Cómo saber si tu WordPress ha sido hackeado y medidas para evitarlo
Los gestores de contenido o CMS por sus siglas en inglés nos permiten “montar” un blog de forma sencilla, añadiendo extensiones para ampliar su funcionalidad o cambiando su aspecto para adecuarlo a nuestras necesidades. Precisamente, WordPress es el más popular y un amplio porcentaje de las webs que visitamos (sin ir más lejos, Test de Velocidad) lo utilizan para la publicación de noticias y otros contenidos. Eso le hace ser también objetivo de hackers y ciberdelincuentes.
Un buen día entras en tu web y ves algo, o notas que el tráfico ha caído en picado o ni siquiera puedes acceder al editor para añadir o cambiar el contenido. La respuesta es bastante evidente y no es otra que tu WordPress ha sido hackeado. Sin embargo, tenemos que saber los motivos y qué podemos hacer para protegernos.
Ya no reconoces tu web en WordPress
El primer signo evidente de que algo pasa es que ya no reconoces tu web. Accedes y ves que las cosas no están como las dejaste. Puede haber un cambio en el logo, en las imágenes o en el contenido. En muchas ocasiones, se cambia el tema y ahora las cosas ya no lucen como tú las habías configurado.
El código malicioso puede hacer aparecer contenido explícito o no deseado. Enlaces a otras webs en la parte inferior o en cualquier otra área de esta. Código oculto que puede afectar al posicionamiento en Google. Plugins para minado de criptomoneda a costa de los usuarios, entre otras cosas.
No puedes acceder a tu WordPress
Otro signo evidente es que no podamos acceder a nuestro WordPress. Puede que la web no tenga, aparentemente, ningún cambio de contenido, pero que no seamos capaces de acceder al editor. Si estamos seguro de no haber olvidado la contraseña, debemos pensar que nuestro portal ha sido hackeado.
Normalmente, las personas que realizan este tipo de ataques suelen borrar la cuenta de administrador o cambiar todas las contraseñas. En caso de que el correo de recuperación de la cuenta siga siendo el mismo, podemos recuperar el acceso de forma sencilla. Esto es algo que deberíamos probar en todos los casos.
El tráfico cae en picado
La web puede seguir luciendo como siempre y podemos seguir accediendo al editor sin ningún problema. No hay signos evidentes de hackeos, pero vemos como el tráfico empieza a caer. Las visitas son un buen indicador de que algo está pasando, tanto bueno como malo, y no siempre tiene que estar relacionado con el hackeo.
Sin embargo, el tráfico puede caer también porque el WordPress ha sido hackeado. La presencia de malware en las webs suele espantar a los usuarios, además de que Google Chrome o Mozilla Firefox pueden marcar la web como peligrosa. Esto mostrará una advertencia al usuario antes de acceder a la misma.
Estás enviando correos SPAM
Hackear una web con WordPress puede tener diferentes intereses. Si no han afectado el contenido, ni el aspecto ni han caído las visitas, es posible que estén aprovechándose de nosotros de otra forma diferente. Una de ellas es recuperar la base de datos de usuarios registrados para enviar SPAM.
Además, pueden hacerse pasar por nosotros para engañarlos de alguna manera y conseguir que visiten webs que pongan en riesgo su seguridad y datos personales. Esto se conoce como phishing y es una técnica muy peligrosa por su alto grado de efectividad en usuarios, sobre todo en los menos experimentados.
Aparecen nuevos usuarios
La quinta evidencia de problemas en WordPress pasa por la aparición de nuevas cuentas de usuario. Para ello, activaremos las protecciones que exigen aprobación para la creación de nuevas cuentas que pueden ser utilizadas para acceder a nuestro portal sin nuestro conocimiento.
Cómo evitar que WordPress sea hackeado
Además de los consejos habituales de seguridad y precaución, seguiremos estas recomendaciones concretas sobre el uso de WordPress:
- Cambiaremos el usuario “Admin” por defecto por otro y estableceremos una contraseña fuerte con mayúsculas, minúsculas, números, letras y caracteres raros
- Sólo instaremos plugins de confianza oficiales y que tengan valoraciones positivas.
- Evitaremos temas piratas y sólo los instaremos de fuentes de confianza. A veces es mejor no tener ese tema tan chulo de pago de forma ilegal.
- Siempre actualizaremos WordPress y todos sus componentes.
- Haremos copias de seguridad de forma periódica. En caso de problemas, podremos restaurar la web a un punto cercano en el tiempo.
- Instaremos plugins de seguridad como los que añaden un cifrado al proceso de loguearse en la web.
Con estos consejos no aseguramos al 100% la seguridad de nuestro WordPress, pero sí seremos mucho menos vulnerables que otros portales que no las sigan. Una vez hayáis sido hackeados, más vale moverse rápido para volver a conseguir el control de nuestra web lo antes posible.
- Archivado en
- Banda Ancha