Todos los días se escucha que sitios web populares fueron hackeados o información importante está en riesgo de ser tomada por hackers, y esto puede aterrar a todo mundo, incluyendote a ti y a mi.
En los últimos días se viene hablando de la importancia de tomar más enserio el tema de seguridad en wordpress, pero muchas veces creemos que esto podría estar sucediendo a nuestro vecino, al del blog de la par.
Casos de la vida real, sacados de una película.
Si al igual que tu nunca imagine vivir tan cerca un ataque de hacker “black hat” (persona con conocimientos de seguridad informática que pudieran entrar a tu sitio web y tomar control total de tus datos). Dos semanas atrás una amiga llama a mi celular y con tono de voz afligida me dice: Byron estoy en problemas necesito tu ayuda, el dia miercoles por la noche recibí un correo de mi correo personal diciendo “tengo control total de tu sitio web, base de datos de tus clientes, tarjetas de crédito, direcciones, numeros de identificacion, tienes que enviarme $5000 para el dia de mañana o de lo contrario vendere los datos de tarjetas de crédito de tus clientes.
Recibiendo el correo electrónico desde su correo personal le pareció algo extraño, llegó a pensar que únicamente era sp@m o algo para no alarmarse, al intentar ingresar a su web, se encontró que datos de acceso habían cambiado, intento restaurar el password siendo un intento fracasado, ya que habían tomado control de los email que tenía asociados con la instalacion wordpress, después de eso tomó la decisión de llamarme.
Como podre ayudarle me pregunte? sencillo llamar al hosting y que cambien los datos desde la base de datos, SORPRESA los datos de acceso habían cambiado, INCLUSO hasta el nombre del propietario. al llamar al hosting “GoDaddy” le confirmaron que sí efectivamente ellos tenían los registros de todo este proceso mas no podían ayudarle hasta que ella enviara una copia de un documento de identificación válido. lo cual sin pensarlo se realizó.
Dia 2 de nuevo se recibe otro mail diciendo que si no depositan el dinero el mismo día, se iniciará la venta de la información adjuntando algunos de errores de seguridad que el diseñador de la pagina habia cometido en cuestión de bugs de seguridad.por sólo mencionar unos.
- Contraseñas sencillas, utilizando nombres fechas de nacimiento.
- Plugins inactivos y sin actualizar.
- Versión de wordpress core sin actualización
- Temas inactivos
- Falta de Certificados SSL
Parece película cierto? pues es real, y el final no fue tan feliz ya que al final sin mucho que hacer ella decide pagar la cantidad de $5000, lo cual no le asegura que no vayan a vender la información, y que ellos no lo intenten hacer de nuevo.
Porque deberías de tomar más enserio la seguridad en wordpress?
Porque hablar tanto de eso? lo que a mi amiga le sucedió podría pasarte a ti o a mi, cierto? el tener un blog en wordpress es un ventaja en uso, rapidez de creación y manejo de contenido, pero Todo poder lleva una gran Responsabilidad, diria spiderman, es por eso que la seguridad de tu wordpress es tu responsabilidad.
Y ahora al punto, aqui te dejo 10 puntos básicos de seguridad que yes or si, deberias de implementar en tu wordpress.
1. Contraseñas Seguras es casi cultura general la importancia de utilizar una contraseña fuerte, aquí te dejo algunos consejos para que tomes acción.
- Utiliza diferentes password en todas partes, si supongo que tienes 3 correos, facebook, gmail, twitter etc etc y es mucho más fácil tener unas dos o tres para todo, mas sin embargo te recomiendo no utilizar las misma, uno de los errores que el hacker menciona es que mi amiga utilizó la misma contraseña de email personal para email corporativo y otros accesos.
- Cambia tu password con frecuencia. no diario por supuesto, pero si cambias tu password con regularidad ayudará a que estes mas seguro.
- No utilices password de sentido comun, Password123, lagatita123 etc, puede que te rias y digas eso es obvio pero en su mayoría miles o millones siguen ese patrón aun, no me digas que tú también?.
2. Actualizaciones WordPress, mantener tu versión de wordpress actualizado, ayudará a mejorar la seguridad punto y aparte.
3. Usuario Admin. Trada de no nombre tu usuario únicamente Admin, utiliza tu nombre y protege esta cuenta con una contraseña segura,
4.Protege tu sitio web de “ataques de fuerza bruta”, existe la opción de instalar programas para limitar los intentos de acceso a wordpress, como por ejemplo Limit Login Attempts
5.Monitores de malware, es importante detectar a tiempo si tu sitio web está infectado por algún malware existen empresas que lo pueden realizar por ti tales como Sucuri.
6. Monitorear no es la solución pero, Si detectas algún malware te recomiendo limpiar tu sitio lo antes posible, para esto deberias de buscar herramientas profesionales, en algunos casos tu proveedor de hosting puede que te ofrezca este servicio, de lo contrario Sucuri será tu mejor opcion.
7. Elige el hosting correcto, muy importante, ya que usualmente por cuestiones de costos llegamos a utilizar hosting compartido, quiere decir que tu sitio web esta alojado junto a muchos otros sitios web, que podrían estar infectados, un cuento largo a seguir los cuales yo podría recomendarte son WebSynthesis y WP Engine, el costo puede ser alto para algunos pero es más que un hosting, tema que tocaré en otros casos. por ninguna razon utilices Go Daddy.
8. Limpia tu sitio web como limpiarás tu Cocina, hoy en día WordPress posee miles, si no es que millones de plugins y temas diferentes, muchos de ellos lucen espectaculares, pero pueden ser la puerta más grande para que hackers “black hat” puedan infectar tu sitio web, Utiliza lo que realmente necesites y verifica la empresa que construye estos plugins y temas. yo voy por Genesis Framework es mi mejor recomendación.
9.Controla la información importante, en tu instalación de wordpress existen archivos que poseen información acerca de qué versión de wordpress utilizamos, entre otros datos importantes, te recomiendo limpiar los archivos, readme.html phpinfo.php o i.php.
10. MANTENTE ALERTA, informate acerca de qué pasa con la seguridad de wordpress (en mi blog comparto info actualizada acerca de) , esto te dará la ayuda de saber que andan haciendo los maliciosos Crackers( nombre correcto aquellos que entran a tu sitio web sin tu permiso).