¿Qué hacer si hackean WordPress?

Los sitios de WordPress sufren hackeos muy frecuentemente. De hecho, WordPress es uno de los CMS más atacados, lo cual no debería sorprender dado que impulsa casi la mitad de internet, brindando más objetivos a los actores malintencionados.

Dicho esto, sufrir un hackeo es desagradable y puede acarrear consecuencias para tu marca y tus usuarios, así que querrás resolverlo lo antes posible si alguna vez sucede.

Seguí estas recomendaciones para superar un hackeo.

¿Por qué los sitios de WordPress son hackeados?

Los hackers atacan sitios de WordPress por varias razones. Si bien algunos ataques son pura malicia, no son tan comunes como aquellos que buscan obtener algo de las víctimas o de su sitio, ya sea para extraer dinero de rescate o redirigir tráfico al sitio del atacante.

Algunas de las razones más comunes para hackear sitios web incluyen las siguientes:

• Obtener ganancias chantajeando a las víctimas para que paguen un rescate.
• Compensación monetaria. Muchos grupos de “hackers a sueldo” cometen delitos cibernéticos por una tarifa.
• Comprometer sitios web y computadoras para vender o alquilar el acceso a ellos, a menudo para realizar ataques DDoS.
• Robar información de tarjetas de crédito, números de seguridad social y otra información personalmente identificable (PII), que luego pueden usar para futuros ataques, vender, o ambos.
• Causar pérdidas financieras a los propietarios del sitio interrumpiendo los flujos de ingresos y generando costos posteriores al ataque.
• Usar credenciales robadas para hacer compras no autorizadas o mover fondos.
• Realizar suplantación de identidad con credenciales robadas.
• Suplantar organizaciones e individuos de confianza para convencer a otros de entregar PII.
• Robar propiedad intelectual.
• Propagar malware a través de enlaces maliciosos.
• Engañar a los usuarios para que entreguen códigos de autenticación de múltiples factores y accedan a sus cuentas.
• Agregar credenciales robadas a su almacén, que luego pueden usar para ataques de relleno futuros (reutilización de contraseñas conocidas).
• Ganar un punto de apoyo en los sistemas internos de una organización como parte de un ciberataque en múltiples capas.
• Redirigir tu sitio a un sitio externo agregando enlaces de spam y páginas.
• Establecer un acceso no autorizado a largo plazo, permitiendo a los hackers explotar sitios por largos períodos antes de ser detectados.
• Degradar el rendimiento del sitio web.
• Bloquear a otros usuarios del sitio web.

¿Cómo son hackeados los sitios de WordPress?

Así como hay muchas razones para hackear un sitio, también hay muchas maneras de hacerlo. El panorama de amenazas de ciberseguridad está siempre cambiando, con atacantes y desarrolladores constantemente poniéndose al día con sus métodos mutuamente.

Los métodos más comunes para hackear sitios web de WordPress incluyen los siguientes:

• Romper contraseñas inseguras.
• Explotar instalaciones centrales, versiones de PHP, plugins y temas desactualizados.
• Ataques de fuerza bruta.
• Cross-site scripting (XSS).
• Inyecciones de base de datos o SQL.
• Ataques de denegación de servicio (DoS).
• Backdoors.
• Estafas de phishing.

Señales de que tu sitio WordPress fue hackeado

Dependiendo del método que usen los atacantes, hay muchas señales potenciales de que tu sitio sufrió una brecha de seguridad. Estas son algunas de las más comunes:

• Una caída repentina en el tráfico del sitio web. Muchos ataques hacen que tu sitio deje de atraer tanto tráfico. Puede deberse al malware de spam que redirige a los usuarios a otro sitio web, o tal vez Google haya puesto tu sitio en una lista negra al etiquetarlo como fuente de phishing o malware.
• Notás enlaces maliciosos que no agregaste. Una vez que los atacantes tienen acceso por backdoor, pueden inyectar enlaces de spam en el pie de página de tu sitio web, aunque pueden estar en cualquier otro lugar.
• Tu página principal es completamente diferente. Si sufrís un ataque de desfiguración, los hackers cambian tu página de inicio para anunciar el hackeo. A menudo, piden un rescate para restaurar tu sitio.
• No podés iniciar sesión. Los atacantes pueden haber cambiado tu contraseña o eliminado tu cuenta de administrador.
• Nuevas cuentas de administrador sospechosas. Si notás cuentas de administrador que ni vos ni tu equipo crearon, es probable que un malware las haya creado.
• Scripts sospechosos en tu instalación central de WordPress. El directorio más común que los atacantes eligen para dejar scripts maliciosos es wp-content. El archivo tendrá un nombre similar a los archivos de instalación estándar para parecer inofensivo. Los escaneos de malware y los plugins de chequeo de integridad te alertan cuando se crean nuevos archivos sospechosos.
• Caída repentina del rendimiento. Si tu sitio está repentinamente lento sin una razón aparente, podrías estar sufriendo un ataque de denegación de servicio.
• Anuncios emergentes. Otra táctica clásica utilizada por atacantes que intentan monetizar el sitio web de otra persona para ellos mismos. Los pop-ups a menudo solo aparecen para usuarios que no han iniciado sesión y generalmente se abren en una nueva ventana.

¿Qué hacer si tu sitio de WordPress es hackeado?

Ahora que discutimos por qué los hackers atacan los sitios, cómo y los signos de hackeo, veamos qué deberías hacer si notás una brecha de seguridad.

Mantené la calma.

En primer lugar, no pierdas la calma. Ser hackeado es muy desagradable pero rara vez es el fin del mundo. Según Security Magazine, en 2017 hubo un ciberataque cada 39 segundos. Dado el porcentaje de mercado de WordPress, muchos de esos sucedieron y aún suceden a sitios de WordPress.

No sos el primer ni el último dueño de un sitio que sufrió un hackeo. Después del choque inicial, debés reponerte y tomar las medidas necesarias.

Poné tu sitio offline o en modo mantenimiento.

La primera medida (asumiendo que podés iniciar sesión) es poner tu sitio offline o en modo de mantenimiento. De esta manera, los visitantes no verán tu sitio en proceso de reconstrucción mientras resolvés la situación.

Para poner tu sitio en modo mantenimiento, hay varios plugins que podés usar, incluyendo WP Maintenance Mode y Under Construction Page.

Restablecé todas las contraseñas y actualizá todos los plugins y temas.

Las vulnerabilidades de plugins y temas son una de las debilidades más comunes que los hackers explotan. Para asegurarte de que no fue un plugin o tema desactualizado, actualizá todos ellos tan pronto como sea posible.

Para verificar cuán seguro es un plugin, visitá la Base de Datos de Vulnerabilidades de WPScan. Lista las vulnerabilidades de seguridad conocidas en los plugins. Si ves uno de tus plugins en la lista, verificá si se ha actualizado desde que la vulnerabilidad se hizo pública. Si no, puede que sea mejor eliminarlo.

Además, reemplazá cada contraseña con una fuerte y única para todas las cuentas asociadas con tu sitio de WordPress. Si no lo usabas antes, empezá a usar la autenticación en dos pasos para iniciar sesión. La autenticación multifactor es una de las medidas de seguridad más significativas para detener a los hackers en seco.

Eliminá cuentas de administrador sospechosas.

Como mencionamos, los atacantes pueden crear cuentas de administrador que pueden usar para hacer cambios en el sitio e iniciar sesión sin levantar sospechas. Verificá con los miembros de tu equipo qué cuentas son legítimas y cuáles probablemente sean obra de un hackeo.

Andá a Usuarios > Todos los usuarios en tu tablero para eliminar cuentas sospechosas. Encontrá las cuentas que confirmaste con el resto de tu equipo que son maliciosas y presioná Eliminar. Se te presentará una pantalla preguntando si querés asignar todo el contenido actualmente asignado a la cuenta “admin” a otro usuario.

Es una excelente oportunidad para explorar el contenido que esta cuenta ha creado, si acaso, y eliminarlo.

Escaneá y eliminá archivos sospechosos.

Plugins de seguridad como Sucuri, Wordfence y otros tienen escaneos de malware e integridad que detectan cuando se crea un archivo sospechoso o se modifica un archivo legítimo dentro de tu instalación central.

Realizá escaneos y eliminá cualquier archivo sospechoso.

Recordá que algunos planes de hospedaje web tienen escaneos y medidas de seguridad que pueden ser incompatibles con plugins de seguridad. Verificá los términos de tu plan y usá un plugin o levantá un ticket de seguridad con tu proveedor de hospedaje.

Limpia tu base de datos.

La base de datos de tu sitio puede haber sido hackeada también. Para determinar si ha sido comprometida, usá un plugin como malCure WP Malware Scanner & Firewall, MalCare WordPress Security, All In One WP Security & Firewall, y WP Changes Tracker.

Todos estos plugins pueden escanear tu base de datos y limpiarla. Además de tener una base de datos segurizada, las bases de datos limpias también ocupan menos espacio porque tienen menos entradas de datos obsoletos.

Considerá reinstalar WordPress.

Es la opción nuclear si nada más ha funcionado, pero puede ser la única si tus archivos centrales de WordPress están profundamente comprometidos. La idea es reemplazar los archivos centrales sin sobrescribir archivos esenciales que deberían permanecer igual, especialmente wp-config.php y .htaccess (solo en servidores Apache).

Deberías hacer una copia de seguridad de estos archivos primero y asegurarte de que no están comprometidos. Pero una vez que lo hagas, podés reemplazar el resto de la instalación vía SFTP. Generalmente, evitá usar auto-instaladores ya que probablemente eliminarán tu base de datos, lo que podría hacerte perder mucho contenido.

Algunos planes de hospedaje web tienen funciones para reemplazar archivos centrales mientras preservan archivos esenciales específicos. Explorá si tu proveedor de hospedaje tiene una característica similar.

14 mejores prácticas de seguridad para evitar hackeos

Una vez que aseguraste tu sitio del hackeo, debés revisar tus estándares de seguridad para asegurarte que estén a la altura de las necesidades de seguridad actuales. Estas son las medidas mínimas que deberías tomar para proteger tu sitio web:

• Mantener actualizada la instalación central de WordPress y la versión de PHP.
• Solo instalar temas y plugins seguros.
• Usar contraseñas fuertes y únicas en todas las cuentas relacionadas con WordPress.
• Utilizar plugins para limitar la cantidad de intentos fallidos de inicio de sesión.
• Habilitar la autenticación multifactor en todas las cuentas posibles.
• Restringir los permisos de usuario solo a lo necesario para sus roles.
• Crear registros para documentar cada acción que los usuarios toman mientras están conectados.
• Cambiar tu URL de inicio de sesión predeterminada.
• Hospedá tu sitio web con un proveedor de hosting seguro.
• Instalar un plugin que realice escaneos regulares de malware.
• Activar SSL/HTTPS para que los visitantes se conecten de manera segura a tu sitio.
• Usar verificaciones de integridad de archivos para detectar violaciones de seguridad y posibles backdoors.
• Usar un firewall de aplicaciones web para bloquear el acceso y filtrar actividades maliciosas.
• Realizar copias de seguridad de tu sitio web regularmente en ubicaciones externas (no solo en el servidor donde está hospedado).

Mirá nuestro artículo sobre las mejores prácticas de seguridad para WordPress para un desglose más detallado de cada una de estas.

Conclusión

Miles de hacks de WordPress ocurren todos los días en todo el mundo, dado su popularidad. Ser hackeado no tiene que ser el fin del mundo. Podés aprender mucho de ello.

Tomá el hábito de actualizar frecuentemente tus medidas de seguridad y tené en cuenta estos puntos si tu sitio es hackeado.

Si encontraste útil este artículo, leé nuestro blog para más información, consejos y guías sobre WordPress.