Cómo evitar hackeos a WordPress™ Esta guía está orientada para todos aquellos que tienen un sitio web con WordPress™ y el mismo ha sido hackeado y suspendido por esa razón, o bien para todos aquellos que quieran aprender a asegurar su WordPress™ para evitar hackeos. WordPress™ es una de las plataformas más utilizadas por millones de sitios web de todo el mundo para construir y administrar sitios webs y blogs. WordPress™ posee varios miles de líneas de código (programación) en PHP y MySQL, por lo tanto, al ser una aplicación de gran distribución a nivel mundial, todos los días se descubren vulnerabilidades y fallas nuevas entre tanto código. Existen también miles de atacantes alrededor del mundo que aprovechan esas fallas de seguridad para infectar los sitios web de WordPress™ con malware. El malware puede facilitar la creación por ejemplo de una página de phishing para robar tarjetas de crédito, cuentas de Paypal™ a través de tu sitio web, realizar envío de spam o también para utilizar los recursos disponibles en el hosting como “bot” y realizar posteriores denegaciones de servicio hacia sitios web o servidores de empresas, instituciones u organizaciones diversas. Es decir, un WordPress™ vulnerable se transforma en un medio para que un atacante lleve a cabo diversos delitos con prácticamente total anonimato. Las buenas prácticas internacionales indican que los sitios web que tienen WordPress™ y han sido hackeados para subir phishing o algún tipo de malware, deben ser suspendidos por el proveedor de hosting inmediatamente para evitar que se sigan causando daños a usuarios u organizaciones indefensas. Dado que es muy importante que tu sitio web esté siempre seguro, te facilitamos una serie de consejos: Si tu WordPress™ no ha sido vulnerado o hackeado: Si inicias una instalación de WordPress™, es fundamental que la termines, no debe quedar ningún directorio “/install” o archivos “install.php” visibles en tu cuenta de web hosting. Nunca utilices “admin” como usuario principal, es mejor utilizar otro usuario para dificultar que encuentren tu usuario. Las contraseñas deben ser lo más seguras posibles: Incluir números, letras minúsculas y mayúsculas y caracteres especiales como !”·$%&/()=? Es fundamental que cambies tu contraseña al menos cada 30 días. Si vas a instalar un theme (diseño), bájalo siempre del sitio web original de su creador o de http://wordpress.org/themes/. Nunca descargues themes desde sitios que aparentan ser completamente gratuitos porque suelen tener malware y virus, o por ejemplo dejar puertas traseras para que luego cualquiera tome control de tu blog. No ingreses tus claves en computadoras de público acceso (por ejemplo ciber-cafés). No compartas tu clave con nadie. No ingreses tu clave en ningún sitio que no sea el tuyo. Utiliza claves diferentes. Si vas a instalar plugins para agregarle funcionalidades a tu WordPress™, suscríbete al newsletter del autor del plugin y mantenlo siempre actualizado. Los plugins son una gran puerta de acceso a los atacantes. Haz frecuentemente (30 días mínimo) copias de seguridad de tu sitio web y descárgalas a tu computadora, luego bórralas del hosting. Mantén siempre actualizado el WordPress™ en la última versión, lo mismo con los plugins. Si tu WordPress™ está vulnerado o hackeado en este momento: Aviso importante: Si nuestro sistema de seguridad suspendió tu cuenta porque tu WordPress™ estaba haciendo phishing, spam, DDoS o simplemente recibimos una denuncia por alojar contenido como malware que podría dar lugar a todas las acciones anteriores, el sistema te suspenderá la cuenta automáticamente para evitar seguir generando daño a otras personas y organizaciones. Para rehabilitarlo, un programador tendrá que contactarse con nosotros, o bien tú mismo, y determinar con nuestro staff técnico un horario particular para rehabilitar tu sitio durante 1 hora y mostrarnos que o bien eliminaste el contenido y lo subes fresco, limpio y actualizado, o bien que tu técnico encontró la falla (nos la debe mostrar) y parchear el WordPress™. Instala en las computadoras desde las que administras el WordPress™, un antivirus nuevo y actualizado para escanear toda tu computadora en busca de virus y malware. Modifica la contraseña de FTP, cPanel y la de todos los usuarios del WordPress™. También la de MySQL. Considera eliminar todo el contenido de tu sitio (todo lo que está dentro de /public_html) y la base de datos, subir un backup anterior, será importantísimo ahora tener en cuenta todos los pasos anteriores. Parchear un WordPress™ en vez de instalar de cero es complejo dado que requiere habilidades técnicas en programación y seguridad informática, inicialmente habrá que identificar por dónde ingresó el atacante, corregir el problema de seguridad y luego securizar el resto de las posibles puertas de ingreso. Sugerimos que contrates a un experto para realizarlo correctamente o bien, tal como te indicamos, que elimines todo el contenido y lo subas nuevamente pero con una nueva instalación actualizada y siguiendo los consejos anteriores.