Recientemente dos amigos del mundillo han visto cómo, de la noche a la mañana, su forma de conseguir ingresos pendía de un hilo.
En uno de los casos hablamos de una pareja de compañeros que este año se han animado a compaginar su trabajo principal en una multinacional con el «bonito» mundo del emprendimiento, precisamente ofreciendo sus servicios de diseño y desarrollo web.
En el otro caso, un amigo que lleva dedicándose a esto del desarrollo y administración de sistemas más de veinte años, con una reputación y una clientela ya asentada.
Te cuento el perfil de ambos para que entiendas que no son clientes sin conocimientos técnicos, sino gente de mi sector, que trabajan en temas online y que por supuesto «controlan» de WordPress y del desarrollo web en general.
El caso es que en ambas situaciones sus páginas han sido infectadas por un malware.
En la de los primeros, lo que a todas luces parece un troyano que tiene como objetivo posicionar contenido de terceros (en la imagen superior puedes ver que en los resultados de Google está mostrando algo en chino) en las páginas infectadas.
En la del segundo, realmente el hackeo fue a la web de una de sus clientes, que por supuesto tenía el WordPress desprotegido, y de ahí ha saltado a su propia página y a su servidor, poniendo en compromiso al resto de clientes cuyos portales alberga.
Y el problema es que una vez el mal está hecho, solventarlo no siempre es sencillo, e incluso en algunos casos (por ahora no hemos llegado a esto en ninguno de los dos mencionados) me he tenido que ver en la tesitura de recomendarle al dueño de la página que se plantee empezar casi de cero con un nuevo dominio.
Pero vayamos por partes.
Índice de contenido
¿Por qué y cómo me han «hackeado» la página?
La respuesta es prácticamente la misma a ese artículo que publiqué ya hace unos años sobre por qué me entran virus si tengo un antivirus activo.
Hay que tener en cuenta dos factores:
- No te están atacando a ti, sino que atacan indiscriminadamente: La amplia mayoría de ataques a páginas webs están automatizados. No es que la competencia te quiera joder (algunos casos de estos me he encontrado, ojo), sino más bien que pululando por la red hay miles de arañitas (crawlers en el argot técnico) buscando sistemáticamente recursos expuestos en la red que estén desprotegidos. Y han dado con tu página, han probado a acceder a ella utilizando para ello vulnerabilidades conocidas, y han podido.
- Las webs hay que mantenerlas: Una vez creadas hay que seguir trabajando en ellas. Y con trabajar me refiero a que es importantísimo realizar copias de seguridad periódicas y también mantener todos sus componentes actualizados. Ten en cuenta que en cada actualización de WordPress (me centraré en WP por ser el CMS más utilizado de lejos en Internet, pero esto aplica para cualquier otro desarrollo) se corrigen no pocas vulnerabilidades, y este listado (es algo público) sirve de roadmap para esos sistemas automatizados que son los que acaban jodiendo tu proyecto.
Así que aquí va el primer tip: Si no tienes los conocimientos y/o el tiempo necesario para segurizar periodicamente tu página, por favor, externalízalo en alguien que se dedique a ello.
Y aquí va el segundo tip: Un WordPress actualizado, per sé, no es seguro. Y menos con la plantilla y plugins descargados por ahí o comprados en plataformas como Themeforest que le has metido. Para segurizar un WordPress hay que hacer trabajo a bajo nivel.
Un servidor mismamente tiene varios clientes a los que «únicamente» les implemento la estrategia de copias de seguridad replicadas en local y en la nube y les mantengo actualizados sus componentes, corrigiéndoles los problemas ocasionados por esos continuos cambios en sus recursos web.
No es un trabajo bonito, que prefiero ayudar a PYMEs y profesionales a vender más y mejor en Internet, pero entiendo que es algo que hay que hacer bien y por tanto también lo ofrezco entre mis servicios.
¿Qué debo hacer ahora que YA he sido atacado?
Si tu página y/o el servidor empieza a hacer cosas raras (se cae mucho, Google te alerta de que tu página ha sido comprometida, se te han creado usuarios nuevos con permisos avanzados, o aparecen nuevas páginas/artículos…) lo más probable es que en efecto hayas sido atacado con éxito.
Es más, como explicaba en el segundo caso, puede que el ataque te haya comprometido tu página después de haber atacado a otra web que está en tu mismo servidor. Que la culpa, realmente, no sea tuya, sino de ese otro cliente y hasta cierto punto del administrador del servidor, que no tiene una política de directorios y permisos adecuada.
Y de nuevo, lo primero es pedir ayuda a alguien que sepa de esto.
Habitualmente los pasos a seguir son:
- Revisar si Search Console (ES) o los logs del servidor nos chivan algo.
- Ver qué está haciendo el malware, con idea de intentar identificarlo y por tanto saber cómo atacarlo.
- Proceder a la limpieza, primero probando con plugins de seguridad, y si esto no funciona, barajando otras opciones un poco más radicales como pueden ser los antivirus a nivel de servidor o incluso el volver a crear la web de cero, migrando solo el contenido y el diseño, para ir poco a poco incluyéndole funcionalidad mientras esperamos a ver si el problema persiste.
¿Que hay que hacer DESPUÉS de haber eliminado la amenaza?
Afortunadamente la mayoría de ataques se acaban eliminando con una limpieza más o menos exhaustiva, y aquí lo único que tenemos que tener en cuenta es que una vez hemos sido víctimas de un ataque de este estilo, nuestra web va a tener para siempre una diana marcada en la frente.
Por la misma razón de por qué cuando llamamos pidiendo presupuesto a una operadora ésta ya entiende que puede spamearnos con llamadas telefónicas siempre que quiera. Si has caído una vez, es probable que caigas más veces.
La nueva web tiene que estar diseñada a prueba de bombas, y de nuevo, esto es un trabajo que tiene una parte inicial (segurización de sus componentes tras la limpieza) y otra periódica (mantenimiento y actualización de sus componentes a lo largo del tiempo).
Pero es que aquí no acaba el drama. Es más, por esto es por lo que quería escribir este artículo.
Si te acuerdas, en el primer caso que te comentaba los compañeros se dieron cuenta del ataque porque al buscar su página en Google ésta mostraba contenido en chino… cuando ellos son españoles.
Google ya se había dado cuenta de ello y les había enviado una alerta vía Search Console de que su página estaba comprometida, y que por tanto, la iban a eliminar de sus servicios.
Y esto significa que, de pronto, dejas de aparecer en Google, y tampoco tienes acceso a sus servicios (Google Ads, AdSense…).
Para un negocio, sea puramente online o no, esto puede ser, literalmente, el fin. Que no aparezcas en las búsquedas y que tampoco se muestre tu publicidad hace que por Internet no te lleguen nuevos clientes.
Es como si delante de tu local, en medio de la acera, pusieran un puesto que bloquea por completo tu tienda. Los transeúntes seguirán pasando enfrente tuyo, pero al no verte, no entrarán a comprarte.
El peligro de que la web de tu negocio sea baneado de Google
Google tiene dos tipos de bloqueo que puede implementar a una página comprometida:
- Los bloqueos automáticos: Es decir, los que aplican sus algoritmos automáticamente cuando entienden (y por regla general poco se equivocan) que algo malo te está afectando, y que eso puede comprometer la seguridad y/o privacidad de sus usuarios.
- Los bloqueos manuales: Es decir, los que un operador de Google, después de revisar manualmente tu página, decide aplicarte.
Y en ambos casos tienes la opción de, una vez solucionado el problema, volver a pedir a Google que reconsidere la decisión.
El problema es que, como suele pasar con todo lo que depende de un tercero, esa revisión puede ser casi instantánea o tardar semanas. Y lo mismo para cuando lo vuelva a revisar te hace o no caso.
Mientras tanto, tu web es, a efectos de tráfico orgánico, invisible, con el impacto esperable en los ingresos mensuales de tu negocio.
Además, una vez Google reconsidera que ya está el problema solucionado, puede que hayas perdido posicionamiento. Ergo, partes de una situación peor. Ergo, menos ingresos mensuales.
En el peor de los escenarios Google entiende que sigues siendo una amenaza para los usuarios de Internet y decide mantener el baneo. Podemos quejarnos todo lo que queramos, que si es así, hay poco que podamos hacer más que comprar otro dominio nuevo, asegurarnos de que en efecto la nueva web no tienen rastro de nada que pueda ser motivo de suspicacia por parte del gigante de las búsquedas, y empezar literalmente de cero a posicionar el contenido que hayamos generado.
Es decir, mandar a la mierda todo el trabajo online anterior.
De ahí la importancia crítica de que como mínimo hagas un mantenimiento básico de tu página. De que implementes como mínimo una estrategia de copias de seguridad almacenadas en otro lugar que no sea el propio servidor, ya que si te comprometen tu página, lo mismo también te comprometen el servidor y no tendremos forma, llegado el momento, de recuperar un estado anterior de la web.
Por cierto, de los dos casos anteriormente mencionados, el primero parece que ya ha solucionado la parte de seguridad, y está aún en espera de que Google le haga caso para volver a aparecer en las búsquedas.
El segundo ha tenido que volver a una versión anterior de su página, dedicándole casi un par de semanas a solucionar el problema, pidiendo perdón a sus clientes por los problemas ocasionados, y de paso, habiendo gastado bastante dinero entre pruebas en diferentes servidores. Sin olvidarnos del impacto que puede tener esto para su negocio de aquí en adelante.
De que algo así nos ocurra lamentablemente no estamos nadie exentos. Por eso toma acción antes de que sea demasiado tarde para que, al menos, si te acaba ocurriendo, que el daño sea el mínimo posible.
________
Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.
Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si te merece la pena entrar en el Club Negocios Seguros y aprovecharte de todo el contenido exclusivo que publico para los miembros.
Debo decir que todo esto es cierto. A un familiar cercano le pasó esto y las repercusiones fueron grandes. Ahora, ha aprendido la lección y siempre hace uso de la ayuda de profesionales capaces. Muy buen artículo, bastante claro, la verdad. Ojalá muchos puedan entender esto y subir de nivel la seguridad de sus datos. Es algo necesario
Muchas gracias por compartir tu experiencia Daniel.
Saludos!