Este fin de semana hemos comprobado que no necesitamos tener tremendos sitios como Betazeta, ser Leo Prieto o pertenecer al Gobierno, para ser víctimas de un hacker o cracker (dependiendo del método usado) y perder la dignidad digital de nuestro humilde sitio web, aunque lo tengamos en Wordpress.
Como bien dijo @Carolucky al ver su sitio completamente borrado por terceros, nuestro blog es como nuestra casa, y por lo tanto no podemos dejarla abierta sin candados, o algo similar.
Por lo anterior es importante tener en cuenta los siguientes 10 consejos por la seguridad de nuestro Wordpress:
- Mantener Wordpress actualizado a su última versión. Por ejemplo en las versiones anteriores a la 2.8.4 se descubrió una vulnerabilidad que permite resetear la clave del administrador de la página, con lo que se puede acceder al sitio completo y tener control sobre su contenido y/o archivos.
- Cambiar regularmente la clave del panel de administración, establecer una contraseña segura y en lo posible, cambiar el usuario admin por otro username menos obvio.
- Mantener el computador libre de virus y de Spyware. Para ello puedes usar un antivirus, o mejor aún, puedes mantener tu equipo libre de Windows, usando Ubuntu Linux.
- Mucho cuidado con los mensajes de correo electrónico. Entre ayer y esta mañana me han llegado 2 o 3 mensajes muy reales de un tercero que me dice “Te envio el diseño del logotipo para que lo revises. Disculpa la demora”. En el mensaje viene adjunto un Word, que probablemente tenga un virus, ya que por estos días no estoy viendo ningún logotipo con nadie, así que sé que es un mensaje que me trata de engañar. Lo borré sin abrir el archivo.
- Lamentablemente en los servicios de social media como Facebook y Twitter, existen muchos links abreviados a sitios que pueden ser extremadamente maliciosos. Por lo tanto, no se debe abrir ningún link de dudosa procedencia, ya que puede tratarse de una web con virus o aplicaciones que accedan a tu computador o peor aún, a tu blog.
- Cambiar regularmente la clave de acceso a los servicios sociales como Twitter, Facebook, Gmail, Hotmail, etc. En el caso de Betazeta, el acceso a sus servidores se realizó porque uno de sus administradores usaba la misma clave para todos sus servicios en la red, incluido su e-mail personal, donde podía existir información sobre más claves.
- Tomar precauciones con los seguidores de twitter, friendfeed, Facebook o similares. Nunca se sabe si uno de nuestros nuevos seguidores puede ser alguien que más tarde intentará hackear nuestra web, ya sea por envidia o cualquier otro motivo.
- Hacer respaldos periódicos como mínimo de la base de datos de Wordpress. Es una pena que por un descuido se pierda la información de años, con un respaldo que se podría hacer en cuestión de minutos. Además es recomendable guardar este respaldo en más de una ubicación y en lugares seguros. Si se nos pierde el notebook con todas nuestras claves, el daño puede ser total, tanto en la web como en nuestro equipo.
- Revisar los permisos de archivo en las carpetas de nuestro hosting web. Esto es más delicado y requiere investigar en la red, en google, y en el sitio de ayuda de wordpress, para establecer de forma correcta los permisos de archivo vía ftp de nuestro blog.
- Tener cuidado con el hacking social. Es más fácil hackear un sitio haciéndose pasar por un conocido, un familiar o un amigo y así obtener información confidencial, que accediendo por fuerza bruta a los archivos. Por ejemplo estos días en Chile han estado de moda las estafas telefónicas donde no sólo se ha engañado a personas, sino que también se ha robado y obtenido información con una precisión asombrosa.
Inspirado por “Wordpress is being hacked: how to prevent social media hacking“.
Últimos comentarios