Hasta ahora pensaba que los ataques de hackers sobre páginas web se centraban en webs de cierta relevancia nacional o internacional. Nada más lejos de la realidad.
Hace unos días hackearon en dos ocasiones la página web de un cliente. La página web de dicho cliente está realizada con WordPress y es aún muy poco relevante pues no llevará más de 3 o 4 meses en marcha.
¿Cómo se fijaron desde fuera de España en una página web tan poco relevante? Esta pregunta es un auténtico enigma para mí.
Para afrontar una página web hackeada lo primero que tenemos que tener en cuenta es que es imprescindible contar con copias de seguridad de nuestra página web. En caso contrario lo que puede ser un problemilla se puede transformar en un problema grave.
1.- Seguridad en páginas web realizadas con WordPress
Como ya sabéis es muy sencillo acceder al panel de acceso para la administración de una página web realizada con WordPress. Simplemente habrá que añadir a la url de la página: /wp-admin.
En otras aplicaciones esta circunstancia no es ni mucho menos tan sencilla. En Prestashop hasta la última versión para acceder al panel de administración había que añadir a la url de la página web: adminXXXX. Dónde XXXX son 4 números aleatorios diferentes en cada instalación. Con la última versión esta seguridad ha aumentado pues se ha pasado de 4 números a 9 caracteres los que incrementa considerablemente la seguridad.
Debido a esta circunstancia la contraseña que pongamos en el backoffice debe ser una contraseña óptima para hacer frente a ataques de fuerza bruta.
2.- Páginas web hackeada en dos ocasiones.
La primera vez que hackearon la página web eliminaron todos los archivos de plublic_html y colocaron un archivo index.html junto con una imagen. Este archivo index y la imagen era lo que se mostraba al acceder a la página web.
En un primer momento no le di mucha importancia, eliminé el archivo index y la imagen y subí los archivos que tenía en una copia de seguridad. Pensaba que todo fue una rara casualidad que no se repetiría por lo que no cambie ni claves ni nada. ¿Quién se iba a fijar en una página web recientemente creada con apenas relevancia?
El caso es que pasada una semana me di cuenta que habían vuelto a hackear la página web. Se supone que esta vez había sido otro hacker ya que el diseño del Index e imagen que aparecían al acceder a la web eran diferentes. En esta ocasión estaban todos los archivos menos el index.php (página inicial de WordPress) que había sido sustituida por un index.html y una imagen.
3.- Soluciones adoptadas
En primer lugar eliminé el archivo index.html y la imagen añadidos por el hacker. Subí a mi public_html el index.php de una copia de seguridad de la web y de esta manera quedaba restituida la página web a su forma original.
Tras restituir la página web decidí realizar una serie de operaciones encaminadas a mejorar la seguridad de esta instalación de WordPress:
3.1.- Clave de seguridad del panel de administración:
Aumenté de 6 a 15 los caracteres de la clave de acceso al Back Ofiice de WordPress. En la nueva clave he combinado mayúsculas, minúsculas, números y caracteres especiales como: $,%,&, etc.
No era mi caso pero nunca debes tener de usuario “admin”.
3.2.- Actualizaciones:
Es el momento perfecto para actualizar plugins y el núcleo de WordPress. Contar con un WordPress actualizado incrementa las dificultades para que los hackers accedan a nuestra página web.
3.3.- Conexión con Base de Datos:
Ya que en la base de datos están almacenadas las claves de acceso al panel de administración también opté por reforzar la clave del usuario para el acceso a la base de datos.
Para ello entré a la administración del hosting y accedí a la administración de bases de datos. Modifiqué la contraseña del usuario de la base de datos por una clave de 20 caracteres con mayúsculas, minúsculas, números y caracteres especiales.
A continuación entré al administrador de archivos, accedí a public_html y edité el archivo wp-config.php introduciendo el nuevo nombre de usuario y la nueva password.
3.4.- Escaneo de archivos:
Otra cosa que es necesaria hacer es el escaneo de los archivos de la página web en busca de código malicioso.
Podemos utilizar una herramienta online gratuita como Securi Scanner: http://sitecheck.sucuri.net/scanner/
También podemos utilizar el plugin para Worpdress Wordfence. Wordfence es un plugin gratuito que podemos ampliar con algunas características Premium. Para realizar un análisis de los archivos que forman la página web e indicarnos las diferencias con los archivos originales de WordPress es suficiente con la parte gratuita del plugin.
Además tras realizar el análisis y descartar que la web tenga algún archivo contaminado el plugin nos avisará vía email en caso de detectar acciones sospechosas.
Aquí puedes ver un vídeo en el que se explica cómo realizar un escaneado de la página web WordPress utilizando Wordfence.
3.5.- Más soluciones:
Es posible implantar muchas más medidas de seguridad como son la protección de archivos a través de .htaccess, otros plugins, reforzar claves hosting, etc. Por el momento quiero comprobar si las medidas implantadas hasta la fecha son suficientes o es necesario implantar nuevas medidas.
En próximas entradas de blog os informaré si han sido suficientes las medidas de seguridad adoptadas o es necesario implementar nuevas.
Soy Blogger y formador profesional. Me gustaría que este blog te sirviera para conocer más de cerca el mundo del diseño web y de WordPress. Mi proyecto online es una plataforma de formación online tipo membership site, denominada cursotiendaonline.com donde podrás acceder a todos los cursos por solo 10 €/mes
