Hackearon mi página web, ¿qué hago?
Resulta más frecuente de lo deseable el encontrar sitios cuyos dueños sin saberlo están comprometidos con phishing ( robo de identidad o robo de información bancaria, entre otros datos ) o simplemente con una página modificada donde se señala impunemente que el sitio ha sido hackeado.
Una de las razones más probables para este problema es que uno de los sitios alojados en esa cuenta de hospedaje web ha sido comprometida o hackeada y contenido tendiente al abuso fue subido.
¿Cómo puede un sitio web ser hackeado? Hay muchos posibles escenarios que dan explicación, aquí algunos de ellos.
1. Si tienes tus datos de conexión FTP almacenados localmente en tu computadora ( lo cual es muy probable ), alguien puede robarse los datos utlizando algún tipo de trojano, spyware, entre otros. En muchas ocasiones el abuso se comete por medio del robo de información FTP almacenada localmente, y puede ser únicamente el hackeo de tu archivo index que fue sobreescrito o algún tipo de ataque más virulento y dañino, como el robo de información o envío masivo de emails.
La solución en este caso es revisión periódica de tu computadora con antivirus actualizado, escaneo total. Igualmente, el antivirus debe proteger en tiempo real, un antivirus del tipo Internet Security de Avast colocado en su nivel medio o alto de configuración, nunca en el bajo.
Otro punto importante es no accesar a tu cuenta de hospedaje desde máquinas comprometidas, como un café internet, por ejemplo, o máquinas que no cuenten con protección visible. Lo mejor es accesar desde tus máquinas protegidas siempre que sea posible.
Otro aspecto de protección es cambiar el password de tus FTPs de manera frecuente y observar las reglas de un password seguro: mínimo 8 caracteres, con letras, números y signos incluídos en él.
2. Una posibilidad de fuente de hackeo es que alguien que tiene acceso a tus datos los utilizó para hacer el daño. Este caso es bastante similar al primero y la solución aquí es sin duda el cambio inmediato de los passwords de los FTPs, cambio de password del panel de control, y de las cuentas de correo.
3. Si utilizas scripts del tipo Joomla, WordPress, etc, para conformar tu sitio, el daño pudo realizarse a través de varios métodos. Algunos de esos métodos son database injection, inclusión remota de archivos, entre otros.
El problema aquí es que todas estas aplicaciones son de código abierto, y cualquiera puede tener acceso a su código, lo que permite a los hackers encontrar agujeros de seguridad, especificamente es aplicaciones que no son actualizadas de manera frecuente. Otro punto de alerta es la inclusión de módulos, componentes o plugins de origen incierto y que no se actualizan nunca, ya sea por el desarrollador o por el usuario dueño del sitio.
Si utilizas algún script open source/código abierto debes verificar que tienes instaladas las actualizaciones últimas del script como tal, de todo componente adicional como módulos o plugins, incluyendo los temas. Es muy importante que veas los comentarios realizados por otros usuarios sobre el módulo o plugin que quieras instalar, y confirmar que son positivos y que el módulo tiene mantenimiento y actualización por parte de quienes lo generan, de lo contrario no vale la pena instalarlo, es probable que se convierta en un boquete de inseguridad.
Este un tema ampliamente discutido en la internet y hay material con detalle abundante. Sin embargo, algunas recomendaciones que podemos realizar si tu sitio ha sido hackeado son las siguientes:
- Da de baja tu sitio temporalmente, al menos hasta que sepas que el daño ha sido corregido y ubicado todo problema.
- Realiza un recuento de los daños. Siempre es una buena idea saber por ese medio qué perseguía con esa acción el hacker.
¿Querían acceso a información importante?
¿Cuál era el objetivo al controlar tu cuenta de hospedaje?
- Busca cualquier tipo de archivo que haya sido recientemente modificado o archivos/carpetas creados que no reconozcas.
- Busca trazos de actividad sospechosas en tu panel de control, tal como correos nuevos creados o cuentas FTP nuevas, entre otras cosas, checa tus archivos .htaccess por código malicioso allí.
- Determina el tamaño del problema. ¿Tienes otros sitios/dominios afectados?
Recuperación de la información
Lo realmente recomendable en este tipo de casos es realizar una re-instalación completa de todas las aplicaciones utilizando una copia fresca y actualizada del proveedor del script. Esta es la única manera de estar completamente seguro que todo lo que haya colocado el hacker está eliminado y no queda como remanente.
Después de realizar la instalación nueva, no olvides realizar restaurar el respaldo más reciente realizado de tu base de datos. No olvides confirmar que está libre de contenido afectado.
Siempre actualiza tus sitios a la última versión disponible del script usado. Esto incluye sitios tales como blogs, CMS tipo Joomla, y cualqueir otro tipo de script que tengas instalado en tu cuenta de hospedaje
Conoce más sobre nuestras cuentas de hospedaje web o dominios, estamos para responder tus inquietudes.