programar
Seguridad Informática WordPress

Han hackeado tu WordPress cómo y qué hacer

Nunca creemos que nos puede pasar, pero sin embargo es algo que le puede ocurrir a cualquier usuario independientemente de que su web reciba pocas o muchas visitas, un día abres tu blog o página web y te das cuenta de que han hackeado tu WordPress, te quedas frío, impotente, no sabes como reaccionar, pero es el momento de actuar.
¿Cómo han hackeado mi web con WordPress?
WordPress es un gestor de contenidos fantástico, es el preferido de millones de personas, pero no está libre de peligros, hay vulnerabilidades que le afectan y que son aprovechadas por los intrusos.

La intrusión puede consistir en la simple modificación del sitio, de títulos, comentarios, creación de usuarios… pero también cosas tan desagradables como enviar SPAM desde tu dirección IP, insertar enlaces poco deseables apuntando desde tu sitio, etc.

No creo que sea nada personal, esto es lo primero que debes considerar, hay motores que buscan constantemente la manera de acceder, si tu usuario y contraseña no son lo suficientemente fuertes “admin 123456…” entonces es cuando entran y automáticamente realizan el desagradable proceso, esto es lo primero que intentarán.

Si por otra parte también pueden aprovechar alguna debilidad de algún tema o de la versión de WordPress o incluso algún Plugin, por eso es imprescindible actualizarlos siempre a la última versión.
Qué hacer si han hackeado mi WordPress
Siempre es mejor prevenir que curar… pero de eso ya te hablaré más adelante en este mismo post, imagino que si estás aquí es porque realmente ya ha sido tarde…

Lo primero que debes hacer cuando detectes esa intrusión y modificación es AVISAR  a tu PROVEEDOR, esto es fundamental porque dependiendo de lo que te digan tomarás dos decisiones: 1.- Seguir con ellos 2.- Irte a la competencia.

Nadie está libre de ser pirateado, pero sí puedes tener una mayor confianza en el hosting que tengas contratado, ya que deberías contratar un proveedor que pueda hacer frente a este tipo de dificultades, por esta razón personalmente soy cliente de SiteGround, recomendado por la misma WordPress y por grandes profesionales del sector, como el caso de Fernando Tellado que a través de su web me acabó de convencer y fue seguramente la mejor decisión que he tomado en este sentido.

Avisar a tu proveedor de hosting es importante porque en caso de tener copias de seguridad podrán restaurarla totalmente, pero también por si han utilizado la dirección ip para enviar SPAM, para que tomen las medidas adecuadas y evitarlo.

Por tanto una de las medidas podría ser la de cambiar de dirección IP ya que si se ha empleado para el SPAM, pronto estará en las listas negras…

Desinstalar totalmente WordPress para volver a hacerlo de nuevo se trataría de una medida muy drástica, pero si incluso así no funciona, entonces queda la opción que comentaba antes y cambiar de hosting.

En mi caso se produjo esa intrusión en un blog personal dedicado al atletismo, que prácticamente no recibía visitas, el caso es que la vulnerabilidad se encontraba en la plantilla de WordPress, no actualizada, y además el proveedor de hosting que tenía entonces tampoco disponía los mecanismos adecuados para defenderse, lo que supuso una decepción enorme y sí, tuve que reinstalar todo de nuevo.
Plugins de seguridad para prevenir
Ten tu versión de WordPress totalmente actualizada, haz lo mismo con tu plantilla (por cierto te recomiendo que inviertas y pagues por ella, porque una gran cantidad de temes gratuitos vienen cargados de enlaces ocultos y otras fragilidades que pueden suponer un problema grave), y sobre todo cuenta con plugins de seguridad que te ayuden a proteger y monitorizar.

A nivel de Plugins de seguridad te voy a recomendar Loginizer Security, Sucuri y Wordfence, los tres funcionan a la perfección.

Básicamente con ellos lo que podrás hacer es observar como se comportan los usuarios, los posibles intentos de acceder, si lo han conseguido o no, las ip que intentan hacerlo (para bloquearlas), así como realizar un análisis completo de la seguridad de tu sitio, de la instalación, del tema, para descubrir por donde puede fallar y ser un coladero.

Otra recomendación es la de bloquear el acceso a tu sitio desde algunos países, esto es efectivo y no creo que afecte al rendimiento de tu web, a menos que tengas intención de vender o de ofrecer tus servicios o contenidos a todo el mundo, a veces por eliminar alguna ubicación estás previniendo también la posibilidad de ataque.
Realiza copias de seguridad de manera habitual
Si cuentas con un panel de control como CPanel o con un proveedor de hosting que te permite hacerlo, entonces fantástico.

En caso de que no sea así puedes realizar las copias de seguridad de muchas maneras, incluso una manera sencilla es la de exportar un archivo con todo el contenido, y descargar en tu equipo la carpeta wp-content/uploads, con las imágenes, por ejemplo.

Esta sería la manera más simple y rudimentaria de hacerlo, pero también tienes plugins como Duplicator que te ayudarán a realizar esa copia, con un instalable por si es necesario usarlo en algún momento.
Utiliza siempre temas de pago
Una plantilla gratuita está bien para comenzar porque sin coste te permite tener tu blog… aunque sea la que ofrece WordPress por defecto, hay que tener en cuenta que precisamente por ser un tema tan usado los piratas buscan constantemente cualquier vulnerabilidad para atacar.

En el caso de las plantillas gratuitas encontramos además un enlace o créditos en el pie (generalmente está prohibido modificarlo), si lo haces puedes ver desde tu blog en blanco, o simplemente comenzarán a activarse links a páginas poco decentes, como venganza…

Si te has descargado esa plantilla desde un portal, es posible que haya sido modificada para incluir esos enlaces.

Con una plantilla de pago dispondrás de actualizaciones incluídas, soporte, y demás.
Conclusiones
Las intenciones que puede tener alguien en hackear tu sitio web son tan absurdas, que a veces me pregunto si realmente no falla algo en la especie humana…

El caso es que si ocurre puedas actuar para que todo siga como si no hubiera ocurrido nada, a pesar de que el disgusto no te lo va a quitar nadie, la parte positiva, si la hay, es que tenemos solución para prácticamente todo, lo importante es que tengas los medios para ellos, ya sea a partir del hosting o del mismo WordPress.

Piensa que no eres el único a quien le ha pasado y que se trata de algo habitual simplemente por estar online.

siteground
Hosting WordPress

Día 1 en SiteGround

//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Durante un tiempo javierarevalo.com ha permanecido sin contenido, esperando para ver si le daba un nuevo impulso al blog, sobre todo tras algunos cambios profesionales que he tenido en los últimos meses.

El primero de esos cambios ha tenido que ver con el hosting, actualmente trabajo con varias empresas en las que por unas razones o por otras he ido albergando mis webs o la de algunos clientes.
Razones por las que he cambiado de hosting
Lo primero a comentar es que decidí cambiar de un hosting compartido a un VPS, independientemente del proveedor a elegir,  no ha sido algo que me haya convencido demasiado.

Los VPS los he tenido en OVH y en CubeNode, y en ambos ha estado bien, en el primer caso tienes que ir por libre a la hora de administrar o gestionarlo tú mismo, en el segundo tienes algo más de ayuda.
Conclusiones al utilizar un VPS
Sin embargo mi experiencia con los VPS me ha hecho sacar una serie de conclusiones:

Con un VPS tienes que saber como administrar y cómo sacarle todo el partido para que realmente valga la pena.
Si te gusta más la administración de servidores que generar contenido, entonces es tu mejor opción, pero si prefieres escribir un blog, deberás sacar tiempo para aprender a administrar.
De la seguridad de un VPS te encargas tú, y es algo realmente complicado de hacer correctamente.
Me lo parece o las ip  de los VPS de OVH (por lo menos las mías) generan tráfico dudoso por si solas…
De los recursos como la RAM de un VPS es todo un quebradero de cabeza (seguridad y demás son aspectos que tienen parte de culpa, no voy a perder mucho tiempo en averiguar.
La velocidad de la carga de las webs, o la respuesta de servidor es todo una odisea si no modificas el .htaccess, y aún así no consigues resultados óptimos (más aún si hablamos del uso de WordPress).
El precio de un VPS básico es muy barato, pero si quieres algo decente tendrás que invertir.
En el caso de OVH se desentienden si tienes algún problema con el VPS (se supone que lo administras tú.)

Por qué he vuelto a un hosting compartido
Teniendo claro que contratar un VPS no me ha supuesto ventajas a nivel de SEO en mis páginas, y sí que el rendimiento de éstas dejara mucho que desear, tenía claro que debía volver a contratar un hosting compartido, pero no cualquier hosting compartido.

Había barajado varias posibilidades de hosting, con una disparidad de precios enorme, también sabía que mi apuesta clara en esta ocasión sería por la calidad, huyendo en parte de esos servicios ilimitados…

Era vital, entonces disponer de un buen alojamiento, que tuviera unas garantías mínimas con páginas web hechas con WordPress (o sin este gestor), que me diera seguridad y rendimiento.
Cómo tomé la decisión de contratar SiteGround
Hay proveedores que me han decepcionado un poco cuando he trabajado con ellos, tal vez por soy un poco exigente o simplemente pido cosas como una respuesta de servidor en condiciones, velocidad de carga, una atención al cliente atenta, etc.

Contando además con la condición de que el servicio estuviera optimizado para WordPress.

Había probado NameCheap, pagué 9$ por un año entero, y bueno no está mal, pero necesitaba un proveedor donde meter mis páginas o algunos dominios, sin tener que preocuparme demasiado por el número.

Con Godaddy había trabajado durante muchos años (sigo teniendo algún dominio con ellos), me fijé en que tenían también un hosting especializado en WordPress, lo que me hizo dudar hasta el final, de hecho estuve a punto de tomar la decisión de volver a confiar en ellos.

Ya hacía tiempo que leí cosas sobre SiteGround, una empresa de la que se hablan maravillas, optimizada para WP y con una respuesta de servidores magnífica (pero claro, estoy cansado de leer cosas buenas de todas empresas de hosting y luego cuando contratas no es exactamente, con lo que volví a dudar…).

SiteGround está recomendado directamente por WordPress, este hecho fue determinante, mientras Godaddy no.

En el caso de Siteground te permitían una migración gratuita de tu web, algo que me facilitaba mucho la tarea.

Y disponían de herramientas interesantes y plugins propios…

Así que finalmente opté por el plan de hosting GrowBig, con webs ilimitadas y la posibilidad de escalar si necesito más en un futuro.
La experiencia actual con SiteGround
Contraté y solicité la migración gratuita, facilité los datos y voilà mi web estaba tal y como se encontraba en el otro proveedor, fantástico.

Decidí instalar un certificado Let’s Encrypt, se hace desde el panel de control, con un clic, simple y sencillo.

Probé en realizas tests de velocidad, y descubrí como mejoraba bastante con lo que tenía antes.

A pesar de la migración WP, lo que realmente es impresionante es la instalación desde cero con CPANEL, lo que se instala no es solamente un WordPress, además dispones ya de algunos plugins instalados de caché y optimización SG.

A los pocos días de contratar se pusieron en contacto conmigo para interesarse por el proyecto que tenía, por si necesitaba ayuda, algo que se agradece y muestra la calidad de la atención al cliente.

Otro detallito, parte del spam que estaba recibiendo teniendo mi correo en un VPS ha desaparecido, estoy convenido de que mi blog está mucho más protegido que antes y que tengo un soporte enorme detrás.

Espero que esta relación que inicio con SiteGround sea duradera y fructífera.
//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Diseño web

Plantillas para hacer un directorio con WordPress

Una de las ideas en las que llevo un tiempo trabajando, como proyecto propio, es el de programar una guía de empresas y profesionales en internet, aunque el tema ya está bastante “tocado” no me importaba hacer algo pensando sobre todo en un público más local.

Precisamente por ello adquirí el dominio laguia.cat con la intención de llevar a cabo esa guía catalana y viendo como hacerlo a nivel más amplio supondría un cierto tiempo.

Ahora bien, de la primera idea que era la de programar desde cero esta guía, con todo lo que conllevaría a nivel de horas de programación, diseño y demás, y tras ir haciendo en ratos libres, finalmente he desistido de hacerlo de esta forma y lo he lanzado a través de un gestor de contenidos.
//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js

(adsbygoogle = window.adsbygoogle || []).push({});

Al principio probé con Drupal, en esa ocasión me limité a emplear un tema gratuito que me pareció interesante aunque no estaba pensado para la creación de directorios, eso sí, tuve que instalar varios módulos y aún así no me convenció el resultado.

En el caso de la programación desde cero había conseguido programar un buscador y una base de datos, no parecía algo muy complicado para cualquier desarrollador, pero entonces descubrí unas plantillas de pago que estaban pensadas para WordPress, presentaban una serie de acabados y detalles, como mapas y demás, que seguramente hubiera tardado mucho en tener listas en caso de hacerlo todo desde la nada.

La plantilla en cuestión tiene puntos muy interesantes, como decía, mapas, sliders, buscador, una presentación realmente atractiva, pero además con la opción de cambiar el css en cualquier momento sin limitación alguna.

Quizás el único inconveniente viene dado por el tema de las traducciones, esta plantilla está escrita en inglés, y no siempre es fácil encontrar los elementos que hay que traducir, lo cierto es que queda algo mal eso de que haya algunos elementos de la web que estén en distintos idiomas, pero desde luego la tarea de ir buscándolos y cambiando es mucho menos costosa que la de tener que sacarse de la chistera todo un directorio entero.

Al no inventar nada nuevo, ya que internet está plagado de páginas de este tipo, directorios de empresas, cupones de oferta y demás, el producto final resultaba bastante completo.

Una muestra más de que WordPress no solamente sirve para tener un blog y puede usarse para tener una página web, un portafolio, o como en este caso un directorio.