Mi blog, Leaving Work Behind, fue pirateado en abril. Es algo sobre lo que lees con bastante frecuencia pero que nunca esperas que te suceda. usted hasta que sea demasiado tarde. Para ser honesto, no me veía a mí mismo como un candidato principal: he escrito sobre la seguridad de WordPress con la suficiente frecuencia como para tener implementadas muchas medidas preventivas. Sin embargo, es evidente que esas medidas no eran lo suficientemente completas.
Ser pirateado es algo por lo que no quiero volver a pasar. Hay tantas razones por las que el tiempo de inactividad de un sitio web es malo para su blog / negocio: si bien la pérdida de tráfico y los ingresos potenciales son los dos más obvios, no puedo subestimar la cantidad de tiempo que perdí para restaurar el sitio y la cantidad de estrés que genera. Me causó.
En esta publicación, quiero revelar lo que sucedió con mi sitio y hacerle saber lo que he hecho para aumentar la seguridad de mi sitio desde entonces.
Ser pirateado: mi historia
Me desperté el jueves 18 de abril y descubrí que mi sitio estaba caído y lo había estado durante unas horas. Inmediatamente me comuniqué con mi proveedor de alojamiento, Westhost, quien me informó que su firewall ModSecurity había detectado actividad inusual en mi sitio y lo había cerrado de inmediato como medida de precaución. Al ejecutar una restauración inicial en el sitio, pude ver de inmediato que había sido pirateado. Si bien los cambios fueron relativamente sutiles, estaba bastante claro que algunos tipos sin escrúpulos habían estado husmeando.
Resulta que una gran cantidad de sitios de WordPress también habían sido pirateados, y Westhost tenía mucho trabajo. Afortunadamente, realizan copias de seguridad diarias del sitio y, a la tarde siguiente, volví a estar en línea con una versión de mi sitio que era lo más actual posible.
Este es el efecto que tuvo el truco en mi tráfico:
Para poner el gráfico anterior en perspectiva, el tráfico de esa semana disminuyó ~ 30% en comparación con la semana anterior. En teoría, eso significaba una caída del 30% en los ingresos.
Es justo decir que estaba ansioso por asegurarme (lo mejor de mis habilidades) de que tal hack no pudiera repetirse. Actué de inmediato.
Mis pasos inmediatos
Lo primero que hice fue verificar que había estado siguiendo los pasos descritos en mi publicación reciente sobre cómo proteger su sitio web de WordPress.
Estos fueron los fundamentos absolutos: actualizar mis temas y complementos, asegurarme de tener una copia de seguridad reciente, asegurarme de que mi perfil predeterminado no se llamara «admin», cambiar mi contraseña y verificar si hay complementos de seguridad en mi sitio. Con esos elementos en su lugar, era hora de seguir adelante.
No me hago ilusiones de que mi sitio ahora sea 100% seguro; después de todo, no existe tal cosa como un sitio 100% seguro. Habiendo dicho eso, sé que es mucho más seguro que antes y continuaré investigando las medidas de seguridad del sitio ahora y en el futuro. Hasta ahora, esto es lo que he hecho.
1. Instalé VaultPress
Para aquellos de ustedes que no saben VaultPress es una solución de seguridad y copia de seguridad totalmente automatizada para WordPress. Es propiedad de Automático, los «propietarios» de facto de WordPress.
Después de haber estado usando VaultPress durante unos días, no puedo creer que fuera tan tacaño como para no haberme comprado el servicio de antemano. Su paquete básico comienza en $ 15 por mes; lo pagaré por tranquilidad cualquier día de la semana.
De hecho, elegí ir con su paquete Premium ($ 40 por mes) que incluye:
- Copia de seguridad en tiempo real
- Restauración automatizada del sitio con un clic
- Archivos, estadísticas y registro de actividad
- Recuperación ante desastres prioritaria
- Asistencia prioritaria de «conserjería»
- Escaneo de seguridad diario
- Notificaciones de seguridad
- Fijadores de un clic para amenazas a la seguridad
- Asistencia para la migración del sitio
Básicamente, te tienen cubierto.
Si bien VaultPress no puede garantizar la seguridad de su sitio contra piratas informáticos, prácticamente pueden Garantice que su sitio se puede restaurar con relativa facilidad. Hay algo muy relajante en ver instantáneas por hora de sus sitios almacenadas en los servidores de VaultPress:
Si bien hay muchas soluciones de respaldo gratuitas, no creo que nada supere la relativa tranquilidad que obtengo de VaultPress. Tienen 90 instantáneas de mi sitio disponibles para restaurar en este momento, de las cuales la más reciente tiene solo veinte minutos. Sé que mi sitio está seguro en sus manos.
2. Administré mis perfiles
Un pirata informático puede acceder a su sitio desde cualquiera de los perfiles de administrador dentro de su backend de WordPress, no solo el usted usar. Cuando cargué mis perfiles, pude ver que tenía otros tres perfiles: un perfil de póster invitado y otros dos perfiles para personas (confiables) a las que les había dado acceso a mi sitio.
Comencé cerrando esos dos perfiles y cambiando la función del perfil de póster invitado a Autor. Esto es algo que le aconsejaría que hiciera: solo cree tantos perfiles de administrador como sea absolutamente necesario. Además, por supuesto, debe asegurarse de que cada cuenta sea una contraseña única y aleatoria adecuada y que dichas contraseñas se cambien regularmente.
Hay ocasiones en las que deberá permitir que las personas (como su diseñador web) accedan a su sitio. En tales situaciones, le aconsejo que cree un perfil para ellos con una nueva contraseña y luego elimine ese perfil tan pronto como finalice su necesidad.
Piense siempre en los puntos de entrada de su sitio y si son estrictamente necesarios.
3. Cambié mis contraseñas
Puede pensar que esto fue un movimiento obvio, pero en realidad no estoy hablando de mis contraseñas de WordPress. Aunque yo hizo cambiarlos, también estaba seguro de cambiar todas las contraseñas a cuentas particularmente sensibles, es decir:
- Gmail
- Gorjeo
- Mi cuenta de alojamiento
- Asociados de Amazon
- Etc.
Si se está preguntando por qué hice este movimiento, solo considere la historia de Mat Honan, cuya vida digital entera fue destruida por piratas informáticos que originalmente piratearon su cuenta de Amazon. Si de alguna manera se siente indiferente acerca de la seguridad en línea, entonces el artículo anterior es una lectura obligada.
Considere esta cadena simple: un pirata informático obtiene acceso a su cuenta de correo electrónico desde la cual envió recientemente un correo electrónico a su diseñador web con los detalles de inicio de sesión para su sitio de WordPress. Eso es todo lo que necesitan para acceder a su sitio y hacer lo que les plazca. Hackear puede ser así de elemental.
4. Actualicé a SFTP
Aquí hay algo que quizás no sepa: cualquier dato que transfiera a través de FTP (incluido su nombre de usuario y contraseña) está completamente sin cifrar. Por lo tanto, cualquier persona que pueda interceptar transferencias FTP con éxito podrá recoger sus datos de inicio de sesión y acceder a su cuenta.
Esto no solo les permite agregar y eliminar archivos como mejor les parezca, sino que también pueden obtener acceso a su base de datos de WordPress a través de phpMyAdmin y, en última instancia, iniciar sesión en su sitio.
En pocas palabras, no importa qué tan seguro sea el acceso directo a su sitio de WordPress si los piratas informáticos pueden ingresar a través de FTP. Como tal, le recomiendo que desactive el acceso FTP a su sitio y transfiera archivos utilizando el protocolo SFTP alternativo, que lo hace cifrar datos. Cualquier buen proveedor de hosting debería poder ayudarte con esto.
Hablando de proveedores de hosting …
5. Considere la idoneidad de su solución de alojamiento
Me alegro de estar con Westhost. Fue su cortafuegos ModSecurity el que detectó el hack en primer lugar y cerró mi sitio antes de que se pudieran producir daños graves. También realizan copias de seguridad diarias automáticas (que se utilizaron para restaurar el sitio) y cuentan con un excelente soporte al cliente para arrancar.
¿Puede decir lo mismo de su proveedor de alojamiento? Hay tantas opciones excelentes por ahí que estaría loco si se quedara con un proveedor con el que no está satisfecho. Podría considerar cambiar a una de las soluciones de alojamiento administrado (como WPEngine) como lo hizo Themelocal recientemente.
Cualquiera que sea su elección, asegúrese de preguntar por las medidas de seguridad que toman. Considere las medidas que he tomado anteriormente y asegúrese de que sean compatibles con su solución de alojamiento.
La moraleja de la historia es esta: no comprometa la seguridad. En última instancia, mantener su sitio seguro es más importante que cualquier cosa demás. No tiene sentido tener un gran contenido o un diseño nuevo y llamativo si nadie puede verlo porque su sitio ha sido destrozado por hackers despiadados.
Los tipos nefastos que no tienen nada mejor que hacer con sus vidas que piratear los sitios de las personas no van a desaparecer pronto. Cuanto antes lo acepte y tome las medidas razonables para proteger su sitio contra ataques, mejor será la seguridad a largo plazo de sus activos en línea.
Me encantaría saber qué opina de las medidas que he tomado. ¿Hay alguna recomendación adicional que haría? ¡Infórmenos en la sección para comentarios!