🛠Reparar

Que se aprende al arreglar al mismo tiempo 5 webs hackeadas

Vas a ser hackeado no lo dudes.

¿Cómo se hackean las webs?
Yo sé que hay 60 millones de wordpress instalados. Con un programa trato de probar en cada dominio q encuentro la direccion dominio.com/wp-admin

Una vez, confirmo que es un wordpress, simplemente tengo que ir probando todos los bugs conocidos. No está actualizado este plugin? Pues por aquí puedo entrar.

Actualizar WordPress y plugins es lo más importante. Cuando se encuentran vulnerabilidades, se comparten y difunden, todo el mundo sabe que la versión X.Y. tiene un fallo en la página de login, que al hacer Z, entras.

Todos los WordPress reciben un bombardeo constante de bots, automatizaciones, bots de buscadores, es infinito.

También es cierto, que en las 5 webs que arreglamos, el diseñador, programador o agencia, habian puesto el plugin EZPhp, que permite ejecutar PHP en los posts. Semejante cagada … no debería de existir ni el plugin. Por ejemplo con un comentario podias añadir PHP. Lo que hicieron los hackers, fue, subir un archivo php a través de una vulnerabilidad en un plugin no actualizado. Luego con su /darkshell.php cargado, ya iban directamente a la ruta con su navegador y tenian un form que les permitia ver todos los archivos y subir nuevos. Tenian acceso total al wp-config, podían ver las contraseñas en texto plano.

Hicimos mucha limpieza, el plugin WP Malware limpió bastante, dreamhost nos pasó lista de archivos infectados que también limpié. Algo se perdió pero 90% estaba intacto.

No tardamos mucho, en el mismo dia ya teniamos los sitios online. Fue luego cuando aplicamos nuestro plan de mantenimiento gratuíto: optimización, seguridad, actualizaciones y backups, y nos pasamos un buen rato configurando firewalls, el WP Security, revisando permisos de archivos y añadiendo CAPTCHA en todo formulario de login.

¿Que más aprendimos?
Mucho mejor prevenir, que curar. Instala YA MISMO (por el amor de diós) los plugins: WP Security y Updraft Plus.
Updraft plus te guarda backups en Google Drive o Dropbox, y WP Security si recorres toda la configuración te libras de cualquier ataque, garantizado y prometido. Luego manten los plugins actualizados.

Yo diría que es mejor sacrificar cosas por tener seguridad. Si tu tienes una tienda online, puedes seguir vendiendo sin un icono de instagram, o alguna cosa que podría ser mejor, pero si está caída, NADA que hacer.

Wp Security protegerá el sitio y en caso de que no lo consiga, los backups siempre estarán allí.

Beto López
Programador de páginas web "full stack" especializado en el mantenimiento y corrección de errores de Wordpress, Prestashop, HTML, CSS, Javascript, Php y Mysql. También colaborador de proyectos open source. Linkedin  contacto@phpninja.info twitter @betoayesa.


Nosotros te contactamos