¿Se ha levantado un día con la desagradable sorpresa de que le han ‘hackeado’ su página en WordPress? ¿Le han cancelado su hospedaje por ello? ¿Quiere tener la tranquilidad de que si vuelve a pasar, se le resuelva sin costes inesperados?
Los CMS (content management system, o sistemas de gestión de contenidos) son plataformas muy poderosas y, sobre todo, muy fáciles de usar para aquellos no tan versados en temas informáticos o de programación. Son ideales para que cualquiera pueda manejar el contenido de su página web, ya sea las secciones ‘fijas’ de la misma (productos, servicios, información de la empresa) o variables (noticias, blog).
WordPress es tan solo uno de los muchos CMS existentes en la actualidad. Joomla es también una opción ampliamente extendida. Otros, como Drupal, no tienen tanta popularidad pero también lo usa un número importante de personas.
Pero como en todo orden de cosas, toda cara tiene su cruz. El hecho de ser software de código abierto significa que cualquiera puede ver cómo está programado, y los ‘hackers’ se dedican a escudriñar en el código en busca de vulnerabilidades (fallos de programación que les permitan hacer cosas distintas a las que el programador original no se dio cuenta de que se podían hacer). Cuando encuentran una, la usan para ‘inyectar’ código malicioso que les permita luego subir otras aplicaciones para enviar spam, hacer que el servidor sea parte de una red de ‘servidores atacantes’ a otro, o simplemente realizar un ‘defacement’ (cambiar la portada de la página, generalmente con un mensaje de que ‘fulanito ha hackeado esta página’).
Por eso, si alguien les garantiza y asegura que su página hecha con CMS es 100% segura, o bien miente, o bien no tiene ni idea o bien le ha otorgado una serie de restricciones tales que ni usted mismo podrá gestionar su página con normalidad. Sería como prometerle que nunca más pillará un resfriado. Si su página está ahi fuera y está hecha con un CMS, quizas hoy sea segura, pero mañana puede ser vulnerable.
Entonces, ¿qué hacer? Pues, para empezar, lo importante es reforzar la seguridad de la página del mayor número de formas posibles. Para seguir, tener siempre actualizado a la última versión tanto el corazón de WordPress (o Joomla, o Drupal) como sus “plugins”, plantillas y extensiones. Ninguna de estas partes es más importante que las otras. Hay que tenerlo todo actualizado porque la mayoría de las actualizaciones lo que hacen es solucionar fallos de seguridad, vulnerabilidades.
Cuando un hacker (entendiendo como tal ‘experto en seguridad’) detecta una vulnerabilidad en el código, la publica en foros de seguridad, avisando de ello a toda la comunidad, y ese aviso lo leen tanto los ‘buenos’ (los programadores originales) como los ‘malos’ (los que se quieren aprovechar de ello).
Por otro lado, los hackers ‘malos’ suelen tener bases de datos amplísimas de los sistemas que usan las páginas web alrededor del mundo, con lo que aunque usted se crea que es solo un pez dentro del mar, lo cierto es que lo tienen muy fácil, porque cuando sale una de esas vulnerabilidades (que generalmente no son solo un problema, sino un conjunto de ellos y se tienen que dar todas las circunstancias descritas para que funcione) lo único que tienen que hacer es probar todos los sitios web que han ido recabando en su base de datos para ver ‘en cual cuela’. Si en alguno lo hace, ya sus programas de una forma automática hacen lo que tienen que hacer: subir los programas maliciosos que luego sirvan a sus fines (spam, ataques).
Por eso, si le ha ‘tocado la china’, no sirve de nada culpar al programador original o al proveedor de Internet. Le puede pasar a cualquiera en cualquier momento, y lo más normal es que no pase. Hay cientos de miles de vulnerabilidades publicadas y muchisimos más sitios web construidos con WordPress u otro CMS, y no están siendo hackeados todos los días. Los programadores generalmente actuamos rápido para publicar las soluciones a nuestras vulnerabilidades, y los administradores de sistemas también siempre tenemos los sistemas operativos y software de servidor siempre lo más actualizados y protegidos posible.
Aún así, a veces pasa. Como reza el título, un día nos levantamos y nos han hackeado la web.
Ante una circunstancia asi es normal que no se sepa bien que hacer. Cuando el daño está ya hecho (han entrado), actualizar los plugins y el corazón del CMS puede ya no ser efectivo porque el código malicioso inyectado puede haber modificado el propio corazón, la base de datos, etc. Es muy difícil saber hasta dónde han entrado y todo lo que han hecho. Así que generalmente lo más inteligente es tirar de copia de seguridad, restaurarla y a partir de ahi, aplicar todas las actualizaciones. Pero… ¿y si su copia de seguridad estaba ya ‘infectada’? Muchas veces los hackers usan el exploit y suben de forma disimulada sus cosas, para luego usarlas una semana, un mes más tarde… y de este modo tratar de asegurar que toda copia reciente o no tan reciente que la gente guarde de sus sitios este ya comprometida también.
Afortunadamente para usted, tenemos varias soluciones, tanto preventivas como curativas. Si su sitio construido con WordPress ha sido atacado o comprometido, podremos ayudarle a resolver su problema.
Seguro anti-hacking WordPress por 25€/mes*, que incluye:
- Sitios WordPress hasta 1GB de almacenamiento, 5€/mes por GB adicional.
- Sólo para clientes hospedados en nuestros servidores (podemos transferir su sitio a nuestros servidores con garantías y de forma totalmente gratuita)
- Refuerzo de seguridad activo y pasivo. Revisión quincenal de últimas actualizaciones y aplicación de las mismas.
- Aviso de actualizaciones de plugins o temas no públicos.
- 4 backups del sitio (uno de ellos a día de comenzar el contrato y 3 variables: cada dos días, cada semana y cada mes)
- Cobertura 100% en número de horas trabajadas en tareas de investigación, limpieza o restauración de datos en caso de hackeo.
Revisión e investigación de causas de hackeo desde 35€/hora que incluye:
- Para sitios sin nuestra cobertura anti-hacking, hospedados con nosotros o en proveedores ajenos.
- Revisión del sitio e investigación de las causas subyacentes (suficiente 1h en la mayoría de los casos)
- Diagnóstico, informe de resultado y recomendación de acciones a tomar
Limpieza WordPress desde 55€/hora que incluye:
- Usado tras la revisión y diagnóstico, para sitios sin nuestra cobertura anti-hacking.
- Trabajos de limpieza de código, base de datos y sistemas de archivos (de media suele llevar de 1 a 2 horas)
- Instalación de herramientas clave de refuerzo de seguridad y actualización de todo el sistema.
- Recomendaciones al cliente para tratar de evitar que surja el mismo problema u otros.
¿Quiere, pues, dormir tranquilo?
Deje que nosotros cuidemos de su WordPress. No podemos asegurarle que no se lo hackearán, pero sí podemos hacer todo lo posible porque eso no ocurra, y si ocurre, arreglarlo sin coste adicional para usted, con prioridad absoluta, y tratando siempre de preservar sus últimos datos.
Y si antes de que contrate ha pasado ya, como puede ver recuperar el control sobre su WordPress no requiere tampoco de una gran inversión.
Así que, si su sitio ha sido comprometido, llamenos ahora al 902179237 o al 607654483, escribanos a info@sycer.com o cumplimente el siguiente formulario. Sabemos que su problema es urgente, así que nos pondremos en marcha a la mayor celeridad. Nos comprometemos a hacer un informe previo de la situación en menos de 24h, y siempre que sea posible, trataremos de presupuestarle el total de horas que llevará de investigación y de limpieza.
Español
Nederlands
English
Français
Deutsch
Italiano
Português
Русский