WordPress es sin duda el rey, hoy por hoy, de los framework, CMS o gestores de contenidos más utilizados para crear sitios web de una forma «rápida», «económica» (los pongo en comillas porque no siempre aplica esta regla) y versátil . Además de poder crear una variedad infinita de webs como ecommerce, blog (por naturaleza del CMS), foros, marketplace, web corporativas, intranet, extranet, etc, etc.

Las soluciones con este CMS son maravillosas y muy amplias pero, está el lado B de estos desarrollos, y que ningún webmaster indica cuando es entregado el proyecto. ¿Qué viene despues?

WordPress es un CMS de código abierto al que cualquier persona del mundo puede intrusiar el código para buscar backdoor o vulnerabilidades. Aquí es donde comienzan muchos problemas después de entregado el proyecto al cliente, la falta de mantención de los sitios web. Plugins desactualizados o null (si, hay desarrolladores que prefieren integrar plugins piratas con graves problemas de seguridad), plantilas obsoletas o null, códigos insertados con problemas de seguridad (scripts), falta de respaldos ¡NO HAY RESPALDOS! 😰  no hay manual de uso del sitio web, etc.

Sabemos de estas cosas, ya hemos salvado varios proyectos de hackeos con código malicioso, intento de hackeos por segundo. Es una tarea ardua frenar los ataques, parchar los problemas, probar que no intenten nuevamente hackear la web a través de otro backdoor que no hayamos visto. Si sufres un hackeo de tu sitio web, tiene problemas y fallas en plugins, en la plantilla o en el core, siempre se puede resolver. Contáctanos acá.

¿Qué hago entonces? te preguntarás

Si eres cliente nuestro o no, estos tips te pueden salvar o disminuir los problemas en tu sitio web. No todos, pero minimizamos los riesgos.

A nivel de servidor/hosting

• Procura que ningún archivo o directorio del sitio web tengan permiso CHMOD 0777. Si no sabes como hacerlo, consulta con tu proveedor de hosting o informático.
• En el archivo .htaccess puedes bloquear países a los cuales no te interesa llegar. Así disminuyes ataques de países de algo tráfico de spam.
• En el archivo .htaccess puedes utilizar el bloqueo de inyección SQL, algo que puede disminuir los intentos de hackeo.
• Sobre el bloqueo de /wp-admin Debes saber que no es necesario bloquearlo en el archivo robots.txt, ya bloquea las páginas del directorio mediante la cabecera HTTP X-Robots-Tag.
• En tu conexión a base de datos, la contraseña del usuario, utiliza una contraseña fuerte, alfanumérica de mínimo 16 caracteres.
• Si tienes varias cuentas FTP, revisa sus permiso y contraseñas. Ideal mantener desactivado el acceso FTP.

A nivel de WordPress

• Claves de acceso segura, alfanuméricas con mínimo 16 caracteres, con mayúsculas y minúsculas.
• No utilizar nombres de usuarios como admin o user. Mejor crea no,bre de usuarios con el correo.
• Utilizar plantillas y plugins que no sean NULL o pirateadas. Solicita al desarrollador que te indique el origen de los recursos o si es desarrollada desde cero.
• Utiliza un mecanismo de respaldo en tu Wordress, como Duplicator, y guarda los respaldos en tu equipo periódicamente.
• Utiliza algún plugins scan anti malware y analiza tu sitio web cada cierto periodo de tiempo.
• Mantén actualizado el  backoffice de tu sitio web: plugins, plantillas y adicionales.

Si presentas problemas con tu sitio web, contáctanos. Solicita una cotización y ayudaremos con tu web hackeada, inseguro, problemas de SEO entre otras acciones importantes.