Los Hackers no descansan, trabajan los 365 días del año, y las 24 horas del día.
Cada día vemos en las noticias que un Sitio Web ha sido hackeado, y que una base de datos ha sido comprometida. Eso nos asusta a todos.
Para no ir tan lejos, recientemente Anonymous realizó “el mayor ataque” de la historia, al colarse en los Servidores de GoDaddy, dejando con un solo ataque más de 50 millones de Sitios Web fuera de línea.
Lamentablemente, entre ellos se encontraban mis Blogs… ¿y el tuyo?
Es importante que cuidemos y nos preocupemos por la seguridad de nuestros Blogs. Por ello, en esa oportunidad te presento una lista de 9 Pasos para mantener tu Blog de WordPress más seguro.
1- Utiliza Contraseñas Fuertes
Este es el primer paso para asegurar tu Blog, utilizar contraseñas sólidas, indescifrables.
Las excusas como:
“Yo utilizo la misma contraseña en todas mis cuentas para evitar olvidarlas” o “La Contraseña por defecto es suficientemente buena, y ¿quién va a tratar de hackearme? Mi blog no es famoso…”
No son aceptables.
Este paso no debe ser procrastinado, si no estás utilizando una contraseña de al menos 10 caracteres, con números y letras (mayúsculas y minúsculas)… estás cometiendo un grave error. ¿Qué estás esperando?
2- Siempre mantente al día con las Actualizaciones
Las Actualizaciones de WordPress no son lanzadas para mejorar el posicionamiento web, son lanzadas para arreglar fallas, agregar funcionalidades, y lo más importante, arreglar brechas en el sistema de Seguridad.
¿Estará WordPress (u otra plataforma CMS) siempre un paso adelante que los hackers? Por supuesto que no.
Al contrario. Siempre estarán un paso atrás que los Hackers, y debemos aceptarlo, es el mundo en el que vivimos.
Pero a pesar de ello, no debemos facilitarles el trabajo a esos criminales.
El equipo de WordPress trabaja arduamente para crear actualizaciones que hagan de WordPress una mejor plataforma, quedando así las instalaciones antiguas, con pequeñas brechas en el código fuente.
Esas brechas permiten la entrada a los hackers.
Algunos sienten temor al actualizar WordPress, porque el tema que utilizan puede perder los cambios / personalización, o algunos plugins dejar de funcionar.
Mi respuesta a eso es simple: Que eso no te detenga, siempre haz un backup antes de actualizar WordPress, así cuando lo actualices, rápidamente puedes volver a configurar el tema (si tu tema pierde las configuraciones).
Pero no solo la instalación de WordPress puede crear brechas de seguridad, también los plugins. Al igual que WordPress, siempre mantenlos actualizados.
3- Protege tu Acceso como Administrador
¿Se debe cambiar el nombre de usuario de “Administrador” que trae WordPress por defecto? Seguro, puedes hacerlo. Pero no hacerlo no te perjudica en nada.
Ten en cuenta, que el nombre de usuario no es el factor clave en cuanto a medidas de seguridad. Los hackers pueden encontrar tu nombre de usuario fácilmente, solo necesitan ver algún artículo tuyo o ver la dirección URL del autor.
Ejemplo: miblog.com/autor/usuario
Por ello, el nombre de usuario no importa. Lo importante es la contraseña, tal como lo menciono en el paso 1.
4- Guárdate de los Ataques de Acceso
Según estadísticas mostradas por Copyblogger, el cual es uno de los blogs más leídos del mundo. Ese sitio recibe más de 275 intentos de acceso no autorizados… cada hora!
Seguramente ninguno de nosotros recibe esa cantidad de ataques, pero no estamos exentos de recibir algunos.
Primero, Asegúrate de seguir los pasos 1, 2, y 3.
Segundo, existen plugins que puedes instalar en tu WordPress que te ayudaran a dificultar el trabajo a los hackers.
El Plugin Limit Login Attempts, es perfecto para ello, ya que bloquea la dirección IP que intente acceder erróneamente más de la cantidad que tú estableces.
5- Monitorea tu sitio en busca de Malware
Es imperativo que utilices un sistema que monitoree tu sitio constantemente en busca de Malware (programas maliciosos).
Aunque raras veces sucede, debes prevenir.
Si tu Sitio es personal, y te quieres ahorrar un par de dólares, puedes usar el servicio de escaneo gratuito de Norton – Safe Web.
Y si el Sitio que gestionas es de una empresa, puedes utilizar un servicio Premium profesional llamado Sucuri.
6- Si tu sitio tiene malware, haz algo al respecto
Si el servicio que utilizas para escanear tu servidor encuentra algún malware, también te debe mostrar qué archivo se encuentra infectado. Luego, lo más sensato sería tratar de repararlo o en última instancia, eliminarlo.
Te recomiendo leer: Cómo eliminar un virus de un Blog de WordPress (lectura externa).
7- Limpia tu Servidor Frecuentemente
¿Sabías que tu instalación de WordPress puede tener Bombas de tiempo, que en cualquier momento pueden explotar?
Si tienes instalados temas y plugins antiguos que no estás utilizando, especialmente si ellos no se encuentran actualizados, puedes iniciar desde ya la cuenta regresiva para tu próxima brecha de seguridad.
Un Sitio desordenado también hace difícil la tarea al momento de proteger tu sitio.
Si te estás preguntando: ¿Qué debo eliminar?
Debes eliminar los temas, plugins, borradores, revisiones y Widgets inactivos que ya no utilizarás, comentarios marcados como spam, entre otras cosas.
8- Controla la Información Sensitiva
Al momento de hacer la limpieza de tu servidor (paso 7), asegúrate de no dejar fragmentos de información valiosa a la vista de todo el mundo.
Por ejemplo, en todo servidor con una instalación de WordPress se encuentra el archivo readme.html, el cual muestra por defecto la versión de WordPress alojada actualmente.
Si tú estás utilizando una versión antigua con un problema de seguridad conocido, los hackers lo pueden encontrar fácilmente porque tú se los estás permitiendo!
Si NO sabes de lo que estoy hablando, haz la prueba con tu servidor:
Ingresa la dirección URL: tudominio.com/readme.html >> es.vegacorp.me/readme.html
La solución a este problema es 1) elimina este archivo de tu servidor, 2) actualiza a la versión más reciente de WordPress.
Otro grave error que puedes cometer es dejar en tu servidor los archivos de respaldo de base de datos .sql. Si un Hacker puede descargar tu base de datos completa, tendrá todos el contenido de tu Blog a su disposición.
¿Porqué dejar este tipo de archivos en tu Hosting? Tú no sales de tu casa sin pantalones (eso espero :-))…
Entonces no permitas que tu Blog se encuentre así.
9- Mantente siempre alerta
Este es el último paso para mantener tu blog más seguro. Estar siempre alerta de las últimas actualizaciones, novedades y todo lo que está sucediendo en la web.
Te recomiendo suscribirte a mi blog por correo, ingresándolo en el formulario que se encuentra al final de este artículo.
Tú no necesitas comprender la complejidad de un ataque DDOS. Simplemente sigue las recomendaciones para prevenir y dificultar el trabajo de esos criminales de la web.
Esos criminales han podido hackear el Sitio del FBI y GoDaddy, entre muchos más, entonces ¿Estamos realmente exentos?
No, esa es la cruda verdad. Estos pasos te ayudarán a prevenir un ataque y dificultar el trabajo de ellos.
Al no seguir ningún paso, existen más de 65% de probabilidades que seas hackeado, al seguir estos pasos, únicamente estarás reduciéndolas a menos de 10% aproximadamente.
¿Te ha sido útil este Artículo? Entonces ayuda a todos tus amigos Bloggers a evitar ser hackeados, compartiendo este Post en los medios Sociales, a ellos les servirá mucho :-).
JaviEN
Sep 24. 2012
Interesante artículo y muy útil porque, por desgracia, cada vez son más frecuentes los blogs hackeados o con virus. Por tanto, al igual que se ponen unas ciertas precauciones en un ordenador, también se tendrá que hacer en un blog.
Si me permites, sobre mi nombre encontraréis un enlace a un artículo que publiqué sobre qué hacer en caso de que te digan que tienes un virus en tu blog. Creo que es un buen complemento para este artículo.
Saludos!
Jose Vega
Nov 11. 2012
Muchas gracias Javi. Agradezco que compartas con nosotros tu artículo sobre Qué hacer al ser nuestro blog infectado por un virus. Tu artículo es muy útil y considero que merece ser leído por mis lectores. Por ello, agregaré un enlace hacia el tuyo para complementar este artículo.
Saludos.
JaviEN
Nov 12. 2012
Muchas gracias Jose! Me alegro que te haya parecido interesante mi artículo! Un saludo y gracias por compartirlo! 😉
Gustavo Dost
Nov 30. 2012
Brutal. Excelentes consejos. Pero te quería felicitar por la imagen que ilustra el post, brutalllllllllllll
Sergio Vazquez
Jul 22. 2013
Excelente post José . solo decirte que hay un enlace que no funciona el de como eliminar un virus de wordpress por si lo puedes actualizar
http://www.monetizados.com/eliminar-un-virus-de-un-blog-de-wordpress.html
Saludos
http:/www.sergiovazquez.es
Jose Vega
Ago 14. 2013
Enlace arreglado. Muchas gracias por tu notificación.
Alma
Ene 08. 2015
Excelente post, medidas que toda pagina de wordpress debe de tener muy en cuenta.
Iberzal
Jun 22. 2015
No sé vosotros pero nosotros hemos detectado que los ataques a WordPress cada vez son más numerosos y la detección que hemos hecho de malware o WordPress hackeados va en aumento cada día.
El artículo es el PRE y el que deja JaviEN es el POST. Aún así, es complicado llevarlo a cabo salvo que seas un técnico.
Jose Vega
Jun 23. 2015
Tienes razón. El servicio de tu empresa parece interesante, sería un buen complemento para aquellos que no quieren ensuciarse las manos con aspectos técnicos.
Saludos.
Robinson Diaz
Dic 25. 2016
Hola, antes que todo me gustaria agradecer por el buen aritculo. Aún así me gustaria saber si tiene algo nuevo respecto al hackeo que hay, hoy en wordpress y quiza en todos los sitios creados personalizados pero si ustedes pueden seria de ayuda novedades de seguridad de WordPress ya que sigo siendo atacado por hackers y aunque sigo agregando seguridad ellos siempre me hackean la cual me hace pensar que es atravez del proveedor de hosting por donde estan entrando.
Jose Vega
Ene 20. 2017
Los sitios web se pueden hackear desde muchos lugares diferentes. Por ejemplo, yo pudiera enviarte un archivo malicioso por correo, tú lo descargas, se instala un virus en tu computadora, y yo puedo obtener tu usuario y contraseña, y entrar a tu sitio web usando tu usuario y contraseña.
En ese caso no habría forma de detener el acceso porque yo tengo las credenciales.
Entonces en el artículo mencionamos cómo cerrar las vulnerabilidades de WordPress. Pero también existen otros puntos vulnerables, por ejemplo, tu computadora, el proveedor de hosting (ejemplo, alguien pudiera hackear el panel de control de tu proveedor), etc.
Para evitar problemas tú debes usar un proveedor de hosting confiable, yo te recomiendo «siteground», proteger bien tus contraseñas, y usar solo plugins comprados o plugins gratuitos de lugares confiables.
Edison
Sep 16. 2017
Lo mejor de todo fué el GIF, excelente!