La mayoría de la gente que tiene un sitio web jamás piensa ni por un segundo que su sitio web puede ser hackeado hasta que un dia se despiertan y descubren que su sitio fue suspendido por el hosting por contener malware, estar enviando spam o en el peor de los casos descubren que su sitio fue borrado.
Nadie se detiene a pensar en esto porque principalmente están convencidos que no son de interés para nadie sin embargo es algo que pasa todos los días y a cualquiera, no se necesita tener enemigos o una competencia comercial con pocos escrúpulos para que tu sitio sea hackeado.
¿Por qué me hackearon mi web?
La gran mayoría de los hackeos de sitios se dan al azar y porque tienen alguna vulnerabilidad que los hacen “hackeables” y con la única finalidad de utilizar tu sitio para alguna actividad ilícita, como enviar spam, lanzar ataques a otras web alojar páginas falsas de phishing o actividades por el estilo.
En muy pocos casos los hackeos son personales y están destinados a hackear un sitio en particular, en la práctica todos los sitios en WordPress son atacados las 24 horas con ataques de fuerza bruta al login para describir su contraseña probando una a una desde diferentes IP o probando urls buscando plugins con versiones específicas que contienen vulnerabilidades conocidas y cuando digo todos los sitios, realmente quiero decir todos.
Hay programas que son utilizados para recorrer internet buscando sitios con ciertas versiones de WordPress o ciertos plugins que tienen agujeros de seguridad que puedan ser explotados por eso es vital siempre tener el sitio actualizado aunque no es el único consejo.
Consejos a seguir
Respaldos
La primera regla de todo sistema es realizar backups, para ser justos esto no va a prevenir el hackeo aunque es de vital importancia para la supervivencia del sitio, es decir para poder recuperar el sitio en caso de cualquier incidencia, no sólo malware, así que es mejor no dejarlo pasar e incluirlo en la lista.
Los respaldos ya sea generados por el hosting o generados manualmente son la mejor opción, mientras que los respaldos generados por plugins no sirven porque en caso de hackeo también estos respaldos son inseguros y también porque muchos plugins dicen respaldar todo y al final se descubre con horror que no es cierto.
Además es importante que el respaldo sea completo, no solo del sitios sino de toda la cuenta, que incluya archivos, configuración DNS, SSL, mails, base de datos, que literalmente incluya todo, esto no se puede hacer con un plugin de WordPress, se debe hacer desde cPanel, Plesk o del panel que se utilice.
Como se mencionó este punto no evita los hackeos sin embargo es el paso más importante en cualquier plan de recuperación de desastres y jamás se debe dejar pasar o subestimar su importancia, hay un sin número de circunstancias en que los respaldos son necesarios más allá de un ataque, de tener un respaldo completo y actualizado depende la supervivencia de cualquier sitio o negocio.
Actualizaciones
Siempre y en todo momento es imprescindible mantener WordPress junto todos los plugins siempre actualizados, ya que es la principal puerta de entrada del Malware en WordPress, ya sea por la explotación de vulnerabilidades tanto del Core de WordPress como de los plugins.
También es una tarea de seguridad importante quitar los plugins que no utilizamos, muchas veces instalamos plugins para probar algo y olvidamos desinstalarlos, cada plugin es una posible puerta de entrada así que si no lo utilizamos lo mejor es desinstalarlo.
También es importante revisar que los que estén activos realmente están siendo usados o sean realmente necesarios, muchas veces instalamos plugins que dentro de sus funciones incluye cosas que antes ya hacían otros plugins, lo recomendable en ese caso es desinstalar los viejos.
Un punto aparte son los plugins que si bien están actualizados hace mucho que salio la ultima versión, es decir, un plugin puede decir que esta actualizado, sin embargo, esa versión salio hace 6 años y eso es un riesgo de seguridad enorme por lo tanto aunque lo utilicemos siempre es mejor sustituirlo por otro plugin más moderno, es muy probable que pueda tener algún bug que el desarrollador no cubrió porque es un proyecto abandonado.
Plugins de Seguridad
Dentro de la categoría de plugins de seguridad se puede hablar largo y tendido, sin embargo, hay plugins que son muy recomendables como por ejemplo GOTMLS Anti-Malware que te ayudará a prevenir y a detectar el malware en tu web y que para instalarlo te recomiendo esta guía Cómo instalar GOTMLS Anti-Malware.
Otro plugin que no puede faltar es iThemes Security un plugin con numerosas configuraciones de seguridad que permite ajustar y mejorar las seguridad por defecto de cualquier instalación de WordPress así como monitorear los cambios en los ficheros.
En la misma línea podemos encontrar Wordfence Security un plugin incluso más completo aunque bastante más complejo de configurar, debido a su gran cantidad de funciones es posible que en el sitio se note el impacto en cuanto a rendimiento al menos levemente.
Seguridad del lado del Servidor
El servidor también es un detalle a tener en cuenta, se pueden tomar todas las medidas a nivel del sitio, sin embargo, si el sistema operativo es vulnerable igualmente sufrirá una infección tarde o temprano.
Al igual que con WordPress a un servidor se le debe dar mantenimiento y tenerlo siempre actualizado por las mismas razones, eso evitará una posible explotación de alguna vulnerabilidad del sistema operativo o de alguno de los servicios que brinde, sea servicio web, ftp, correo, etc.
El servidor debe estar correctamente secularizado, un buen hardening de configuración es indispensable más allá de los típicos puntos obligatorios como un Firewall, un antivirus, un anti-malware es fundamental que el servidor cuente con un WAF (Firewall de aplicación) que filtre las peticiones web y un entorno virtual 100% seguro como por ejemplo Cloudlinux.
En un servidor tradicional una infección en un sitio puede escalar y esparcirse a todo el servidor, infectando otros sitios alojados y al propio sistema operativo, por lo tanto sin un sistema que aislé los sitios unos de otros un sitio que haya seguido todas las reglas y recomendaciones igualmente puede sufrir una infección por culpa de otro sitio que no lo haya hecho.
Allí radica la importancia que el servidor utilice algún tipo de enjaulamiento de los sitios como por ejemplo Cloudlinux, esto restringe el malware al propio sitio sin permitir que “escape” e infecte otros sitios por eso a la hora de elegir un hosting es bueno elegir un hosting seguro que lo proporcione.
Conclusión
Si bien hoy día publicar un sitio haciendo uso de un CMS como WordPress es mucho más simple de lo que era hacerlo hace 20 años, aún no es una tarea sencilla y es fuente de más de un dolor de cabeza, si aún se logra superar la etapa de instalación, configuración y personalización de WordPress aún queda una etapa crítica, la más larga y tediosa si se quieres: las actualizaciones.
Para recordar realizar las actualizaciones en tiempo lo mejor es utilizar una agenda tipo Google Calendar para marcar las fechas de actualización de WordPress, por ejemplo cada 15 días o 30 días como máximo, también sería una buena idea marcar las fechas de los respaldos, así tener siempre presente ambas tareas críticas, por supuesto luego hay que respetar la agenda y no posponerlo para otro día o cuando se tenga más tiempo ya que puede ser tarde y haber sido hackeados.
Administrador de Sistemas, Programador, Docente y ahora resulta que también Blogger (peor es ser tictoker). Más de 20 años de experiencia en computación atendiendo nabos y resolviendo problemas que sino fuera por estos nabos no habrían ocurrido en primer lugar. Escribo más que nada sobre tecnología y herramientas en general además de algunos artículos con opiniones tan subjetivas como irrelevantes, así que si no te gustan mejor madura.