Muchos de los WordPress que existen hoy en día, están hechos por personas que no son técnicos, y no cuidan un aspecto vital para mantener tu plataforma, o tu la seguridad. Al principio, yo no cuidaba muchos aspectos de este sector. Os cuento un ejemplo que se me dio en mi página hace ya mucho tiempo.
Cuando comenzamos con nuestra plataforma y llevaba 10 días, me la tumbaron. Yo creía que era un fallo del propio template y decidí restaurar una copia de seguridad. Al día siguiente aparecía exactamente igual, y yo creía que era imposible, no habíamos actualizado nada, así que volví a restaurar, y miré los registros de las peticiones sobre el servidor, entre ellos habían muchos 404. Me pareció raro, y me informé sobre todo esto y descubrí, que me estaban haciendo ataques mediante consultas SQL hacia un archivo del template (template recién comprado desde Theme Forest, coste 65€). Pensé, “que cabrones, ¿pero que les he hecho yo?” Así que me puse manos a la obra y busqué soluciones. Lo primero que hice, fue ponerme a investigar como lo hacen y que tipos de ataque suelen utilizar los hackers para dominar una web. Existen varios, trataré de explicaros las soluciones a los diferentes ataques:
Ataques de fuerza bruta
Los más conocidos, Y como siempre, el eslabón más débil, somos nosotros, al poner típicos usuarios como, admin, admin2017…y contraseñas como, 1234 o soypepe. Para evitar este tipo de ataques, una de las medidas es cambiar el enlace por el que entras a WordPress wp-login.php o wp-admin, y cambiarlo por el que tú quieras, pero que no sea el genérico. También el poner contraseñas fuertes con las siguientes características:
- 8 caracteres
- Combinar mayúsculas y minúsculas
- Poner números
- Poner símbolos
Inyecciones SQL
Estás son las más peligrosas y las más difíciles de interceptar, ya que está por medio de la url, Hacen consulta para acceder a través de plugin, template o del mismo core de WordPress que tienen vulnerabilidades. Para ello, lo mejor es tener el mínimo de plugins posibles. Saber elegir los plugin qué instalas y tenerlos actualizados. Otra de las recomendaciones, es restringir el acceso desde htaccess a todas aquellas IPs que hayan cometido varios 404 en sus peticiones al servidor.
Ataques DDOS
Este tipo de ataques lo hacen organizaciones para saturar el servidor. Un ejemplo, anonymous realizó un ataque hace tiempo al servidor del FBI, saturándolo y dejando de dar servicio a cualquiera que intentase acceder al servicio de la web. Es complicado que una organización ponga su ojo en simples “mindundis” como nosotros, aun así, el medio para que esto no pase, son restricciones del servidor mediante algoritmos complejos. Esto es costoso, pero es el mejor servicio que puede impedir este tipo de ataques son los CDNs.
Copias de seguridad
También llamados backups. Ésta es la mayor de las reglas, ya que si pasa algo con tu web, siempre tendrás posibilidad de recuperarla.
También quería haceros hincapié, en que los eslabones más débiles de la cadena somos nosotros dejando contraseñas mal protegidas, encima de nuestro ordenador o en algún sitio visible, ya sea dentro o fuera de nuestro ordenador (otro aspecto que debemos cuidar con antivirus, cortafuegos…).
¡Ningún sistema es 100% seguro! Lo que podemos hacer, es poner barreras para que no accedan. Y si saltan una barrera, que se encuentren con otra más grande. ¿Las vas a poner? Si necesitas ayuda, contacta con nosotros y te ayudaremos.