Una media de 30.000 sitios web son hackeados cada día. Nuestro sitio WordPress puede ser un blanco fácil para los ataques debido a las vulnerabilidades de plugins, contraseñas débiles y software obsoleto. Mantener nuestro blog a salvo de piratas informáticos y evitar males mayores puede ser complicado, para que tengas una guía útil sobre el tema, hemos preparado el siguiente post titulado Evitar WordPress hackeado Solución.
Después de haber sufrido el primer «hackeo» en nuestro blog TICExperto, vamos a detallar cuales han sido las medidas correctivas de seguridad que hemos llevado a cabo para evitar de forma preventiva el WordPress Hackeado redireccionando a oxxtm.com desde Google:
Tabla de Contenidos
WordPress hackeado Solución:
Algunos de los consejos parecerán obvios para profesionales del WordPress, pero repasaremos cada uno de ellos. No queremos olvidarnos de los que han comenzando sus primeros pasos en el Blogging con unos conocimientos básicos de la materia.
Daremos por hecho es que habéis sido capaces de realizar una instalación de WordPress en vuestro hosting sin ayuda por lo que no vamos a detallar el paso a paso de todas las acciones.
Si tenéis cualquier pregunta acerca de los siguientes consejos de seguridad WordPress, no dudéis en comentar al final del post y estaremos encantados de ayudaros.
Cambia y Crea Contraseñas Seguras Fáciles de Recordar
Lo primero que debemos revisar y cambiar son todas las contraseñas de nuestro sitio, inicialmente son las siguientes:
- Acceso a nuestro Hosting (CPanel) Contactaremos con nuestro proveedor de hosting para solicitar una nueva contraseña.
- Acceso a nuestras cuentas FTP Se cambia desde nuestro CPanel de gestión de hosting. Revisa las cuentas ftp que tengas creadas y elimina las que no hayas creado.
- Acceso a las cuentas de administrador WordPress (con las que accedemos a /nuestrodominio/wp-admin) Cambia todas las contraseñas de acceso de los administradores del panel de control (Escritorio) WordPress utiliza el generador automático de contraseñas o crea una contraseña segura fácil de recordar.
- Contraseñas de nuestra base de datos en vuestro Cpanel encontraréis un acceso a «Bases de Datos MySQL»
Debemos tener en cuenta que cualquier contraseña enviada por correo electrónico deja de ser segura por lo que debemos cambiarla posteriormente.
En nuestro Blog habíamos detectado un ataque por fuerza bruta hacia uno de los usuarios administradores por lo que decidimos eliminarlo y crear un nombre de usuario diferente. Muy importante a la hora de eliminar cualquier usuario con entradas publicadas traspasarlas al nuevo, esta tarea es muy sencilla y WordPress nos guiará antes de su eliminación ofreciendo la opción de asignar los post a otro usuario.
Limpia y Organiza WordPress
Elimina todos los usuarios registrados en tu Blog sospechosos de ser spam, normalmente son fáciles de detectar,tanto su nombre como su dirección de correo electrónico son de países con idiomas diferentes al de tu Blog.
Elimina los Plugin WordPress que no utilices y si encuentras alguno que no recuerdes su utilidad, desactívalo y comprueba que ha cambiado en tu Blog para posteriormente eliminarlo por completo.
Elimina las plantillas wordpress que no utilices, pueden ser infectadas por código malicioso.
Elimina los siguientes ficheros de la carpeta de instalación wordpress:
- /wp-includes/xmlrpc.php
- /wp-includes/js/jquery/jquery.js
- /wp-includes/css/style.php
- /wp-includes/css/css.php
- /wp-admin/upd.php
- /wp-content/upd.php
- /wp-content/themes/[NombreTemaWordpress]/temp/e9815adce***.php
(si no estás seguro de lo que estás haciendo, descarga una copia de los ficheros antes de eliminarlos)
No utilices como administrador el usuario con id 1 este usuario es «admin» por defecto y está en el punto de mira de todos los hacker y malware. Recuerda que no es suficiente si cambias el nombre, deberás eliminar el usuario «admin».
No utilidad de Microsoft Word «Nueva entrada de blog» no es recomendable ya que en versiones no actualizadas pueden haber sido objetivo de spyware. Esta utilidad es una ayuda muy tentadora pero no es segura si no utilizas la última versión del paquete Office.
Plugin para evitar WordPress Hackeado Solución
Estos plugin WordPress nos haran la vida más fácil, nos realizarán un análisis de nuestro blog y nos advertiran de las posibles amenazas.
Plugin iThemes Security: Ofrece varias maneras de asegurar y proteger tu sitio WordPress. Puedes arreglar los agujeros de seguridad más comunes, detener los ataques automatizados y reforzar las credenciales de usuario, todo ello con la activación de un solo clic para la mayoría de características, así como características avanzadas para los usuarios más experimentados.
Securi Security: Ofrece varias características de seguridad clave para su nuestro sitio web:
- Auditoria de Seguridad
- Vigilancia de Integridad
- Escaneo Malware remoto
- Monitoriza Blacklist y Puertas Traseras
- Acciones Post-Hack de seguridad
- Notificaciones y advertencias de seguridad a través de correo electrónico.
Ambos están en inglés pero si utilizáis Google Chrome para acceder al «Escritorio» de WordPress, podéis utilizar la utilidad «Traducir a español» mediante clic derecho sobre la página.
Resuelve tus dudas y problemas; ¿Tienes alguna consulta?