Seguramente has escuchado acerca de los hackers, los ataques a sitios web y lo mucho que estos han aumentado específicamente a páginas web creadas con WordPress. Habrás escuchado lo importante que es trabajar en la seguridad de tu web y los muchos productos que dicen ayudarte en esto. Definitivamente es un tema prioritario para todos y que vale la pena saber un poco acerca de él. Lo que aquí te contaré es acerca de algo que podemos pasarnos por alto y es el darnos cuenta de que hemos sido hackeados.
Muchas veces trabajamos por reforzar nuestra seguridad, lo cual está muy bien. Si somos víctimas de un ataque que causa pérdidas importantes tenemos que trabajar en la restauración de nuestra web y la recuperación de lo que hemos perdido. ¡Pero también sucede que hemos sido hackeados y aún no nos hemos dado cuenta! En ese punto cuanto antes lo sepamos mejor, ya que podremos tomar las medidas necesarias antes de que sea muy tarde. Aquí te voy a contar un poco de ello, de cómo detectar si hemos sido hackeados, qué podemos hacer para prevenirlo y también de algunas medidas que podemos tomar frente a un eventual ataque.
Aunque si prefieres centrarte en tu negocio y que yo me encargue de la seguridad de tu web, mi servicio de mantenimiento web es lo que necesitas.
¿Qué es el hackeo?
Como introducción te contaré básicamente de qué trata el hackeo. Primeramente la palabra "hackear" se utiliza para referirse a la acción de buscar las debilidades en el código de un sistema para poder irrumpir forzosamente en él. Se cree que el término comenzó a escucharse en los años 60 cuando se sucede un incidente con líneas telefónicas del MIT y Harvard que fueron utilizadas para llamadas de larga distancia desviando el cobro a otra instalación.
Hoy en día las variedades de hackeo son muchísimas, como también los medios a través de los cuales se realiza. Algunas de las más comunes en la actualidad son los troyanos, sniffing, la negación de servicio (DoS), phising, suplantación de identidad, entre otros.
Vayamos ahora en concreto a nuestro terreno, la plataforma WordPress y a qué cosas prestar atención para detectar posibles ataques.
Asegúrate de tener todo actualizado
Concretamente en cuanto a WordPress, los ataques han ido creciendo de forma importante año tras año, con lo cual cada nueva versión de la plataforma incluye mejoras en la seguridad que responden a las técnicas de intrusión que se van detectando. Por esto es que te recomiendo fuertemente que siempre mantengas actualizada tu versión con la última disponible.
Esto también debe hacerse con todos los plugins y temas que estés utilizando. Con esto además de reforzar la seguridad, estaremos también mejorando sus funcionalidades. Es importante eliminar lo que no estemos utilizando, ya que un plugin desactivado, desactualizado, podría ser la puerta de entrada para un ataque.
Último comentario al respecto: tienes que tomar las precauciones necesarias al actualizar los productos. Asegúrate de que no perderás tus configuraciones y que no tendrás conflictos de compatibilidad, te recomiendo encarecidamente que hagas una copia se seguridad antes de cualquier cambio, por si surgen problemas.
Refuerza tu instalación de WordPress
Hay algunas tareas que debes realizar tras instalar WordPress. Para recordarte las vinculadas a la seguridad, tenemos que cambiar el nombre de usuario "admin", ya que es el que tienen una gran parte de sitios WordPress, es el más utilizado por los hackers para intentar entrar en tu sitio.
Junto con esto debemos también elegir una contraseña fuerte, difícil de obtener con los robots. Te recomiendo utilizar más de 8 caracteres que incluyan letras en mayúsculas y minúsculas junto con números o caracteres especiales.
También es bueno cambiar el prefijo de nuestras tablas de base de datos. Por defecto, todas las tablas comienzan con el prefijo "wp_", por lo cual los hackers sabrán dónde buscar para irrumpir a través de ellas. Esto puede modificarse desde el script de la instalación del hosting si vas a crear una nueva web y si ya tienes una web, el cambio es algo más complejo y te recomiendo que contrates a un Técnico WordPress.
Identificar el origen de los problemas
Cuando algo no funciona, pero aún no sabemos cuál es la causa, podemos comenzar a buscar por dónde se origina. Si algo en los plugins no es como esperas, puedes intentar desactivarlos y ver si el fallo persiste. De no ser así, habrás encontrado la raíz del problema.
Lo mismo puede suceder con algún tema en particular, puedes probar activar uno distinto para ver si el fallo desaparece. Una vez que hayamos encontrado de dónde viene el mal funcionamiento podremos pasar a buscar posibles soluciones.
Escanear nuestro sitio
Esta es la acción directa para buscar los ataques. Hay varias formas de hacerlo, cada una con distintos análisis y tipos de resultados. Algunas de ellas son:
El sitio Is it hacked? ofrece un análisis gratuito, así como también un servicio de monitoreo al que podemos suscribirnos.
Otro sitio que ofrece un análisis gratuito es Sucuri del cual ya te he hablado en otras entradas de mi blog (puedes buscarlas si quieres más información acerca de él). También cuenta con herramientas de pago mucho más completas.
Algunos plugins gratuitos realizan varios análisis como Wordfence Security o Anti-Malware, donde buscan archivos que hayan sido modificados o necesitan de actualización, así como también limpieza de posibles infecciones.
Consultar a tu servicio de alojamiento es otra posible medida, muchos de ellos ofrecen algunas medidas o herramientas de escaneo y búsqueda de infecciones.
Contratar servicios de terceros
Cuando el problema definitivamente nos supera, siempre podemos echar mano a un freelance especializado en WordPress. Hay muchos freelance que ofrecen servicios de recuperación, limpieza y desinfección frente a ataques. También es posible contratar medidas de seguridad reforzadas o análisis periódicos. Yo me encargo de dar solución a hackeos y mejorar la seguridad de los sitios web, así que ya sabes, si necesitas ayuda con tu web aquí me tienes.
Este es un punto a tener en cuenta también en el momento de elegir un servicio de alojamiento web. No todos cuentan con la misma seguridad en sus servidores, así que si este es otro aspecto a tener en cuenta frente a reiterados ataques. Yo recomiendo trabajar con SiteGround, el tema de la seguridad es una de sus principales preocupaciones, así que es una excelente opción para hospedar tu página web.