Hackear webs parece que se ha convertido en moda

Inicio/Diseño Web/Aumenta el número de sitios web hackeados

Aumenta el número de sitios web hackeados de forma alarmante.

Un buen compañero de profesión me pasaba hoy un post sobre la cantidad de sitios web hackeados que se están dando últimamente y la lectura del post y como esto está influyendo en las marcas de forma negativa me ha animado a escribir este artículo.

sitios-web-hackeadosEl artículo en cuestión se refería a unas declaraciones de Google en las que explicaba que  se ha producido un aumento de 180% en los sitios hackeados en lo que llevamos de 2015.  Ante semejante afirmación no he podido menos que preocuparme y ponerme a investigar un poco sobre el tema.

Los primeros datos asustan un poco, ya que una gran cantidad, aunque no la mayoría, de sitios hackeados utilizan WordPress como gestor de contenidos, el que se lleva la palma es Joomla, pero me preocupa mucho menos ya que hace años que dejamos de usarlo. Una vez pasado el primer susto he llegado a la conclusión de que, por lo menos en mi caso, no debo preocuparme más de lo justo y necesario ya que por el momento todos los sitios web hackeados que habían sido programados por mi equipo han repelido los ataques de forma bastante fácil, y lo voy a argumentar:

Implementar seguridad al diseño de la web

  1. Una de las primeras preocupaciones cuando he terminado el diseño de un sitio web es su seguridad.

    1. Hay un conjunto de directrices que Google te marca y que no está de más seguir
    2. Hay que programar un buen archivo robots.txt que te ayude a mantener a raya a los peores bots y que son suficientemente conocidos
    3. Tenemos las suficientes herramientas para repeler ataques de bots
      1. Captchas
      2. Protección de directorios
        1. Tener los permisos de tu FTP en buena forma ayuda a que sea más dificil acceder a ellos, lo normal sería tener permisos 755, pero una web en producción tiene suficientes permisos con un valor 700
      3. Claves complejas
        1. No uses tu fecha de nacimiento, el nombre de tu novia o de tus hijos
      4. Herramientas en el servidor contra ataques de fuerza bruta…
    4. Tenemos herramientas para repeler ataques personalizados, aunque cuando van a por ti poco más puedes hacer….
  2. Muestra el código justo y necesario

    1. Ojo con lo que muestras en tu sitemap
    2. ¿Usas el mismo nombre como autor de tus post que usas para acceder a tu web? BIEN, ya estamos dando pistas
    3. ¿Tienes un área privada para tus clientes? A los hacker les encantan las áreas privadas, si la tienes no la muestres en el menú de inicio y ustiliza el archivo robots.txt para que no se pueda rastrear
  3. Prepara un buen bloqueador de Ips

    1. Bloquear rangos de Ip es algo sencillo tanto a nivel de servidor como de web, implementa soluciones para ello, una de las mejores herramientas que conozco en este ámbito para WordPress es Wordfence
    2. Bloquea los intentos de login en tu CMS con nombres de usuario no dados de alta
    3. Revia de vez en cuando tu Base de datos y comprueba que no hay más usuarios que los que tienes en un principio.

Con esto ya hemos puesto las cosas un poco más dificiles, no obstante si tu web se ha unido a la multitud de sitios web hackeados, no te preocupes, existen soluciones para ello, sigue las directrices de Google para sitios hackeados, encontrarás información relevante sobre donde están las inyecciones de malware en tu sitio, revisa las distinitas opciones, es un buen lugar por donde empezar a buscar. No obstante, si lo tuyo no es la programación y no tienes tu propia copia de seguridad, pide a tu servidor que restaure la última copia que tengan con fecha anterior al ataque y busca un buen profesional que implemente las medidas de seguridad necesarias.

Actualización

Actualizando el post, debo admitir que la cosa ha empeorado tanto que los ataques a las páginas hechas con WordPress sigue en aumento, he encontrado un conjunto de cuestiones comunes a los sitios web hackeados y os voy a contar como lo he resuelto.

En la mayoría de los casos las inyecciones php han llegado a traves de plugins que se supone deberían evitar justo este elemento, he detectado algunas vulnerabilidades en plugins como Wordfence, que por cierto el desarrollador del plugin ha resuelto de forma rápida y que permitía a traves de FTp desactivar las blacklist que hasta ahora generaba este plugin y que quedaban en el directorio del plugin con permisos 644, ahora esta lista se almacena en una tabla de la base de datos, por tanto se complica bastante llegar a ella, como ya se apuntaba anteriormente, lo realmente importante es que nuestras contraseñas sean lo suficiente complejas como para impedir a los hacker acceder a nuestro FTp y nuestro PhPmyAdmin, pero aún así y como este plugin utilizaba los protocolos de llamada al FTp en su archivo de configuración era fácil encontrar el acceso.

La importancia de robots.txt

Además, el archivo robots.txt en la mayoria de casos contenia la configuración por defecto de WordPress, os recomiendo otro post en este blog que habla de como evitar a las miradas maliciosas acceder a las principales carpetas sensibles de nuestra instalación de WordPress y con ello dotar de un poco más de protección a nuestra página web. Por si todo esto no es suficiente, también es recomendable combinar el plugin Wordfence con el anti fuerza bruta de Eli, este plugin ha efectuado algunos cambios, y se necesita una pequeña doinación para acceder a las características de protección más avanzadas, de todas formas creo que la protección empieza por nosotros mismos, tal y como se describe en este post, si mantenemos nuestro site actualizado, los problemas es más dificil que lleguen a nuestra web.

Espero que os sea útil y si tenéis problemas con una web hackeada no dudéis en poneros en contacto conmigo, encontraremos la mejor solución en el mínimo tiempo posible, sin duda.

Han pirateado mi web, necesito ayuda

Nombre
Email
Teléfono
Su web actual

¿Necesita aportar algún detalle? He leido y acepto la información sobre política de privacidad

Rating: 5.0. From 14 votes.
Please wait...
2017-05-01T10:38:59+00:00