Preguntas Frecuentes - FAQ

Esta guía está orientada para todos aquellos que tienen un sitio web con WordPress y el mismo ha sido hackeado y suspendido por esa razón, o bien para todos aquellos que quieran aprender a asegurar su WordPress para evitar hackeos.

WordPress es una de las plataformas más utilizadas por millones de sitios web de todo el mundo para construir y administrar sitios webs y blogs.

WordPress posee varios miles de líneas de código (programación) en PHP y MySQL, por lo tanto, al ser una aplicación de gran distribución a nivel mundial, todos los días se descubren vulnerabilidades y fallas nuevas entre tanto código.

Existen también miles de atacantes alrededor del mundo que aprovechan esas fallas de seguridad para infectar los sitios web de WordPress con malware. El malware puede facilitar la creación por ejemplo de una página de phishing para robar tarjetas de crédito, cuentas de Paypal a través de tu sitio web, realizar envío de spam o también para utilizar los recursos disponibles en el hosting como “bot” y realizar posteriores denegaciones de servicio hacia sitios web o servidores de empresas, instituciones u organizaciones diversas.

Es decir, un WordPress vulnerable se transforma en un medio para que un atacante lleve a cabo diversos delitos con prácticamente total anonimato.

Las buenas prácticas internacionales indican que los sitios web que tienen WordPress y han sido hackeados para subir phishing o algún tipo de malware, deben ser suspendidos por el proveedor de hosting inmediatamente para evitar que se sigan causando daños a usuarios u organizaciones indefensas.

Dado que es muy importante que tu sitio web esté siempre seguro, te facilitamos una serie de consejos:

Si tu WordPress NO ha sido vulnerado o hackeado:

• Si iniciás una instalación de WordPress, es fundamental que la termines, no debe quedar ningún directorio “/install” o archivos “install.php” visibles en tu cuenta de web hosting.
• Nunca utilices “admin” como usuario principal, es mejor utilizar otro usuario para dificultar que encuentren tu usuario.
• Las contraseñas deben ser lo más seguras posibles: Incluir números, letras minúsculas y mayúsculas y carateres especiales como !”·$%&/()=?
• Es fundamental que cambies tu contraseña al menos cada 30 días.
• Si vas a instalar un theme (diseño), bajalo siempre del sitio web original de su creador o de http://wordpress.org/themes/. Nunca descargues themes desde sitios que aparentan ser completamente gratuitos porque suelen tener malware y virus, o por ejemplo dejar puertas traseras para que luego cualquiera tome control de tu blog.
• No ingreses tus claves en computadoras de público acceso (por ejemplo ciber-cafés o locutorios).
• No compartas tu clave con nadie.
• No ingreses tu clave en ningún sitio que no sea el tuyo.
• Utilizá claves diferentes.
• Si vas a instalar plugins para agregarle funcionalidades a tu WordPress, suscribite al newsletter del autor del plugin y mantenelo siempre actualizado. Los plugins son una gran puerta de acceso a los atacantes.
• Hacé frecuentemente (30 dias minimo) copias de seguridad de tu sitio web y descargalas a tu computadora, luego borralas del hosting.
• Mantené siempre actualizado el WordPress en la última versión, lo mismo con los plugins.

Si tu WordPress SI está vulnerado o hackeado en este momento:

Aviso importante: Si nuestro sistema de seguridad suspendió tu cuenta porque tu WordPress estaba haciendo phishing, spam, DDoS o simplemente recibimos una denuncia por alojar contenido como malware que podría dar lugar a todas las acciones anteriores, el sistema te suspenderá la cuenta automáticamente para evitar seguir generando daño a otras personas y organizaciones. Para rehabilitarlo, un programador tendrá que contactarse con nosotros, o bien vos mismo, y determinar con nuestro staff técnico un horario particular para rehabilitar tu sitio durante 1 hora y mostrarnos que o bien eliminaste el contenido y lo subes fresco, limpio y actualizado, o bien que tu técnico encontró la falla (nos la debe mostrar) y parchear el WordPress.

• Instalá en las computadoras desde las que administrás el WordPress, un antivirus nuevo y actualizado para escanear toda tu computadora en busca de virus y malware.
• Modificá la contraseña de FTP, cPanel y la de todos los usuarios del WordPress. También la de MySQL.
• Considerá eliminar todo el contenido de tu sitio (todo lo que está dentro de /public_html) y la base de datos, subir un backup anterior, será importantísimo ahora tener en cuenta todos los pasos anteriores.
• Parchear un WordPress en vez de instalar de cero es complejo dado que requiere habilidades técnicas en programación y seguridad informática, inicialmente habrá que identificar por dónde ingresó el atacante, corregir el problema de seguridad y luego securizar el resto de las posibles puertas de ingreso. Sugerimos que contrates a un experto para realizarlo correctamente o bien, tal como te indicamos, que elimines todo el contenido y lo subas nuevamente pero con una nueva instalación actualizada y siguiendo los consejos anteriores.

Más recursos:

• Qué hacer ante un hackeo de WordPress: http://codex.wordpress.org/FAQ_My_site_was_hacked
• Securizando WordPress: http://codex.wordpress.org/Hardening_WordPress
• Plugin anti intentos de adivinación de contraseña (brute force protection) http://wordpress.org/plugins/bruteprotect/
• Plugin anti MalWare http://wordpress.org/plugins/gotmls/
• Plugin Scanner anti MalWare http://wordpress.org/plugins/sucuri-scanner/
• Plugin anti MalWare WordFence http://wordpress.org/plugins/wordfence/
• Google chequea cada 48hs aprox si tu WordPress tiene malware http://www.google.com/webmasters
• Chequea online si tu WordPress está hackeado: http://www.isithacked.com/
• Hosting Wordpress Administrado: https://www.neolo.com/argentina/hosting-wordpress-administrado.php 
• Antivirus gratis: http://free.avg.com/ar-es/homepage