Diario de Abordo

Que se aprende al arreglar al mismo tiempo 5 webs hackeadas

Vas a ser hackeado no lo dudes.

¿Cómo se hackean las webs?
Yo sé que hay 60 millones de wordpress instalados. Con un programa trato de probar en cada dominio q encuentro la direccion dominio.com/wp-admin

Una vez, confirmo que es un wordpress, simplemente tengo que ir probando todos los bugs conocidos. No está actualizado este plugin? Pues por aquí puedo entrar.

Actualizar WordPress y plugins es lo más importante. Cuando se encuentran vulnerabilidades, se comparten y difunden, todo el mundo sabe que la versión X.Y. tiene un fallo en la página de login, que al hacer Z, entras.

Todos los WordPress reciben un bombardeo constante de bots, automatizaciones, bots de buscadores, es infinito.

También es cierto, que en las 5 webs que arreglamos, el diseñador, programador o agencia, habian puesto el plugin EZPhp, que permite ejecutar PHP en los posts. Semejante cagada … no debería de existir ni el plugin. Por ejemplo con un comentario podias añadir PHP. Lo que hicieron los hackers, fue, subir un archivo php a través de una vulnerabilidad en un plugin no actualizado. Luego con su /darkshell.php cargado, ya iban directamente a la ruta con su navegador y tenian un form que les permitia ver todos los archivos y subir nuevos. Tenian acceso total al wp-config, podían ver las contraseñas en texto plano.

Optimización WordPress

Hicimos mucha limpieza, el plugin WP Malware limpió bastante, dreamhost nos pasó lista de archivos infectados que también limpié. Algo se perdió pero 90% estaba intacto.

No tardamos mucho, en el mismo dia ya teniamos los sitios online. Fue luego cuando aplicamos nuestro plan de mantenimiento gratuíto: optimización, seguridad, actualizaciones y backups, y nos pasamos un buen rato configurando firewalls, el WP Security, revisando permisos de archivos y añadiendo CAPTCHA en todo formulario de login.

¿Que más aprendimos?
Mucho mejor prevenir, que curar. Instala YA MISMO (por el amor de diós) los plugins: WP Security y Updraft Plus.
Updraft plus te guarda backups en Google Drive o Dropbox, y WP Security si recorres toda la configuración te libras de cualquier ataque, garantizado y prometido. Luego manten los plugins actualizados.

Yo diría que es mejor sacrificar cosas por tener seguridad. Si tu tienes una tienda online, puedes seguir vendiendo sin un icono de instagram, o alguna cosa que podría ser mejor, pero si está caída, NADA que hacer.

Wp Security protegerá el sitio y en caso de que no lo consiga, los backups siempre estarán allí.

Beto López
Ingeniero de Software y programador web "Full stack" que ha dejado una startup dónde los miércoles eran día de yoga, para construir un servicio de soporte técnico estandarizado low cost, más profundo que el que el servicio que ofrecen las compañias de hosting, para particulares, autónomos y empresas digitales. Web Personal, LinkedinTwitter.


Que se aprende al arreglar al mismo tiempo 5 webs hackeadas
Te respondemos rapidamente
Contacta

Atención y comunicación
Estamos aquí para ayudar. El responsable de ventas también es programador. Incluso coge el teléfono y responde por whatsapp

Expertos en WordPress y Prestashop
Programadores expertos de cada tema para resolver mejor y más rápido. Project Manager + Programador + Q/A Testing

24/7/365
Porqué los problemas aparecen en los peores momentos. De Lunes a Viernes de 9h a 18h contestamos más rápido

Do NOT follow this link or you will be banned from the site!
Php Ninja