Me han hackeado el blog, ¿qué puedo hacer?

Publicado el 18 octubre 2016 por David Gomez @davidgomez_r

Con varios cientos de millones de webs funcionando bajo WordPress no es de extrañar que los “hackeos” o accesos no autorizados sean uno de los principales problemas.

Ya han sido varios los amigos o clientes que sufrieron ataques en sus webs perdiendo buena parte de su trabajo.

En unos casos ha sido para practicar habilidades, en otros casos ha sido por no estar de acuerdo con los contenidos y, en algún caso, por interés económico (encriptar los contenidos y exigir dinero por desencriptarlos).

De hecho, y aunque esta no sea mi especialidad, los ataques a las webs han sido una de las principales fuentes de contactos.

Ahora bien, si ya te han entrado y te han “fastidiado” la web es poco lo que, a veces, se puede hacer, incluso ni aún contactando con un buen profesional.

Por eso, es esencial el trabajo preventivo que, al menos, les ponga difícil el acceso y te facilite la recuperación en caso de que todo falle ante un o una hacker.

Así que vamos a ver algunas cosas sencillas que podemos hacer para tener una web wordpress más segura.

Hosting

La primera barrera para evitar que te “hackeen” tu web es tu servicio de hosting.

Piensa en tu hosting como si fuese un hotel.

Algunos son muy baratos y se limitan a “dejarte” una cama en un dormitorio con treinta camas más.

La habitación la tienes que limpiar tú, hacerte la cama e, incluso, llevar la ropa de cama. Por supuesto, olvídate de un servicio de consigna de equipajes.

Otros hoteles, por contra, te dan una habitación privada, una llave solo para ti, se encargan de realizar todo lo necesario para que estés cómodo e, incluso, te ofrecen una caja de seguridad.

Pues eso, un buen servicio de hosting no es el que te ofrece más megas por menos precio, sino el que te garantiza la mejor protección para ti.

Ello implica, entre otras muchas cosas, que tengan configuradas las mejores políticas de protección, que tengan sus programas actualizados, que apliquen los últimos parches de seguridad o que tengan buenos servicios de cortafuegos o, incluso, un servicio de CDN.

Piensa que, algo tan sencillo como que tu proveedor deje que se pueda listar los contenidos de tus directorios, le está abriendo la puerta, de para en par, a los ojos curiosos.

Y todo esto, evidentemente, tiene un precio (aunque tampoco tan disparatado). La cuestión aquí es ¿cuánto vale para ti tu web?

Por eso, cuando selecciones el proveedor de hosting no te obsesiones con el precio o los megas, piensa que lo barato puedes salirte muy caro a la larga.

Usuarios y contraseñas

La siguiente barrera es una de las más fáciles y sencillas de implantar, y sin embargo es el eslabón más débil.

Derechos de imagen por Shutterstock

Tener un buen usuario y contraseña será un freno esencial ante un intento de ataque de fuerza bruta.

Así que, lo primero que tienes que hacer es crear un usuario personalizado que sustituya al famoso “admin” que crea, por defecto, WordPress.

Piensa que si dejas el usuario “admin” activo le acabas de evitar al hacker la mitad del trabajo.

Evidentemente, le asignarás a este nuevo usuario una contraseña fuerte con, al menos, 12 caracteres incluyendo mayúsculas, minúsculas, números y caracteres especiales.

Un “truco” adicional es crear uno o varios usuarios, con perfil de colaborador, a quienes se asignará la autoría de los artículos o páginas publicadas.

De esta forma, aunque un hacker pueda llegar a conocer dicho usuario (por ser más público), y logre hacerse con la contraseña, sus posibilidades de actuación serán mucho más limitadas.

Además, con el plugin adecuado, tú podrás saber que alguien se acaba de conectar a tu web con ese usuario limitado.

Así, podrás eliminar dicho usuario, cambiar la contraseña y cortar el ataque en seco.

Por contra, si entrasen con la contraseña de un usuario administrador te pueden bloquear y, aunque te informasen de inmediato, ya sería demasiado tarde.

Por cierto, no te olvides de cambiar las contraseñas de forma periódica.

Ojo con los comentarios

Los comentarios suelen ser otra fuente de problemas para los blogs.

Y no solo porque tengas pocos.

El problema es que te pueden colocar código malicioso dentro.

Por eso hay que ser muy cuidadoso al revisar la lista de moderación.

Te cuento un caso personal.

Recibí un comentario en la lista de moderación, spam evidente, y contenía un par de enlaces.

Al analizar el código html vi que llevaba dentro un script con el que bastaba con pasar el cursor por encima del enlace para que crease un usuario “oculto”.

Imagina la gracia.

Mantén tu WordPress y plugins actualizados

Derechos de imagen por Shutterstock

Otra de las causas más habituales de accesos no autorizados en tu sistema está, precisamente, en tu propio sistema.

Tanto WordPress como los diferentes plugins que utilizas tienen una gran cantidad de líneas de código y, a pesar del gran cuidado que ponen los buenos desarrolladores, es posible que se cuele alguna vulnerabilidad que permita la entrada de hackers al sistema.

Piensa que, como te comentaba al principio, hay cientos de millones de webs corriendo con WordPress.

Esto significa que hay un campo de pruebas casi infinito para los hackers, y es fácil que puedan hallar esas vulnerabilidades en el código.

Afortunadamente, esa gran comunidad de buenos desarrolladores están atentos y, en cuanto se detectan los problemas, trabajan para corregirlos y eliminarlos.

Así que, con cierta regularidad suelen sacar nuevas actualizaciones con mejoras y correcciones.

Pero si tú no las instalas su trabajo es en vano, y estarás dejando la puerta de tu web, literalmente, abierta.

Ojo con los plugins

Como corolario del punto anterior, ten mucho cuidado con los plugins que instalas en tu sistema.

Verifica que son de fuentes conocidas, que los desarrolladores tienen buena reputación, que están actualizados recientemente y comprobados con tu versión de wordpress.

Piensa que una de las mejores maneras de entrar en tu sistema es que tú mismo invites al hacker.

Así que ¡Ojo con probar plugins “curiosos” o espectaculares de fuentes desconocidas!

Ayudas técnicas de seguridad antiintrusiones

Además de estas cinco sencilla pautas, que ya nos ayudarán mucho, podemos utilizar algunos plugins que nos terminarán de dar un plus de seguridad.

Jetpack

Una de las funcionalidades gratuitas de este plugin es la de permitirte realizar una autenticación en dos pasos.

Esto implica que, además de tu usuario y contraseña, te va a solicitar un código o pin que te enviará a tu teléfono móvil cada vez que intentes entrar.

Wordfence

Un sí o sí de los plugins.

Incluso con la versión gratuita puedes añadir un plus de protección muy interesante.

Por ejemplo:

  • Detecta cambios en ficheros.
  • Bloquea IPs sospechosas.
  • Limita el número de acceso erróneos bloqueando la IP entrante de forma temporal o definitiva.
  • Avisa de la entrada de un usuario registrado.
  • Función de firewall.

WPS Hide Login

Un plugin muy interesante que nos permite cambiar la url de la página de acceso al login.

Así, puedes cambiar de http://www.misitio/wp-login.php a http://www.misitio./vete_tu_a_saber/

Usar con prudencia, porque si una vez cambiada la url no te acuerdas de cual es puedes tener un problemilla.

Ya, pero ¿y si todo falla?

Evidentemente, no existe la seguridad perfecta, y si no que se lo pregunten a los webmasters del gobierno, de los partidos políticos, de muchos bancos y hasta de la CIA.

Por eso, es interesante contar con un buen servicio de hosting, que realice copias de seguridad de tu base de datos y cuyo servicio técnico cierre el acceso y te avise en cuanto descubra el posible problema.

Además, algunos proveedores también hacen copias de seguridad de tus ficheros, por lo que podrás volver a un estado previo a la infección con cierta facilidad.

Si no es tu caso, hay algunos plugins muy buenos que te pueden ayudar a recuperarte del entuerto.

Mi plugin favorito es Duplicator, con el que puedes hacer una copia del sitio entero y descargarlo a tu ordenador.

Así, en caso de fallo puedes borrarlo todo, subir los ficheros, ejecutar la aplicación y te volverá a dejar todo como estaba el día de la copia en apenas 30 minutos.

Eso sí, no te olvides de actualizar todo y cambiar las contraseñas.

Nos vemos

¿Qué otras técnicas de seguridad usas o conoces? Cuéntanoslo en los comentarios.

Y si necesitas ayuda ¡anímate y contacta conmigo ahora!

Descubrirás todo lo que tu negocio puede mejorar con el Marketing Digital (y sin ningún compromiso).

Si te ha parecido interesante ¿me ayudas compartiéndolo en tus redes sociales? Muchas gracias.

Derechos de image de portada por Shutterstock