Fallos de seguridad en Wordpress, ¿qué hago?
Hace una semanas tuvimos una serie de problemas en una de nuestras webs. Habían hackeado la página y estaban mandando SPAM a través del gestor de contenidos WordPress instalado. Suerte que de los chicos del hosting se dieron cuenta de que pasaba algo raro y que tenemos un limite de envío de correos de 100 a la hora.
El servidor no se vio comprometido como fuente spam y no entro en listas negras (que hubiese sido nuestro problema más grave). Una vez limpiamos el código de la web, empezamos a investigar qué podía haber pasado y cómo se las habían ingeniado para hacerlo.
Tras mucho leer e investigar (líneas de código) observamos que el problema había venido de un plugin muy popular que venía asociado a una plantilla que habíamos comprado. Pues bien, tenía un fallo de seguridad gravísimo.
Este plugin era el Revolution Slider, así que vigilad si lo tenéis en alguno de vuestros proyectos. Aquí podéis leer cuál es el fallo de seguridad. La solución más fácil que hemos encontrado es instalar un plugin de seguridad llamado Wordfence security.
¿Qué mínimos de seguridad en WordPress debes cumplir?
- permisos de ficheros adecuados.
- no dejamos archivos que no sean necesarios (es decir, se borran todas las plantillas, plugins, ficheros de idiomas que no se usen).
- se tiene todo lo más actualizado posible (esto muchas veces no se cumple debido a que el cliente no quiere pagar estos mantenimientos).
- se instalan diferentes plugins de seguridad y se protegen los ficheros de login.
Con estas sencillas reglas podemos tener un WordPress muy seguro y mientras las mantegamos, las probabilidades de ataque son mínimas (pero las hay, ya que nada es 100% seguro).
Habiéndole cogido gustillo a esto de investigar los fallos de seguridad, empezamos a investigar qué podía pasarnos si no cumplíamos esas normas. Así que hicimos la búsqueda “Bilbao” y empezamos a investigar páginas al azar de empresas de Bilbao.
Lo primero era saber si las páginas estaban en WordPress (en este post os explicamos algunos trucos) y ver qué versión tenían (simplemente hay que buscar la etiqueta “generator” en el código de la web). A partir de ahí solo hay que empezar a buscar vulnerabilidades para esa versión “worddress 3.xx vulnerabilities” en Google) y empezar a probar.
¿Qué pasa si no actualizo WordPress?
Os vamos a dar un ejemplo de que lo que pasa si no tienes actualizado tu WordPress y cómo pueden hacerte daño. Si tenéis instalado un WordPress 3.5 (la versión actual es la 4.0) hay un fallo muy sencillo por el que pueden meter texto en una página de tu web. Es tan sencillo como meter esta URL:
http://www.midomonio.com/?feed=SON%20UNOS%20LADRONES%20QUE%20TIMAN%20A%20SUS%20CLIENTES
Aparecerá una web dentro del dominio donde podemos ver la siguiente web:
Ahora lo que puede hacer es meter esa URL en varios directorios de empresas y dejar que los usuarios lleguen hasta esa página. Con un poco de mala suerte la primera impresión que tenga un posible cliente de nuestra web será esa página.
Imaginad que nos hacen eso a nosotros y hacen que aparezca un mensaje como “WEB HACKEADA por n4RTA”. Desde luego, el cliente que por casualidad encuentre esa página no va a querer trabajar con nosotros porque está claro que no somos seguros.
Aunque podría ser peor si no fuera porque la página da un resultado de Error 404, con lo que Google no debería rastrearla ni indexarla y por tanto no pueden intentar jodernos el SEO de la web; creando paginas dentro de la web con el contenido que les interese.
Ahora esperamos que esta historia de miedo os haya acojonando lo suficiente para que os propongáis tener todo actualizado en vuestro WordPress.
Esto no te lo puedes perder
Contenidos relacionados