Cuando construyes una web, desde el primer minuto estás expuesto a multitud de retos: desde decidir cómo vas a programar en código tu idea (puedes hacerlo tú mismo o contratar a alguien para que lo haga) hasta la generación de los contenidos, especialmente en lo relativo a producir contenidos que interesen a tu potencial audiencia.

Pero incluso antes de todo eso, desde el minuto cero, hay un reto todavía más importante del que seguramente no seas consciente: la seguridad. Es la pata menos apreciada en un proyecto… hasta que te toca sufrir las consecuencias de un ataque hacker.

En el momento en que haces algo en internet, estás expuesto a los hackers.

A mí me han hackeado mi web sobre criptomonedas, Criptokio.com, y en este artículo te voy a dar los pasos que debes seguir si alguna vez te pasa lo mismo. O, al menos, los que yo seguí para solucionar el problema.

No te garantizo que te resuelva tu situación en particular, pero desde luego puede ayudarte a saber qué hacer si no tienes ni idea de por dónde empezar.

Decidí construir mi web sobre WordPress, y un hacker aprovechó una vulnerabilidad para colarse en mi sistema

Mi página web está construida sobre WordPress, que es un CMS (gestor de contenidos) muy popular para construir webs de forma fácil. El problema es que, precisamente, es tan popular que siempre está en el punto de mira de los hackers.

A mí me hackearon por una vulnerabilidad en mi WordPress. No tengo claro si fue el theme (plantilla) que usaba para el diseño de la web, si fue cosa de algún plugin con agujeros de seguridad o si era cuestión de que tenía mi WordPress desactualizado (¡error!); sea como fuere, me entraron hasta la cocina.

Recibí un correo de mi WordPress avisándome de que alguien se había registrado en mi web, cosa que ya de primeras era extraña porque tengo los registros cerrados.

Pero es que, además, ese alguien había decidido otorgarse permisos de Administrador:

Me habían entrado hasta la cocina. Solo les faltó hacerse unos huevos fritos en mi vitrocerámica.

Estos son los pasos que seguí para frenar el ataque:

Primero, una búsqueda rápida en Google para ver de dónde viene el ataque

No te tomes como algo personal que te hackeen la web. Lo más probable es que seas solo uno más de los cientos de víctimas que ese día han recibido la visita de un bot que prueba a saltarse las vulnerabilidades más conocidas para conseguir acceso a los sistemas.

Te adelanto que borrar al atacante de WordPress no me sirvió de nada, porque a los pocos minutos se volvía a registrar de nuevo. Mientras no tapes el agujero, el agua se seguirá colando dentro.

Una búsqueda rápida del correo electrónico de mi atacante, que recuerda que estaba registrado en mi WordPress y por eso sabía su dirección de e-mail, me permitió comprobar que yo no era su primera víctima (ni seguramente la última… de ese mismo día):

Te recomiendo que siempre hagas esto en caso de que tu web sea hackeada, ya que te puede ayudar a entender qué vulnerabilidad suele aprovechar ese atacante en concreto para colarse en tus sistemas.

En mi caso, leí que una víctima había detectado analizando el código que la vulnerabilidad con este atacante en concreto podía estar en la plantilla (theme) que usaba en su web.

Así que, raudo y veloz, cambié mi theme al más simple posible que ofrece WordPress por defecto.

Aprovecha para poner al día todos los plugins, borra aquellos que no uses y actualiza tu WordPress a la última versión

Dado que nunca sabes a ciencia cierta por dónde se ha colado tu hacker, te recomiendo que aproveches el desastre (si tienes posibilidad de hacerlo) para poner al día todas las actualizaciones de tu sistema.

Yo actualicé WordPress a la última versión (lo tenía algo obsoleto, fallo mío), puse al día las actualizaciones de todos los plugins y, además, eliminé aquellos que llevaba tiempo sin utilizar y que verdaderamente no me aportaban nada.

Pide ayuda a tu hosting (proveedor de alojamiento web)

Tu hosting está para ayudarte, o al menos debería ser así.

Contacta con ellos para que te ayuden a detener el ataque. Puede que tengan más herramientas, o simplemente más conocimientos que tú, para localizar el punto por el cual tu atacante ha conseguido hacerse con el control de tu web.

Las copias de seguridad son como los seguros: te arrepientes de no tenerlo cuando ya es tarde

Da una pereza enorme tener un sistema actualizado para las copias de seguridad de tu web, lo sé. Pero más pereza te dará tener que construir desde cero algo que te ha llevado años hacer.

Haz copias de seguridad de forma periódica, ya que nunca sabes cuándo puedes necesitarlas.

Si te atacan y te destrozan la web, como mucho perderás algunas semanas o meses de trabajo, pero no tendrás que volver a la casilla de salida.

La mejor medida de seguridad es aquella que implementas antes de que te ataquen

A los que no somos unos apasionados de la seguridad informática nos cuesta mucho dedicar nuestro preciado tiempo a este tema. Pero ya has visto lo fácil que es que alguien te hackee la web.

Por eso, con esta experiencia he aprendido la importancia de estar al día en materia de seguridad, siendo ahora especialmente relevante para mí tomar medidas antes de que ocurra lo peor.

Un par de horas que dediques al mes para leer un poco sobre seguridad en la web, más unas pocas horas que destines a tomar medidas proactivas para fortalecer tu proyecto en este sentido, puede que marque la diferencia entre seguir vivo (con tu proyecto) o no.