WordPress es sin duda el rey, hoy por hoy, de los framework, CMS o gestores de contenidos más utilizados para crear sitios web de una forma “rápida”, “económica” (los pongo en comillas porque no siempre aplica esta regla) y versátil . Además de poder crear una variedad infinita de webs como ecommerce, blog (por naturaleza del CMS), foros, marketplace, web corporativas, intranet, extranet, etc, etc.
Las soluciones con este CMS son maravillosas y muy amplias pero, está el lado B de estos desarrollos, y que ningún webmaster indica cuando es entregado el proyecto. ¿Qué viene despues?
WordPress es un CMS de código abierto al que cualquier persona del mundo puede intrusiar el código para buscar backdoor o vulnerabilidades. Aquí es donde comienzan muchos problemas después de entregado el proyecto al cliente, la falta de mantención de los sitios web. Plugins desactualizados o null (si, hay desarrolladores que prefieren integrar plugins piratas con graves problemas de seguridad), plantilas obsoletas o null, códigos insertados con problemas de seguridad (scripts), falta de respaldos ¡NO HAY RESPALDOS! 😰 no hay manual de uso del sitio web, etc.
Sabemos de estas cosas, ya hemos salvado varios proyectos de hackeos con código malicioso, intento de hackeos por segundo. Es una tarea ardua frenar los ataques, parchar los problemas, probar que no intenten nuevamente hackear la web a través de otro backdoor que no hayamos visto. Si sufres un hackeo de tu sitio web, tiene problemas y fallas en plugins, en la plantilla o en el core, siempre se puede resolver. Contáctanos acá.
¿Qué hago entonces? te preguntarás
Si eres cliente nuestro o no, estos tips te pueden salvar o disminuir los problemas en tu sitio web. No todos, pero minimizamos los riesgos.
A nivel de servidor/hosting
– Procura que ningún archivo o directorio del sitio web tengan permiso CHMOD 0777. Si no sabes como hacerlo, consulta con tu proveedor de hosting o informático.
– En el archivo .htaccess puedes bloquear paises a los cuales no te interesa llegar. Así disminuyes ataques de paises como Rusia o Vietnam.
– En el archivo .htaccess puedes utilizar el bloqueo de inyección SQL, algo que puede disminuir los intentos de hackeo. Acá te dejamos una estrofa de código que puedes utilizar:
RewriteEngine On
Options +FollowSymLinks
ServerSignature Off
RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
#RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC]
RewriteRule ^(.*)$ hack.cfm
– Revisa la contraseña de acceso a tu cpanel o servidor. Que sea alfanumérica y con caracteres especiales. Mínimo 18 caracteres.
– Ocultar los directorios CORE de tu wordpress de las búsquedas de los motores de búsqueda. Así disminuyes publicar tu mapa de sitio. Ejemplos de parámetros comunes en robots.txt:
User-agent: * (Incluir todos los robots) Disallow: / (Denegar todo el sitio) Disallow: /directorio/ (Denegar un directorio) Disallow: /pagina-prueba.html (Denegar una página) Disallow: /*.pdf$ (Denegar la extensión .pdf ) Allow: /directorio/subdirectorio/ (Permitir un subdirectorio habiendo denegado un directorio en el ejemplo anterior) Sitemap: http://www.midominio.com/sitemap.xml (Señalar el mapa del sitio)
–
– Sobre el bloqueo de /wp-admin/: Debes saber que no es necesario bloquear /wp-admin/ en el archivo robots.txt WordPress ya bloquea las páginas del directorio mediante la cabecera HTTP X-Robots-Tag.
– En tu conexión a base de datos, la contraseña del usuario, utiliza una contraseña fuerte.
– Si tienes varias cuentas FTP, revisa sus permiso y contraseñas
A nivel de WordPress
– Claves de acceso segura, alfanuméricas con mínimo 16 caracteres, con mayúsculas y minúsculas.
– No utilizar nombres de usuarios como admin o user. Mejor crea usuarios con el correo.
– Utilizar plantillas y plugins que no sean NULL o pirateadas. Solicita al desarrollador que te indique el origen de los recursos o si es desarrollada desde cero.
– Utiliza un mecanismo de respaldo en tu Wordress, como Duplicator, y guarda los respaldos en tu equipo
– Utiliza algún plugins scan anti malware y analiza tu sitio web cada cierto periodo de tiempo
Si presentas problemas con tu sitio web, contáctanos! Solicita una cotización y ayudaremos con tu caso. Sitio web hackeado, inseguro, problemas de SEO, desactualizados o actualización de contenidos.
