Home Seguridad Web Hacer más seguro mi WordPress

Hacer más seguro mi WordPress

51
0

  Solamente poniendo en Google como podréis ver en la foto “WordPress hacker”, el buscador nos devuelve casi 42 millones de resultados. El motivo no es otro que la cantidad de usuarios de WordPress que no se preocupan de la seguridad de su  página web y piensan que solo con instalarlo, ya es más que suficiente.

wordpress hacker

     El problema principal es que solamente nos preocupamos, cuando es demasiado tarde por lo que el proceso se hacia más laborioso. A continuación les explicamos nuestras experiencias con casos de diseño web Vigo que hemos realizado en WordPress y finalmente han terminado por falta de actualización, en hackeos continuos.

     Como podeis observar desde vuestro panel de WordPress, cada vez con más frecuencia salen actualizaciones, tanto del propio CMS como de los plugins y principalmente son para mejorar la seguridad. Nada más WordPress sacar una nueva versión, diferentes colectivos ponen todo su empeño en ser los primeros en vulnerarla y consciente de los errores de seguridad, van saliendo nuevas actualizaciones. Esta es la regla número 1 si vas utilizar WordPress, ¡¡ actualizarla !!.

  • COMO PROTEGER MI WORDPRESS
  1. Actualizar wordpress y plugins
  2. No instalar mas de una plantilla y a poder ser, que no sea las que trae por defecto. Es la principal vía de entrada a los hackers. Es una pena que puedan acceder a tu servidor por una plantilla o un plugin que ni siquiera utilices. Solo ten instalado lo justo y necesario.
  3. Revisa que tus permisos sean los correctos. Permisos 777 son otra de las principales entradas a nuestra página web. Para saber que permisos tienen nuestros archivos basta con realizar una conexión via ftp y los observará a primera vista. No en todos los casos es lo más aconsejado, pero generalmente un cambio de 777 a 755 puede cerrar puertas de entrada y no notarás ningún cambio en el funcionamiento de la web.
  4. No utilizar usuario admin o contraseñas del estilo 123456 , nombredemisitio, … Sin usuario admin les será más dificil localizar, sobre todo si el ataque se realiza de forma automática y no manual.
  5. Instalar plugin de seguridad. Asegúrate de descargarlo desde la página oficial de WordPress, todos sus plugins son revisados en busca de código oculto. Algunos plugins son realizados por personas con pocos conocimientos y los realizan sin pensar en la seguridad de su web, sino en su propio beneficio. Nunca instales plugins en los que WordPress te avisa que lleva años sin actualizar, ya que serán altamente peligrosos.

    Decirles que sobre cada punto podría ser más específico, como nombrar algunos plugins de seguridad, pero existen cientos de ellos, para ello básate en las opiniones que otros usuarios hayan realizado y la votación que tenga. Piensa que un hacker, sabe que tu te protegerás con plugins y sus principales objetivos, son entrar a través de la vulnerabilidad de los propios plugins de seguridad. No instale el primero que encuentre y tome el tiempo que le haga falta en busca de los mejores valorados. A continuación le dejo un hangout de expertos de la comunidad del foro para webmasters en español que seguro que le servirá como complemento a lo escrito.

  • MI WORDPRESS YA ESTÁ HACKEADO

      Si ya te han hackeado, deberías ver que cumplas los 5 puntos antes mencionado y busques otros artículos que puedan seguir formándote a la hora de dotar de seguridad tu wordpress. Si los cumplieras, con un 90% de probabilidades, seguramente no te lo hubieran hackeado. Digo un 90% porque si te quieren atacar, seguramente lo hagan igual. Piensa que diariamente podemos leer y ver en medios de comunicación ataques a la página del FBI, de algún ministerio de España, incluso de la Policía, así que si es algo personal, seguramente te la hackeen igual.

     Ten copias a mano de tu página web y te quitarás muchos problemas de encima. Si no tienes copia de seguridad para restaurar tu web, revisa bien los puntos que te comentamos a continuación, ya que puede que nuestra web deje de mostrar el mensaje del hacker y parezca que vuelva a la normalidad, pero sigamos hackeados.

  1. Prueba a entrar al admin de WordPress, si entra,  seguramente verás que tienes algo sin actualizar y puede que sea la principal causa de su hackeo.
  2. Si al acceder al admin, no puede entrar con su usuario y contraseña habitual ni recuperar con su email la contraseña, entre a su Cpanel del servidor. Encontrará PhpMyAdmin, visite esa seccion, busque su base de datos y acceda a los usuarios, verá el email que está registrado. Cambie el email por el suyo y vuelva a WordPress, ya podrá recuperar la contraseña. cambiar usuario wordpress-php-my-admin

                 3. Si al entrar ven usuarios que usted no ha creado, borrelos. Recuperada la contraseña, llegá la hora de que acceda al panel de su wordpress y revise nuevamente que no existan otros usuarios ni plugins. Es habitual que nos instales plugins, si no vemos nuevos, accederemos via ftp y nos cercioramos de que sea así.

                4. Aprovechando que está en ftp, revise la index.php de la raiz de la página o la index.php de la plantilla, que la encontrarás en wp-content/themes/tuplantilla/… . Generalmente es el archivo que han modificado para que se vea el mensaje del hacker, solo tienes que descargarte wordpress o tu plantilla y sobreescribir el index. Para saber que index es, basta con abrirlo y verás el mensaje del hacker y un código inusual en wordpress, te percatarás facilmente.

             5. Cambiado el index tu página se debería ver. Si no has accedido a tu ftp desde hace días, una manera facil de saber que archivos han tocado, es mirar la ultima fecha de modificicación, casi todas tendrán la fecha de hace meses de tu ultima actualización y los hackeos tendrán fecha de hace pocos días o horas, según el tiempo que hayas tardado en darte cuenta.

            6. Si has cambiado el index.php o no ves ningun index.php infectado, revisa que no exista un index.html, el html prevale sobre el php y solamente borrando el archivo, tu página será visible. Si ves un index.html, borralo.

          7. Una vez que ya puedes ver tu web, al principio de este artículo te damos cinco consejos para evitar los principales ataques a nuestra WordPress. Revisalos con calma e intenta cumplirlo al 100%.

             Si has realizado todo lo que te comentamos y aun así tu página sigue sin verse, vigila que no te hayan borrado todos los archivos. Si ha sido así, solo te queda recuperarla hablando con tu servicio de alojamiento web por si dispusieran de alguna copia, pero recuerda que es responsabilidad tuya y casi la totalidad de las empresas le dirán que no.  Póngase en contacto y le ayudaremos en la medida de lo posible.

Borja Garcia Fundador de Vigo Marketing, soy autónomo en servicios de diseño web, posicionamiento web, redes sociales y publicidad en diferentes webs  del grupo Don Webmaster

PUBLICAR COMENTARIO

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Time limit is exhausted. Please reload CAPTCHA.

 

APÚNTATE AL NEWSLETTER
Serás el primero en recibir en tu email un aviso de que hemos publicado un nuevo artículo.
*No enviamos spam ni publicidad. Te das de baja cuando quieras.
+500 SUSCRIPTORES
Recibe en tu email las novedades de Vigo Marketing totalmente gratis
*No enviamos publicidad ni cedemos sus datos. No spam.