Cómo prevenir y solucionar un hackeo en Wordpress
Cuando nuestro sitio web basado en WordPress ha sido atacado, son muchas las preguntas que surgen: ¿por qué han hackeado mi WordPress?, ¿cómo hago para evitar que suceda de nuevo?, ¿cómo puedo limpiar mi sitio web? y ¿cuánto tiempo va a costar?
Estas preguntas no tienen una respuesta exacta, ya que puede haber multitud de causas por las que hemos sufrido un hackeo en WordPress.
¿Cómo funciona WordPress?
En primer lugar, es esencial entender qué es WordPress. Se trata del sistema gestor de contenidos líder, ya que el 38% de los sitios web del mundo han sido creados con él. Además, es un software de código abierto gratuito en el que participan multitud de personas aportando código, traducciones o pruebas.
Debemos entender que WordPress lo desarrollan cientos de programadores de todo el mundo y eso produce que, en muchas ocasiones, pueda haber errores o fallos de seguridad.
Además de las pérdidas financieras y de datos, sufrir un hackeo en WordPress afectará a la autoridad del sitio web y a la optimización en motores de búsqueda (SEO).
Causas principales de un hackeo en WordPress
Las razones más comunes detrás de un hackeo en WordPress son las contraseñas débiles, los sitios web obsoletos con versiones de WordPress, themes y plugins desactualizados o los problemas con los archivos principales.
Credenciales de inicio débiles
Aunque las contraseñas difíciles no son garantía de inmunidad ante hackeos en WordPress, es cierto que añaden una capa extra de seguridad a la web. Es necesario tener una contraseña segura no sólo en la cuenta de administrador de WordPress, si no para todos los usuarios y aspectos del sitio web, como FTP y hosting.
Software obsoleto
Los plugins y temas de WordPress desactualizados pueden introducir vulnerabilidades que generan brechas de seguridad en nuestro sitio web.
Para el buen funcionamiento de la web, se aconseja estar siempre pendiente de las actualizaciones que salgan en los plugins instalados, ya que normalmente vienen con parches de seguridad que solucionan vulnerabilidades de las versiones anteriores.
Tener muchos plugins implica una mayor dedicación, que, de ser insuficiente, podría crear un agujero de seguridad que permita la entrada de virus en nuestra web.
Código deficiente del sitio web
Los plugins y temas de fuentes sin acreditar pueden contener un código deficiente que aumente el riesgo de sufrir un hackeo en WordPress. Para adquirir plugins y temas de calidad, puedes visitar el repositorio oficial de WordPress o marketplaces de confianza que ofrezcan actualizaciones regularmente y soporte técnico.
Actualizaciones de WordPress y plugins
Como hemos mencionado, es importante tener actualizado WordPress en la última versión estable para proteger el sitio web de hackeos.
Intentaremos hacer esto regularmente y no esperar largos periodos de tiempo, para que el paso entre versiones no sea muy grande.
Hay tres tipos de actualizaciones:
- Cuando sale una actualización mayor, por ejemplo, WordPress 6.0 (suelen ser versiones de un dígito: 4, 5,6…), es conveniente esperar unas semanas a que esté perfectamente testeado y se hayan corregido los posibles errores e incompatibilidades que genere esta versión. Habitualmente, es recomendable esperar a la versión siguiente de la rama, en nuestro ejemplo, la 6.1. La web, en términos de seguridad, va a estar cubierta mientras esperamos a esta versión “6.1” debido a que WordPress saca las actualizaciones de seguridad para un gran número de ramas anteriores a la actual.
- Cuando sale una actualización de grado medio dentro de la rama, por ejemplo, la versión 6.3, 6.4, o la reciente 6.5, etc. Se puede actualizar sin esperas siempre que, tras la actualización, se realice una revisión profunda de la web, tanto interna (backend) como externa (frontend). Esto ayudará a detectar si se ha producido algún tipo de inconveniencia con alguno de los plugins instalados.
- Cuando se trata de una actualización menor, normalmente de seguridad y mantenimiento, por ejemplo, WordPress 6.5.2, podemos actualizar sin esperas. Esto se debe a que el riesgo de incompatibilidades con las funcionalidades de nuestra web es mínimo. Además, nos permite aseguramos de que se hayan corregido bugs importantes o brechas de seguridad.
Recomendamos hacer una copia de seguridad de los archivos y la base de datos antes de instalar actualizaciones. Lo más aconsejable es tenerlas con nuestro proveedor de hosting, ya que nos resultará más sencillo volver a restaurar en un punto anterior.
Es fundamental realizar mantenimiento web preventivo regularmente para minimizar el riesgo de que nuestra web sea atacada y quede inoperativa durante horas o incluso días. Los profesionales especializados en mantenimiento web llevarán a cabo la actualización del CMS y los plugins, además de la revisión de la configuración de seguridad de la web.
Plugins de seguridad de WordPress
Los plugins completan las funcionalidades de nuestra web, y en concreto, los plugins de seguridad pueden ayudarnos a evitar un hackeo en WordPress. Incluyen funciones de supervisión de cambios, escáner de malware y limitación de inicio de sesión.
A continuación, te recomendamos dos plugins de seguridad:
Solid Security
Antes iThemes Security, es un plugin cuya configuración es sencilla, pero abarca un gran número de áreas de seguridad de nuestra web. Además, nos muestra datos sobre escaneo de malware, usuarios excluidos y bloqueos.
Entre sus opciones principales, tenemos la posibilidad de bloquear servidores y usuarios que intentan acceder a nuestro sitio. Esta funcionalidad permite establecer una lista de usuarios reincidentes que pueden ser permanentemente bloqueados y usar listas predefinidas con IPs que han sido denunciadas por actividad maliciosa.
También podemos establecer reglas de cortafuegos y añadir protección contra ataques de fuerza bruta, tanto local como en red.
Entre sus herramientas adicionales, podemos establecer login de dos factores y cambiar la ruta de acceso a nuestro WordPress.
Por último, permite estar al tanto de todo lo que ocurre en nuestra web a través de un sistema de notificaciones. Este plugin alerta sobre cambios en los archivos e intentos fallidos de acceso al sitio web.
Wordfence Security
Uno de los plugins más populares de WordPress. Este plugin freemium ofrece características de seguridad como un firewall de sitio web y una terminología fácil de utilizar para principiantes.
Analiza los problemas de seguridad y envía alertas por correo en caso de actividad sospechosa. Además, permite centralizar reglas de bloqueo personalizadas y ver los inicios de sesión de los usuarios en vivo.
Señales de un sitio web WordPress hackeado
Si te han hackeado tu sitio de WordPress, estas pueden ser alguna de las señales de mal funcionamiento que notarás:
- No se puede iniciar sesión o acceder al panel de Administración de WordPress.
- Las páginas de la web presentan cambios en contenido y diseño que no has realizado.
- El sitio web redirige a otra URL o envía emails de spam.
- Cuando los usuarios buscan o intentan acceder a la web, aparece una advertencia de seguridad en el navegador.
- El proveedor de hosting o el plugin de seguridad advierten de actividad inusual o cambios en la cuenta.
- Se ha añadido un nuevo miembro con derecho de administrador.
- Hay una caída repentina del tráfico de la web.
Mi web está hackeada, ¿qué hago?
Cuando hay un hackeo en WordPress, el primer paso es poner el sitio web en modo mantenimiento para impedir que los usuarios abran la web hackeada, protegiendo sus dispositivos y nuestra credibilidad de marca.
El siguiente paso es cambiar inmediatamente las contraseñas tanto de WordPress, como de usuarios FTP y base de datos, para evitar que la persona que ha hackeado nuestro sitio web pueda acceder de nuevo.
A partir de ahí, hay que buscar el origen de la vulnerabilidad y corregirla. Estos son algunos de los pasos que te ayudarán a solucionar este problema: limpiar archivos no deseados, sanear el núcleo de WordPress con una instalación actualizada y limpia, eliminar usuarios, actualizar plugins y temas y limpiar la base de datos y el sitemap.
Como hemos comentado anteriormente, son muchos los posibles focos de entrada de un virus (nos hemos encontrado webs con más de 100 plugins instalados). De inicio, desconocemos qué es lo que ha podido ocurrir y dónde está el foco de infección, por ello, no podemos dar un tiempo exacto o un presupuesto cerrado para solucionarlo.
Una vez nos aseguremos de que todo está limpio, actualizado y funcionando correctamente, debemos instalar y endurecer las medidas de seguridad para evitar, en la medida de lo posible, que vuelva a ocurrir un hackeo en WordPress. Puede ser a través de un firewall perimetral, plugins de seguridad o mejoras en nuestro hosting. ¡Nuestro equipo de programación y diseño web puede ayudarte en este proceso!
(Publicado el 20-05-2024)