Mi blog, Leaving Work Behind, fue pirateado en abril. Es algo sobre lo que lees con bastante frecuencia pero que nunca esperas tú hasta que sea demasiado tarde. Para ser honesto, no me veía a mí mismo como un candidato principal: he escrito sobre la seguridad de WordPress con la suficiente frecuencia como para tener implementadas muchas medidas preventivas. A pesar de todo, esas medidas de forma clara no eran lo suficientemente completas.
Ser pirateado es algo por lo que no quiero volver a pasar. Hay tantas razones por las que el tiempo de inactividad de un sitio web es malo para su blog / negocio: aún cuando la pérdida de tráfico y los ingresos potenciales son los dos más obvios, no puedo subestimar la cantidad de tiempo que perdí para restaurar el sitio y la cantidad de estrés que genera. Me causó.
En esta publicación, quiero revelar lo que sucedió con mi sitio y hacerle saber lo que he hecho para aumentar la seguridad de mi sitio desde entonces.
Ser pirateado: mi historia
Me desperté el jueves 18 de abril y descubrí que mi sitio estaba caído y lo había estado durante unas horas. Inmediatamente me comuniqué con mi proveedor de alojamiento, Westhost, quien me informó que su firewall ModSecurity había detectado actividad inusual en mi sitio y lo había cerrado de inmediato como medida de precaución. Al ejecutar una restauración inicial en el sitio, pude ver de inmediato que había sido pirateado. Aún cuando los cambios fueron relativamente sutiles, estaba bastante claro que algunos tipos inescrupulosos habían estado husmeando.
Resulta que una gran cantidad de sitios de WordPress al mismo tiempo habían sido pirateados, y Westhost tenía mucho trabajo. Por suerte, realizan copias de seguridad diarias del sitio y, a la tarde siguiente, volví a estar en línea con una versión de mi sitio que era lo más actual factible.
Este es el efecto que tuvo el truco en mi tráfico:
Para poner el gráfico anterior en perspectiva, el tráfico de esa semana disminuyó ~ 30% en comparación con la semana anterior. En teoría, eso significaba una caída del 30% en los ingresos.
Es justo decir que estaba ansioso por asegurarme (lo mejor de mis habilidades) de que tal hack no se pudiera repetir. Actué de inmediato.
Mis pasos inmediatos
Lo primero que hice fue verificar que había estado siguiendo los pasos descritos en mi publicación reciente acerca de cómo proteger su sitio web de WordPress.
Estos fueron los argumentos absolutos: actualizar mis temas y complementos, asegurarme de tener una copia de seguridad reciente, asegurarme de que mi perfil predeterminado no se llamara «admin», cambiar mi contraseña y verificar si hay complementos de seguridad en mi sitio. Con esos items en su lugar, era hora de seguir adelante.
No me hago ilusiones de que mi sitio ahora sea 100% seguro; luego de todo, no existe un sitio 100% seguro. Habiendo dicho eso, sé que es mucho más seguro que antes y continuaré investigando las medidas de seguridad del sitio ahora y en el futuro. Hasta ahora, esto es lo que he hecho.
1. Instalé VaultPress
Para aquellos de ustedes que no saben (*5*)VaultPress es una solución de seguridad y copia de seguridad completamente automatizada para WordPress. Es propiedad de Automático, los «propietarios» de facto de WordPress.
Luego de haber estado usando VaultPress durante unos días, no puedo creer que fuera tan tacaño como para no haberme comprado el servicio de antemano. Su paquete básico comienza en $ 15 por mes; lo pagaré por tranquilidad cualquier día de la semana.
De hecho, elegí ir con su paquete Premium ($ 40 por mes) que incluye:
- Copia de seguridad en tiempo real
- Restauración automatizada del sitio con un clic
- Archivos, estadísticas y registro de actividad
- Recuperación ante desastres prioritaria
- Asistencia prioritaria de «conserjería»
- Escaneo de seguridad diario
- Notificaciones de seguridad
- Fijadores de un clic para amenazas a la seguridad
- Asistencia para la migración del sitio
Básicamente, lo tienen cubierto.
Aún cuando VaultPress no puede asegurar la seguridad de su sitio contra los piratas informáticos, prácticamente lata Garantice que su sitio se puede restaurar con relativa facilidad. Hay algo muy relajante en ver instantáneas por hora de sus sitios almacenadas en los servidores de VaultPress:
Aún cuando existen muchas soluciones de respaldo gratuitas, no creo que nada supere la relativa tranquilidad que obtengo de VaultPress. Tienen 90 instantáneas de mi sitio disponibles para restaurar hoy en día, de las cuales la más reciente tiene solo veinte minutos. Sé que mi sitio está seguro en sus manos.
2. Administré mis perfiles
Un pirata informático puede acceder a su sitio desde cualquiera de los perfiles de administrador dentro de su backend de WordPress, no solo el tú utilizar. Cuando cargué mis perfiles, pude ver que tenía otros tres perfiles: un perfil de póster invitado y otros dos perfiles para personas (confiables) a las que les había dado acceso a mi sitio.
Comencé cerrando esos dos perfiles y cambiando la función del perfil de póster invitado a Autor. Esto es algo que le aconsejo que haga: solo cree tantos perfiles de administrador como sea absolutamente necesario. A la vez, de todos modos, debe asegurarse de que cada cuenta sea una contraseña única y aleatoria adecuada y que dichas contraseñas se cambien normalmente.
Hay ocasiones en las que deberá permitir que las personas (como su diseñador web) accedan a su sitio. En tales situaciones, le aconsejo que cree un perfil para ellos con una nueva contraseña y luego elimine ese perfil tan pronto como termine su necesidad.
Piense siempre en los puntos de entrada de su sitio y si son estrictamente necesarios.
3. Cambié mis contraseñas
Puede pensar que esto fue un movimiento obvio, pero de hecho no estoy hablando de mis contraseñas de WordPress. Aunque yo hizo cambiarlos, al mismo tiempo estaba seguro de cambiar todas las contraseñas a cuentas particularmente sensibles, dicho de otra forma:
Si se está preguntando por qué hice este movimiento, solo considere la historia de Mat Honan, cuya vida digital entera fue destruida por piratas informáticos que originalmente piratearon su cuenta de Amazon. Si de alguna manera se siente indiferente acerca de la seguridad en línea, entonces el artículo anterior es una lectura obligada.
Considere esta cadena simple: un pirata informático obtiene acceso a su cuenta de correo electrónico desde la cual envió recientemente un correo electrónico a su diseñador web con los detalles de inicio de sesión para su sitio de WordPress. Eso es todo lo que necesitan para acceder a su sitio y hacer lo que quieran. Hackear puede ser así de elemental.
4. Actualicé a SFTP
Aquí hay algo que tal vez no sepa: cualquier dato que transfiera por medio de de FTP (incluido su nombre de usuario y contraseña) está completamente sin cifrar. Por lo tanto, cualquier persona que pueda interceptar transferencias FTP con éxito podrá recoger sus datos de inicio de sesión y acceder a su cuenta.
Esto no solo les posibilita agregar y quitar archivos como mejor les parezca, sino que al mismo tiempo pueden obtener acceso a su base de datos de WordPress por medio de de phpMyAdmin y, en última instancia, iniciar sesión en su sitio.
En pocas palabras, no importa qué tan seguro sea el acceso directo a su sitio de WordPress si los piratas informáticos pueden ingresar por medio de de FTP. Como tal, le recomiendo que deshabilite el acceso FTP a su sitio y transfiera archivos usando el protocolo SFTP alternativo, que hace cifrar datos. Cualquier buen proveedor de hosting debería poder ayudarte con esto.
Hablando de proveedores de hosting …
5. Considere la idoneidad de su solución de alojamiento
Me alegro de estar con Westhost. Fue su cortafuegos ModSecurity el que detectó el ataque en primer lugar y cerró mi sitio antes de que se pudieran producir daños graves. Al mismo tiempo realizan copias de seguridad diarias automáticas (que se utilizaron para restaurar el sitio) y cuentan con un excelente soporte al cliente para arrancar.
¿Puede decir lo mismo de su proveedor de alojamiento? Hay tantas opciones excelentes que sería una locura quedarse con un proveedor con el que no está satisfecho. Puede considerar cambiar a una de las soluciones de alojamiento administrado (como WPEngine) como lo hizo R Marketing Digital recientemente.
Sea cual sea su elección, asegúrese de preguntar por las medidas de seguridad que toman. Considere las medidas que he tomado previamente y asegúrese de que sean compatibles con su solución de alojamiento.
La moraleja de la historia es esta: no comprometa la seguridad. En última instancia, mantener su sitio seguro es más importante que cualquier cosa más. No tiene sentido tener un gran contenido o un diseño nuevo y espectacular si nadie puede verlo debido a que su sitio ha sido destrozado por hackers despiadados.
Los tipos nefastos que no tienen nada mejor que hacer con sus vidas que piratear los sitios de las personas no van a desaparecer pronto. Cuanto antes lo acepte y tome las medidas razonables para proteger su sitio contra ataques, mejor será la seguridad a largo plazo de sus activos en línea.
Me encantaría saber qué opina de las medidas que he tomado. ¿Hay alguna recomendación adicional que haría? ¡Infórmenos en la sección para comentarios!
