El otro día me mandaron un tweet que me dejó intrigado en el que se cuestionaba la seguridad de mi blog
@borjagiron En 1.2.3 Down. pic.twitter.com/5JfCtTl7OA
— S Luján ™ (@SLujanTwT) 12 de julio de 2016
Me quedé un poco sorprendido porque el tema de la seguridad lo tengo bastante en cuenta pero no soy ningún gurú de la seguridad ni soy un hacker informático (para eso tenéis a Luis Méndez y a Chema Alonso).
La cosa es que le pregunté si me podía dar más información y me dijo que estuviera tranquilo que no le iba a hacer nada a mi blog. Le pregunté qué le pasaba al blog y me dijo que no estaba autorizado a revelarme esa información.
Había dos posibilidades
A: Que fuera un flipado y se creía un hacker. Podría ser posible.
B: Que en realidad sabía alguna forma de tirarme el blog.
Análisis de seguridad del blog
Yo no soy ningún famoso al que le lleguen los hackers cada día para tirar el servidor y dejar sin servicio a los lectores, pero la verdad es que todos estamos expuestos a cualquier tipo de ataque y es mejor prevenir.
Hace tiempo instalé la versión gratuita de Wordfence que me da cierta información relativa a la seguridad del blog y previene varios tipos de ataque. Pero después de lo del otro día quería ir más allá.
Vi que tenía un plugin para mostrar mi logo en la página de login que llevaba más de 2 años sin actualizarse. Cómo es lógico lo he desinstalado y he hecho una super limpieza de todos los plugins, eliminando todos los inactivos y eligiendo muy bien cuales son imprescindibles y cuales no.
Nadie está a salvo de un ataque y hay que prevenir para mantener WordPress seguro #Seguridad
Click To Tweet
También instalé Loginizer para recibir una alerta si alguien intenta acceder al blog y seguí las recomendaciones que indican para cambiar los permisos a los ficheros .htaccess y wp_config.php accediendo al FTP con Filezilla y botón derecho “permisos“. Simplemente hay que poner 444 y guardar.
Y abrí un ticket al proveedor de hosting con el que tengo mi blog (Aruba por poco tiempo), con el que no estoy nada contento y que en breve cambiaré. Les preguntaba si veían algún problema de seguridad. La cosa es que sigo esperando su respuesta…
Crear una copia de seguridad
Además de todo este análisis de seguridad y uso de plugins, debéis tener siempre una copia de seguridad de tu blog. Muchos hostings como Siteground o Webempresa ofrecen este servicio y si no lo tienes con tu empresa de hosting debes contratarlo.
También debes instalar los plugins BackWPup y UpdraftPlus para realizar las copias de seguridad. Yo tengo los dos ya que uno permite recuperar una copia en caso de algún problema de contenidos directamente de WordPress y el otro es más para problemas graves de caídas de servidor y pérdida de información, por lo que hay que meterse en la base de datos mysql y recuperar la bbdd para luego recuperar el contenido.
Estos plugins de backups los menciono en uno de mis últimos episodios del podcast SEO para bloggers.
Trucos para recuperar textos borrados sin copia de seguridad
Si sufres algún ataque o se os borra algún texto y no tienes copia de seguridad, con el comando “cache:www.tublog.com” puedes ver la última versión que Google tiene guardada de una página y a mí me ha salvado de tener que hacer una recuperación de backup. Además en muchas ocasiones no tenemos una copia de seguridad hecha por lo que este comando puede venirte muy bien.
Grandes trucos para recuperar contenido sin copia de seguridad #Seguridad
Click To Tweet
También está la página https://archive.org/web/ que guarda versiones más antiguas de casi cualquier página o blog del mundo y gracias a estas copias podemos recuperar cierta información de una forma sencilla.
Y cómo no, podemos recuperar contenido de los artículos en WordPress con la opción de “Revisiones” que aparece en la parte inferior de la edición de cada post y en la zona de “Publicar” (Revisiones: Explora). Si no te aparece, debes marcar en la pestaña superior de “Opciones de pantalla” el check de “Revisiones“.
De todas formas estos trucos pueden salvarte alguna vez pero no debes jugar con fuego. Es necesario que vayas creando copias de seguridad cada cierto tiempo. Muchas empresas de hosting ofrecen este servicio y si no lo tienes contratado es muy recomendable que lo contrates.
Conclusiones
Con este post sobre seguridad en WordPress simplemente pretendo darte a conocer que a todos nos puede pasar cualquier cosa en nuestro blog y hasta que no pasa no aprendes la lección. Así que no esperes a que pase algo en tu blog y recuerda que prevenir es mejor que curar. No cuesta nada y te ahorrarás un disgusto. Puedes ahorrar muchos horas de trabajo de recuperación revisando la seguridad de tu blog ahora mismo e instalando los plugins mencionados.
Si tu blog no está disponible durante unas horas y Google se entera puedes tener problemas. Si pasan varios días y sigues sin dar servicio porque tu blog se ha borrado y no tienes una copia de seguridad para recuperarlo puedes perder todo el trabajo de tu blog durante años. Es entonces cuando Google te quita de los resultados y adiós.
Es importante además que crees un nombre de usuario nuevo distinto a “admin” con permisos de administrador. Una vez creado empieza a usarlo y cuando compruebes que accedes sin problema y que el password no se te olvida, borres el usuario “admin“. Y es que en Rusia y Ucrania hay robots que revisan todos los blogs que hay en WordPress y tratan de acceder probando contraseñas sin parar usando el usuario admin. Cuando este usuario no existe es mucho más difícil que te roben tu blog.
Puede parecer ciencia ficción pero estas cosas pueden pasar. Como te digo, no cuesta nada prevenir.
Puzzle Bobble
Karate Blazers
Puzzle De Bloques
Magical Cat Adventure