No podemos dejar de insistir en que cualquier dispositivo conectado a Internet es vulnerable y corre el riesgo de ser atacado.

Cuando explicamos esto, la reacción más común de las personas es: «¿Por qué alguien querría atacarme? ¿Quién soy yo? ¡Ni que fuera una figura pública importante!»

Sin embargo, cualquier tipo de información personal tiene valor en el mercado de datos, imágenes y otros bienes digitales.

Si alguien logra acceder indebidamente a las imágenes de la cámara de vigilancia en tu hogar, a la webcam de tu ordenador o incluso a la cámara de un juguete inteligente, como un peluche con cámara y micrófono, es fácil imaginar las consecuencias que esto podría tener.

Algunos de los posibles fines de estos ataques incluyen:

  1. Obtener imágenes de tu hogar para evaluar la cantidad de objetos de valor presentes.
  2. Estudiar tus rutinas y las de tu familia para planificar un robo.
  3. Acceder a imágenes comprometedoras para extorsionarte o venderlas en mercados clandestinos.

Y estas son solo algunas de las posibilidades.

No se trata de evitar el uso de estos dispositivos, ya que la tecnología aporta múltiples beneficios. Sin embargo, es fundamental aprender a protegerlos de manera adecuada. A continuación, comparto algunas recomendaciones:

  1. Configura una red Wi-Fi separada exclusivamente para los dispositivos IoT. Si no sabes cómo hacerlo, existen tutoriales en plataformas como YouTube que te pueden guiar paso a paso.
  2. Mantén los dispositivos actualizados. Las actualizaciones de software, especialmente los parches de seguridad, actúan como vacunas contra las vulnerabilidades.
  3. Elige marcas confiables. No todas las marcas ofrecen el mismo nivel de seguridad. Además de considerar el precio, investiga si el fabricante garantiza medidas de seguridad robustas, como encriptación avanzada y soporte técnico confiable.
  4. Cambia las contraseñas predeterminadas. Asegúrate de establecer un PIN o contraseña única y segura para cada dispositivo.
  5. Desconecta los dispositivos cuando no los utilices. Reducir el tiempo que están conectados a Internet puede minimizar los riesgos.

La ciberseguridad no es opcional, especialmente en un mundo cada vez más interconectado. Es responsabilidad de cada usuario implementar las medidas necesarias para proteger su privacidad y la de su familia.

API WordPress que no conocías

Si eres desarrollador seguro que para algun proyecto has usado wordpress y también estoy seguro que desconocías que por defecto WordPress tiene una API activa que desconocías y que es un problema para la seguridad de tu sitio web.

Para encontrar en enlace a esa API dentro de cualquier sitio con WordPress, solo tendrás que buscar en el código de la página por «api.w.org». De esta forma obtendrás un enlace, que normalmente no se modifica y es «*/wp-json».

Tener esto activado tiene dos problemas muy importantes de seguridad (y seguro que muchos más):

  1. Pueden hacer un scrapping muy facil de TODO tu sitio web.
  2. Suele tardar más de un segundo en responder, por lo que te pueden tirar la web con un DDoS.

Por esto, si no la utilizas, es recomendable desactivarla y si la utilizas, debes limitar su acceso.

¿Cómo desactivar esta API?

Aquí dejo dos opciones:

  1. Desactivarla para todo el mundo.
  2. Permitirla solo para usuarios administradores.

Opción 1: Desactivar API para todos.

add_filter(‘rest_authentication_errors’, ‘disable_rest_api’, 99);

function disable_rest_api($access) {
return new WP_Error(‘rest_disabled’, __(‘La REST API está desactivada en este sitio.’), array(‘status’ => 403));
}

Opción 2: Desactivar API para usuarios no administradores.

// Restringe el acceso a la Rest API solo para administradores
function restrict_rest_api_to_admins() {
// Verifica si el usuario no es administrador
if ( ! current_user_can( ‘administrator’ ) ) {
// Deshabilita el acceso a la Rest API
add_filter( ‘rest_authentication_errors’, function( $result ) {
// Devuelve un mensaje de error de autenticación
return new WP_Error( ‘rest_api_admin_only’, ‘Acceso denegado. Solo los administradores pueden acceder a la Rest API.’, array( ‘status’ => rest_authorization_required_code() ) );
});
}
}
add_action( ‘rest_api_init’, ‘restrict_rest_api_to_admins’ );

Para insertar este código puedes utilizar algún plugin como «Code Snippets» (de Code Snippets Pro) o insertarlo en el functions.php.

Si necesitas más información, puedes entrar en el siguiente artículo de webempresa: ¿Cómo desactivar Rest API en WordPress?

O También puedes obtener más información en este vídeo:

Minientrada

Herramienta contra Virus que no conocías de Windows

Seguro que este sencillo truco no le conocías, pero te permite eliminar virus y programas maliciosos con una simple herramienta que viene por defecto en todos los ordenadores con Windows.

Para acceder a ella, pulsa sobre la tecla de Windows y escribe «mrt«:

Aparecerá la siguiente ventana y es tan sencillo como pulsar «siguiente», «siguiente» y empezará el escaneo.

Una vez completado, todo tu PC estará limpio de virus y amenazas.

¿Qué lenguaje de programación debería aprender para ciberseguridad?

En el mundo de la ciberseguridad, el conocimiento de lenguajes de programación no es solo un extra, sino que puede ser crucial para entender cómo funcionan los sistemas, encontrar vulnerabilidades y diseñar contramedidas. Aunque no es imprescindible ser un experto en todos los lenguajes, algunos resultan ser más útiles que otros según el área de especialización dentro de la ciberseguridad. Aquí analizamos algunos de los lenguajes más recomendados:

1. Python

Sin duda, Python es el lenguaje de referencia en ciberseguridad. Su simplicidad y versatilidad lo hacen ideal para escribir scripts rápidos que automatizan tareas de hacking ético, como análisis de red o escaneo de vulnerabilidades. Además, hay una gran cantidad de herramientas de seguridad desarrolladas en Python, como Scapy, un módulo que facilita la manipulación de paquetes de red.

2. C/C++

C y C++ son lenguajes más cercanos al hardware, lo que los hace fundamentales para comprender la estructura de sistemas operativos y cómo funcionan los exploits a bajo nivel. La mayoría de los sistemas operativos, incluidos Windows y Linux, están escritos en C, lo que hace que este lenguaje sea indispensable para entender la administración de memoria y posibles vulnerabilidades como buffer overflows.

3. JavaScript

JavaScript es el alma de las aplicaciones web modernas. Dado que una gran parte de los ataques cibernéticos están dirigidos a aplicaciones web (como inyecciones de SQL o cross-site scripting), entender cómo funciona JavaScript es vital para quienes trabajan en seguridad web. Además, su uso no se limita al lado del cliente, ya que con Node.js, JavaScript también se usa en el backend.

4. Bash

Bash es el lenguaje de scripting predeterminado en la mayoría de los sistemas basados en Unix/Linux, que son ampliamente usados en servidores y sistemas de seguridad. Aprender a escribir scripts en Bash es útil para tareas como la automatización de procesos, análisis de logs y gestión de sistemas.

5. SQL

SQL es el lenguaje utilizado para interactuar con bases de datos. Los ataques relacionados con bases de datos, como las inyecciones SQL, son muy comunes. Tener un buen conocimiento de SQL permite identificar y mitigar estas amenazas.

6. Java

Java es utilizado en sistemas grandes, incluyendo aplicaciones empresariales y Android. Aunque no es tan flexible como Python para escribir scripts rápidos, Java sigue siendo relevante debido a su uso en sistemas críticos que son potenciales objetivos de ataque.

¿Por dónde empezar?

La elección del lenguaje de programación depende de los intereses y el área en la que te quieras especializar dentro de la ciberseguridad. Para tareas de scripting y automatización, Python es el mejor punto de partida. Si tu objetivo es trabajar en seguridad a nivel de sistemas, C o C++ son esenciales. Para seguridad web, es necesario un buen dominio de JavaScript y SQL. Finalmente, si planeas trabajar en la administración de sistemas o pentesting, Bash es imprescindible.

La clave está en no intentar aprender todos los lenguajes a la vez, sino elegir el que más se alinee con tus objetivos y construir a partir de ahí.

Conclusión

Aprender un lenguaje de programación en ciberseguridad puede potenciar tus habilidades y hacerte más eficaz en tareas como análisis de vulnerabilidades, desarrollo de exploits o pruebas de penetración. Python y Bash son geniales para empezar, pero lenguajes como C, JavaScript y SQL serán indispensables dependiendo de tu especialización.