Si tienes un blog es posible que en más de una ocasión te hayas visto afectado por la entrada de algún virus o un tipo de software malicioso de ese estilo. El caso es que yo me he enfrentado a este tipo de asuntos en más de una ocasión y la mayoría de guías que he encontrado en internet o no son claras o no están totalmente actualizadas. Así que me he puesto manos a la obra para ofrecerte un completo tutorial gracias al cual podrás dejar tu blog WordPress como una patena.
Todo lo que vas a ver a continuación es un proceso real, ya que por suerte o por desgracia, en uno de mis blogs que tenía descuidado han entrado los hackers y han hecho de las suyas. ¿Que por qué lo hacen? Normalmente lo hacen para insertar publicidad y aprovecharse de las visitas que puedas tener en tu blog para redirigir los usuarios a banners de publicidad y así ganar dinero.
Contenidos
¿Cómo consiguen entrar en tu blog?
Bien, lo cierto es que los hackers tienen diferentes formas de acceder a un blog WordPress, pero todavía les será más fácil si no tomas una serie de precauciones básicas. A continuación te hablo de cada una de ellas y te explico cómo protegerte.
Utiliza siempre temas seguros y actualizados
Generalmente – y los expertos en seguridad coinciden en este punto – el hackeo se produce a través de un theme no actualizado o falto de medidas de seguridad, de ahí que si tienes un proyecto serio lo ideal es que te preocupes de utilizar themes de calidad y con soporte, incluso los propios themes que WordPress trae de serie te pueden servir, ya que se actualizan constantemente pero huye de temas que llevan demasiado tiempo sin actualizarse o que han sido creados por personas con poca reputación, más que nada porque en este último caso incluso pueden incluir ellos el código malicioso. Por otro lado, los temas gratuitos están bien para empezar, pero a veces los autores no trabajan en ellos tan duro como lo haría en un tema de pago. Todos estos factores debes tenerlos en cuenta a la hora de elegir tu theme. Por supuesto, si utilizas un theme nulled, tienes todas las papeletas para que tu blog sea hackeado.
Como consejo final, en caso de que no vayas a utilizar otros themes, elimínalos, porque son más temas por lo que preocuparse a la hora de tener que mantenerlos actualizados.
Mantén actualizado tu WordPress y plugins y desecha los que no se actualizan
El segundo motivo por el que pueden acceder a tu blog es porque eres una persona descuidada que no actualiza el WordPress o los plugins como debería. Las actualizaciones de WordPress y de plugins no siempre traen mejoras consigo, a veces simplemente vienen acompañadas de correcciones de problemas y de cara a la seguridad de tu tema. Con precaución, pero siempre mantén actualizado tu WordPress ya que los hackers están atentos a las nuevas brechas de seguridad que van saliendo casi a diario y se aprovechan de las personas que descuidan este aspecto. En un sentido parecido se encuentran también los plugins que han sido abandonados por sus desarrolladores, en esto se podrían englobar los plugins que llevan más de 6 meses sin ser actualizados, prescinde de ellos y sustitúyelos por otros que cumplan la misma función pero sí estén actualizados. Puede que no contengan problemas de seguridad, pero si su desarrollador no está activo, en caso de que se descubra alguna vulnerabilidad, seguramente no la tapará. Al igual que con el theme, también hay plugins de pago que se pueden conseguir nulled, huye de ellos, son peligrosos.
Verifica que los permisos estén dados correctamente
Voy con el siguiente motivo que puede dar lugar a un acceso no autorizado y este es que no tengas los permisos de los archivos de WordPress correctamente dados, puede que en su día modificases los permisos de un archivo o directorio y no los hayas restablecido. Así que simplemente utiliza esta regla, para los directorios permisos 755 y para los archivos permisos 644.
Con el plugin Sucuri Scanner del que te dejo la descarga a continuación, puedes verificar que los permisos de los archivos estén dados correctamente.
Utiliza contraseñas seguras en las cuentas con permisos de administrador
Otro motivo muy simple, pero que muchos a veces no tienen en cuenta es simplemente que la contraseña de alguno de los administradores del WordPress ha sido hackeada o bien porque no tenía las medidas de seguridad adecuadas o porque era alguno de ellos utiliza esa misma contraseña en otros servicios como por ejemplo foros o la cuenta de correo electrónico. Mi consejo es que siempre utilices la contraseña que WordPress te sugiera, ya que se genera de forma aleatoria y será única. Por otro lado, minimiza al máximo los usuarios con permisos de administrador y oblígales a todos a hacer lo mismo.
- Para cambiar las contraseñas dirígete a Usuarios > Todos los usuarios y selecciona el usuario para el que quieres cambiar la contraseña.
- Una vez dentro de su perfil pulsa Generar contraseña y toma nota de la nueva contraseña.
- Por último pulsa sobre Actualizar perfil.
Minimiza el riesgo de inyecciones SQL
El siguiente motivo por el cual pueden entrar a tu web es una inyección SQL mediante la cual se aprovechan de alguna vulnerabilidad en algún plugin o en el código del WordPress para tomar el control de tu web. Puede parecer un tanto redundante con respecto a lo anterior, pero para estar lo más a salvo posible mantén actualizados tus plugins y el WordPress, pero además mantente al día sobre las nuevas vulnerabilidades que se van descubriendo.
Monitorea tu WordPress con un plugin de seguridad
Lo cierto es que este tipo de plugins son pesados y consumen recursos, pero merecen la pena ya que te avisan de posibles vulnerabilidades, mantienen a raya los ataques que puedas recibir y se chivan mediante correo electrónico de posibles cambios en archivos, de nuevas actualizaciones disponibles, etc.
Existen muchos plugins de este tipo y en lo personal voy a recomendar únicamente los que he probado, se trata de dos plugins con los que me ha ido muy bien y que sigo utilizando en mis blogs, hablo de Wordfence Security y Sucuri Scanner.
Lo barato sale caro, un servicio de hosting seguro
Finalmente puede que el problema no sea tuyo, sino del propio hosting, así que ponte en contacto con ellos e infórmales sobre el problema que has tenido para que echen un vistazo y miren si tienen algún tipo de problema de seguridad. En caso de tu hosting no te ofrezca demasiada confianza ve pensando en migrar.
Hay un montón de hostings de calidad, simplemente revisa opiniones de usuarios y elije una solución calidad/precio adecuada a tus necesidades.