Hace un tiempo atrás me ocurrió lo que no me imaginé que podría pasar: Mi sitio WordPress fue hackeado. Dado que este blog es relativamente nuevo todavía y está en proceso de crecimiento, no creo que haya sido escogido, sino que me tocó la “lotería”. En este post incluyo 4 recomendaciones que te pueden ayudar para prevenir y reducir el riesgo de que tu sitio sea hackeado.
Los hackers liberan programas robot que se encargan de hacer intentos hostiles para vulnerar la seguridad de los sitios y hackearlos. Cuando un sitio web no tiene protección o esta es débil, será una presa más fácil.
¿Cómo me di cuenta de que había sido hackeado?
Lo primero que note de raro fue que todos los plugins (programas utilitarios que utiliza WordPress) estaban desactivados. Me pareció raro pero pensé que no debía darle mayor importancia. No había notado otra cosa extraña hasta ese momento, solamente que el volumen de visitas había estado decayendo desde hacía poco. También verifiqué que la información de las páginas de mi sitio aparecía alterada en los resultados de búsqueda de Google.
Luego recibí un correo de la empresa que me da el servicio de hosting, en el que me informaban que habían encontrado archivos con virus en un escaneo de rutina en mi instalación de WordPress. Me sugirieron que reemplace la copia original del archivo (en el supuesto de que tuviera una).
Me dieron ciertas instrucciones para analizar más el problema y luego de hacerlo decidí hacer una restauración de todos los archivos del sitio a partir de un backup. El problema fue que a pesar de ser muy ordenado con los backups, la copia disponible más reciente tenía una antigüedad de aproximadamente un mes. Ni modo, me tocaba volver a introducir los cambios realizados en ese tiempo, que afortunadamente los tenía registrados.
A las 24 horas la actividad del sitio comenzó a regularizarse y después de unos días, se restablecieron a la normalidad los índices de Google.
4 recomendaciones para prevenir y evitar que tu sitio sea hackeado
Luego de solucionar el problema, me informé sobre qué medidas adicionales de seguridad podría tomar para reducir al mínimo el riesgo de que se repitiera el problema. A continuación 4 recomendaciones para prevenir y evitar reducir el riesgo de que tu sitio sea hackeado:
1. Cambiar el nombre de la página de login de WordPress
La dirección de login de WordPress es muy predecible, se forma a partir del dominio, seguido de una secuencia de caracteres, que es la misma para todos.
Conseguí un plugin que cambia la dirección de la página de login a un nombre personalizado. De esa manera, los robots que se encargan de realizar los ataques de fuerza bruta no podrán encontrarla tan fácil.
Una alternativa gratuita que estoy utilizando es WPS hide login. En este artículo encontrarás mayor información sobre ese plugin.
2. Poner un límite a los intentos fallidos de login
La pantalla de login de WordPress no tiene un límite a los intentos fallidos de login y por lo tanto no bloquea la opción al registrarse una cantidad de intentos.
Al tener una protección de ese tipo, los robots no podrán seguir intentando diferentes combinaciones de password, porque serán rechazados una vez que hayan llegado al límite.
Para esta función yo utilizo Ithemes Security Pro, un plugin que realiza varias funciones de seguridad, incluso en su versión gratuita. Ithemes Security Pro controla los intentos fallidos, incluso puede bloquear a un host o IP, de acuerdo con ciertos criterios, cuando detecta intentos sospechosos.
3. Implementar un proceso de autenticación en dos fases
La filosofía de esta seguridad adicional es similar a la que tienen los bancos para que sus clientes accedan a sus servicios de banca por internet. Bajo este esquema, se habilita una segunda clave, que es generada por un dispositivo electrónico, llamado comúnmente token.
En este caso la función del token la realiza una aplicación para el smart phone. Una vez que la app se sincroniza con el plugin correspondiente, sirve como una segunda llave para acceder a WordPress.
Yo utilizo MiniOrange 2 Factor Authentication, un plugin que maneja la autenticación en dos fases, con distintas modalidades. Tiene una versión gratuita con varias funciones.
4. Poner un password fuerte
Cambié mi password para que fuera una cadena de caracteres larga y sin ningún sentido aparente. WordPress puede autogenerarte una clave larga muy segura.
3 lecciones aprendidas luego de que mi sitio fue vulnerado
Yo trabajo en forma continua en dos blogs y la posibilidad de que el otro también hubiera sido hackeado me hizo sudar frío, pero afortunadamente no fue así.
Sin embargo esta experiencia, me ha servido como una llamada de atención para ser mucho más riguroso con el tema de los backups. A continuación comparto 3 lecciones aprendidas luego de que mi sitio fue hackeado.
1. Un password bien construido puede evitar que tu sitio sea hackeado
Si eres de los que utiliza 123456 como password, es hora de que lo cambies por algo más seguro.
Un password largo, que utilice letras en mayúsculas y minúsculas, números y por qué no, caracteres especiales, te servirá de mayor protección.
2. No subestimes la importancia de los backups
Asegúrate de tener implementado un medio para obtener backups de tus archivos. También asegúrate de que se ejecutan con la periodicidad requerida por tu negocio, de acuerdo el volumen de movimiento.
Adicionalmente a hacer los backups, es importante guardarlos en un lugar seguro y al que puedas acceder en forma fácil y rápida, en el caso de que los necesites.
Finalmente, asegúrate de que el sistema de back up que estás utilizando funciona y que vas a ser capaz de restaurarlo a partir de una copia, en el caso de que tu sitio sea hackeado. No tiene sentido tener copias de seguridad si luego no vas a poder utilizarlas para recuperar tus archivos.
3. Implementa medidas de seguridad adicionales
De acuerdo con la naturaleza de tu sitio, consulta a alguien con experiencia para definir qué medidas adicionales puedes implementar para reducir el riesgo de que tu sitio sea hackeado.
Lógicamente, estas medidas se vuelven mucho más críticas cuando se trata de sitios que son accesibles por cualquier persona desde internet. Adicionalmente, las medidas deberán estar en concordancia con el nivel de impacto para tu negocio, en caso de que tu sitio sea hackeado.
Finalmente, consulta con tu proveedor de hosting sobre las medidas preventivas que tienen implementadas contra los ataques cibernéticos. Averigua cómo puedes aprovecharlas para tu sitio.
Si quieres saber más sobre seguridad informática, puedes leer 8 consejos de seguridad informática, en este mismo blog.
Última actualización: