Si conoces a alguien o peor aún, si tu sitio está ante la situación de un WordPress hackeado, la primera reacción es entrar en pánico. No obstante, después de estos primeros momentos de angustia hay que tomar cartas en el asunto y poder recuperar el control del mismo y hacerlo más seguro.
En este post vamos a guiarte por el proceso de recuperación de tu web y darte unas herramientas para la seguridad futura del mismo.
WordPress hackeado: ¿Tu sitio está en riesgo?
¿Algo va mal con tu sitio WordPress y crees que no se está comportando como debería? Vamos primero a revisar algunas señales que puedes estar advirtiendo de nuestro WordPress hackeado:
- Problemas para iniciar sesión. Si realmente no has olvidado la contraseña o si esto ha pasado y no puedes recuperarla enviando un correo de ayuda a tu servidor de hosting, entonces puedes estar ante un acto de hackeo.
- Cambios en el diseño o maquetación. Es otro síntoma inequívoco que alguien ha entrado a tu web y ha realizado cambios sin tu permiso. Chequea con tus usuarios autorizados antes de emprender acciones.
- Redirección a otros sitios. Otro síntoma que tu sitio o el servidor están en problemas y se debe resolver cuanto antes.
- Advertencia del navegador de un sitio no seguro a cualquiera que quiera acceder al mismo. Esta es una clara señal de advertencia tanto para el usuario como para el propio buscador. Hacer un diagnóstico que ayude a determinar el error es lo que se exige en un primer momento.
- El propio Google te advierte cuando intentas buscar tu sitio. Esto es un síntoma claro de que el mapa de tu sistema puede haber sido hackeado.
- Recibes notificaciones de tu plugin respecto a un cambio inesperado o infracción.
- Informe del proveedor de hosting sobre una actividad inusual. Esto es otro elemento a tener presente y requiere que estés siempre pendiente de los correos que tu proveedor envía a tu mail.
Por qué tu sitio de WordPress pudo ser objetivo de hackeos
Los problemas de hackeo de las webs y blogs se dan por innumerables razones. Una de ellas apunta a la inseguridad del propio espacio. Veamos algunas de las situaciones que dan pie a un WordPress hackeado:
Contraseñas inseguras
De las causas más comunes. La recomendación es crear una altamente fuerte para asegurar tanto para el administrador como para todos los que trabajan en ella.
Software obsoleto
La falta de actualización de tus temas, plugins y la propia versión de tu WordPress hace a tu sitio vulnerable. Por ello es tan importante hacer siempre las actualizaciones que tu sistema sugiere.
Código inseguro
Cuando instalas complementos, plugins o temas poco confiables, abres la puerta a un posible WordPress hackeado. No olvides buscar los directorios oficiales cuando requieras instalar estos, especialmente los tipos free.
Incluso los plugins premium deben ser verificados en su reputación y seguridad. Todo para hacer de tu sitio un espacio imposible de plagio por estas vías.
¿Cómo se hackea WordPress?
Algunas de las rutas que toman los hackers al momento de querer hacerse de tu sitio web resultan sencillas para ellos y poco conocidas por el usuario inexperto. Veamos algunas muestras de ello:
- Desde puertas traseras: en este caso hacen uso de scripts o archivos ocultos.
- Hacks farmacéuticos: para esta actividad, los hackers se valen de código malicioso en versiones obsoletas del propio WordPress.
- Inicio de sesión por contraseñas débiles: es una de las más comunes al automatizar los sistemas que prueban con las contraseñas más débiles o usadas por todos.
- Redireccionamiento malicioso: esta es otra forma muy común al instalar redireccionamientos maliciosos desde tu sitio.
- Cross-site scripting (XSS): una de las fórmulas más comunes de hackeo. En este caso usando scripts en los plugins que se instalan enviando un código malicioso al navegador del usuario WordPress.
- Denegación de servicio (DoS): otra fórmula de los hackers. En este caso usa fallas en el código de la web para abrumar un sitio y que ya no funcione.
Conociendo esto puedes estar más alerta sobre cómo proteger tu sitio. Esta es una manera de concienciar sobre tus claves y especialmente la instalación de plugins.
WordPress hackeado: el paso a paso para recuperarlo
En el caso de que tu sitio haya sido hackeado, hay algunas recomendaciones para actuar y recuperar este. Veamos:
Adiós pánico, bienvenido el razonamiento y la acción
Tener la cabeza clara para diagnosticar el problema es lo que se necesita para solucionar esta situación. Si en un primer momento no puedes o no sabes cómo actuar, mi consejo principal es poner el sitio en modo “Mantenimiento”.
Esto te permite no solo dejar el lapso de tiempo para indagar qué ha pasado, a la vez impides que tus visitantes estén en riesgo. En los casos en los que tengas problemas para acceder a tu sitio, una vez que puedas entrar al mismo, debes hacer esto de manera inmediata.
Restablecer contraseñas
El siguiente paso es cambiar todas las contraseñas de tu sitio. Incluso hacer cambios en la clave que has asignado en tu servidor o proveedor de alojamiento es prioritario. Igualmente recomiendo restablecer la contraseña SFTP y de la base de datos.
Actualizar plugins y plantillas
Otro paso fundamental es actualizar los plugins y temas. Recuerda hacer esto desde el Panel de control > Actualizaciones. Esto resulta prioritario antes de hacer cualquier otro cambio. Todo en la búsqueda de empezar los protocolos de seguridad.
Eliminar usuarios no autorizados
Otra acción muy necesaria al poder acceder a tu sitio. Hay que revisar a los usuarios autorizados y eliminar aquellos que no reconozcas. Otra acción es revisar que las autorizaciones de cada administrador no hayan cambiado. Recordemos que esto se hace en la sección Usuarios.
Eliminar archivos no deseados
Una fabulosa idea, luego de determinar un WordPress hackeado, es constatar si hay archivos instalados que no deberían estar. La recomendación es usar el plugin WordFence que hace una revisión de tu web.
En su escaneo de tu web te indicará qué archivos están alojados y que no deberían estar en tu WordPress.
Limpiar el mapa del sitio y enviarlo a Google de nuevo
La bandera roja que los buscadores hacen de algunos sitios es debido a que el archivo sitemap.xml que se determina esté hackeado. Es necesario regenerar el mismo e informar a Google para que haga un nuevo rastreo y reconozca que tu sitio está recuperado.
Este proceso puede demorar hasta dos semanas. Sé paciente y espera que Google haga su trabajo.
Reinstalar plugins
Cuando tus plugins presentan problemas en la actualización, la recomendación es desactivar borrar y reinstalar. Si crees que el problema lo causó un plugins comprado o free es momento de obviarlo y dejar solo los que consideras seguros.
Reinstale el núcleo de WordPress
Es importante que revisemos si nuestro WordPress no está comprometido, si crees que el núcleo está afectado conviene hacer una instalación limpia de tu sitio. La recomendación es cargar un conjunto limpio de archivos de WordPress en tu SFTP
No olvides sobrescribir los archivos antiguos. Atención, no olvides hacer una copia de seguridad de los archivos wp-config.php y .htaccess.
Limpiar la base de datos
Una recomendación final es constatar que la base de datos no ha sido comprometida. Para comprobar que tu WordPress hackeado y su base de datos requieren atención, debes hacer un análisis de la misma.
En estos casos la recomendación es usar el plugin NinjaScanner que escaneará su base de datos de forma eficiente, completa y segura. Otra sugerencia es WP-Optimize que permite limpiar la base de datos y optimizarla.
Cómo evitar un sitio WordPress hackeado
Si ya has realizado tu protocolo de recuperación con las sugerencias que te he dado, es momento de hacer de tu sitio uno más seguro. Para evitar este escenario en tu futuro, aquí algunas recomendaciones:
Usar contraseñas seguras
Volvemos al principio de todo. El aplicar contraseñas fuertes tanto para el administrador, como para los usuarios es la primera barrera que evita un WordPress hackeado.
Mantén tu sitio actualizado
Volvemos a recordarte los beneficios de la actualización. Cada vez que WordPress, los plugins o plantillas muestren una actualización, debes hacerla. La importancia radica en que en ocasiones estas actualizaciones incluyen parches de seguridad que ayudan a proteger tu sitio.
Mi recomendación es habilitar las actualizaciones automáticas. Esto puede hacerse de dos formas:
- Editando el archivo wp-config.php.
- Instalando un plugin que lo haga por nosotros.
No olvidemos crear una copia de seguridad del sitio ante magnas actualizaciones. También se recomienda probar las actualizaciones en un servidor provisional.
Recuerda: no instales plugins o plantillas poco confiables
No dejes al azar estos plugins. Siempre busca lo que los usuarios opinen de ellas y recuerda que, si no las tomas del repertorio de tu WordPress, estas deben descargarse de las webs oficiales.
Los temas y plugins free debes tomarlo del directorio y nunca de terceros. Y si compras premium, la reputación de este debe cubrir todo, efectividad y seguridad.
Limpia tu instalación de WordPress
Otra recomendación es eliminar los plugins o temas que no estás usando. Además de aliviar tu sitio te servirá para garantizar la seguridad de tu sitio. No olvides que estos plugins o plantillas muy viejas pueden llegar a hacer vulnerable tu web.
Instala el SSL en su sitio
Esto es algo que no debes olvidar desde que instalas tu WordPress y los primeros plugins. El SSL ofrece seguridad a su sitio. Lo mejor de esto es que es gratis y efectivo.
Es importante saber que, si tu proveedor de alojamiento no proporciona SSL gratuito, puede recurrir a SSL Zen para agregar Let’s Encrypt SSL gratuito.
Atención: evite contratar un alojamiento barato y que no ofrezca garantías
Este es un excelente consejo para evitar un WordPress hackeado. Desde el inicio debes contar con tu empresa de servicio de hosting segura y no la más barata que consigas.
Un buen servidor de hosting te garantiza muchas cosas, además de espacio, soporte técnico y rapidez. En este caso lo que buscas es máxima seguridad para tu sitio.
Configura los cortafuegos
Otra acción que resulta muy útil para tu sitio. Un plugin Sucuri permite configurar un firewall para tu sitio. Lo beneficioso de esto es que ofrece una barrera adicional a los hackers y reduce las posibilidades de ataques a tu sitio web
Instala un complemento de seguridad
Esta es otra opción fabulosa ya que te ayudará en la notificación de cualquier actividad sospechosa en tu web. Tanto para inicios de sesión no autorizados e incluso la adición de archivos no aprobados.
En resumen, tener tu sitio seguro conlleva acciones para garantizar que, desde el inicio, este no resulte vulnerable. Como cierre, repasemos lo que debes tener presente:
- Coloca tu sitio en “Mantenimiento”.
- Restablecer todas tus contraseñas y las de los demás usuarios.
- Eliminar a cualquier usuario que no esté autorizado por ti.
- Actualiza constantemente tus plugins y temas.
- Eliminar los archivos que detectes no deseados.
- Realiza una completa limpieza de tu mapa del sitio (sitemap.xml).
- Reinstalar plugins y temas (o borra y vuelve a instalar desde cero).
- No olvides reinstalar el núcleo de WordPress.
- Realiza una limpieza de base de datos en caso de ser necesario.
- Instala tu protocolo SSL para dar más seguridad a tu sitio web.
- Contrata a proveedores de hosting que ofrezcan garantía y seguridad.
Todas estas acciones te permitirán tener el mayor grado de seguridad para tu sitio, antes de que sea víctima de un hackeo o más si ya has sido objetivo de uno.
¿Qué más puedes hacer para tener un sitio seguro? Contratar un Diseñador web WordPress profesional
Si algo puede ayudarte mis servicios de Diseñador web WordPress es a tener tu sitio web con todos los protocolos de seguridad que este requiere.
No arriesgues tu tiempo e inversión y más si no posees experiencia en WordPress. Con mis servicios de Diseñador web WordPress Freelance tienes asegurado tu espacio contra ataques.
Si ya has sido víctima de uno y requieres asistencia para recuperar tu web y hacerla segura nuevamente, también puedes contactarme. Puedo ayudarte a tener un espacio exitoso, pero, por encima de todo, invulnerable a pirateos y ataques.