Hoy tenemos un súper artículo de Iván Kreimer sobre seguridad, yo que tú lo leería hasta el final.
Estás en peligro constante. Tal vez no te das cuenta. Tal vez sois muy ingenuo y crees qué no te van a atacar, porque no tenéis nada importante por lo que ser atacado.
Estás equivocado. Estás en peligro y si no reaccionas a tiempo, tarde o temprano va a ser demasiado tarde.
Pero, ¿De qué estás hablando?
De los hackers. De los virus.
Al igual que los virus que nos rodean día a día (como en la oficina o en la calle), los virus en Internet están siempre merodeándote.
Por eso, es importante que tengas una estrategia de seguridad de tu blog para combatir a estos virus.
Pero antes de hablar de estrategias, empecemos por lo básico.
Contenidos
1. Mejora tu password
No puedo creer que siga habiendo tanta gente con una contraseña tan tonta como “asd123” o, peor aún, “1234”.
Señores, los hackers son un poquito más inteligentes que eso. Cualquiera podría descifrar (si es que a eso se puede llamarle descifrar) ese tipo de contraseñas.
Es necesario obligatorio que te tomes bien en serio esto y crees una contraseña un poquito más complicada. Si es posible, una que sea tan complicada que apenas la entiendas tú.
Por ejemplo, mezcla el número de tu casa (o el de casa en la que te criaste) con el nombre de tu mascota, mejor amigo, padre o equipo favorito de futbol, más algún símbolo extra, como un signo de pregunta o uno de exclamación. En mi caso sería 1475gimnasia!! (sí, soy hincha de Gimnasia y Esgrima La Plata, ¿Qué le voy a hacer?).
No importa que sea demasiado larga. 123456789 es larga y es fácil de descifrar. Una más corta, como 1475gimnasia!!, es más complicada y, por ende, más efectiva.
Mientras te acuerdes, todo vale.
2. Instala plugins de seguridad
Siempre hablo que la mejor plataforma para tener un blog es WordPress. No voy a ponerme a explicar porqué tienes que elegirlo por sobre otras plataformas. Simplemente es la más sencilla y efectiva.
En este caso, para mejorar la seguridad de tu blog, WordPress viene como anillo al dedo. ¿Porqué? Porque con tan solo instalar algunos plugins de seguridad, éstos hacen todo (o casi todo) por ti.
Entre los plugins que yo recomiendo tenemos:
- WP-DB-Backup: Hace un backup de la base de datos de tu blog.
- Login Ninja: Hace de todo un poco, desde banear a IPs que atacan tu blog, hasta ponerle Captchas a la página de registro del administrador.
- Security Ninja: Un plugin muy pero muy completo que hace auditorías de seguridad, busca huecos y vulnerabilidades de tu sitio, entre un montón de otras cosas más.
- AdminSSL: Como dice el nombre, este plugin te asegura la página de registro (o login), el área de administración, los posts y las páginas usando un protocolo privado o compartido de SSL. (Lamentablemente este plugin no ha sido actualizado hace más de dos años, así que tal vez no sé si sea la mejor opción hoy en día).
- Akismet: ¿Quién no conoce a Akismet? Todos aquellos que tienen su blog en WordPress.org lo deben conocer. Este útil plugin nos simplifica la vida a todos los bloggers, ya que nos quita de encima el peso de quitar uno por uno a los comentarios spam. Con tan solo activar tu cuenta (la cual puede ser gratuita o paga) ya estás salvado del spam.
- Theme Authenticity Checker (TAC): Te escanea todos los archivos de tu tema para encontrar códigos potencialmente peligrosos.
- Antivirus: Igual al anterior, nada más que es otra variante.
- WordPress File Monitor: Monitorea todos los archivos de tu cuenta de WordPress, buscando cambios inesperados. Cuando encuentra uno, te avisa inmediatamente. (Al igual que AdminSSL, este plugin no ha sido actualizado en mucho tiempo).
- Better WP Security: Un completo plugin que, entre varias cosas, cambia las URLs de tu página de registro, remueve mensajes de error de registro, inserta un protocolo SSL a algunas de las páginas de administración, mejora la seguridad del servidor, entre otras cosas más.
- BulletProof Security: Otro plugin muy completo similar al anterior, pero con algunas diferencias pequeñas.
- Wordfence Security: Crea un Firewall para tu cuenta, escanea virus, verifica y repara los archivos de tu base de datos, entre otras cosas más.
3. Busca el malware
Si no estás al tanto de tu seguridad, y si tampoco instalaste ninguno de estos plugins que mencione anteriormente, es importante que al menos tomes algunas medidas de precaución. Entre ellas, está buscar por malware.
Pero antes, ¿Qué es el malware?
Malware, según las sabias palabras de Wikipedia , es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario.
Un caso típico de malwares es cuando te bajás archivos del PC, como instaladores o programas. Si tienes un buen antivirus en tu computadora, es probable que te los detecte automáticamente. Sin embargo, no todo el mundo es consciente de ello. He ahí la razón por la gran proliferación de alguno de los virus, muchos de los cuales podrían haber sido evitados con un simple antivirus.
Entonces, ¿Qué hacer para buscar y encontrar el malware?
Primero, tener un hosting que lo haga por vos. Muchos hostings proveen servicios de seguridad, aunque dudo que alguno de esos sean tan buenos como dicen ser.
Si aún así eso no te alcanza, es importante que contrates servicios extra como Sucuri, los cuales hacen un escaneo de tu servidor para encontrar el malware, entre otras cosas más.
Relacionado con el punto anterior, si utilizas WordPress.org, tienes la chance de utilizar algunos plugins extras que también buscan el malware. Uno que no mencioné en la lista anterior, es Sucuri, de la compañía homónima, el cual es gratuito. Éste, al igual que plugin Anti Malware, son dos servicios que escanean tu servidor en busca del malware.
Por último, tenemos la opción de contratar a un experto en seguridad informática. De todas formas, no estoy seguro si eso es realmente necesario para tu caso, ya que los expertos en seguridad informática son útiles para páginas con miles o millones de páginas, gran cantidad de datos, entre otras cosas más. Además, contratar a un experto de este tipo sale muy caro.
4. Elegir el hosting correcto
Como dije en el punto anterior, hay algunos hosting que proveen servicios de seguridad. Algunos son mejor que otros.
Lo que es clave es que, al menos, éstos provean servicios de detección del malware, backup diario, semanal o mensual, y firewall.
Si es necesario pagar de más, que a si sea. A la larga, te estarás ahorrando mucho dinero y estrés.
5. Prepárate para lo peor
Siempre digo lo mismo cuando se refiere a la seguridad: prepárate para lo peor. Nunca sabes cuando te pueden hackear tu página, y en el caso que eso pase, debes estar preparado.
Si estás dudando entre hacer algo que pueda mejorar la seguridad de tu página y hacer otra cosa (como mejorar el diseño web), opta por la seguridad. Nunca está de más protegerte de los ataques de los hackers y de los virus.
A su vez, sería bueno que tengas un plan B.
Piénsalo así: ¿Que pasaría si te atacan? Tener siempre un plan para saber que hacer en el caso que algo raro le ocurra a tu página. Tal vez sea algo pequeño que te haga sospechar, pero es importante que te muevas rápido.
Escanea tu página, mira tus plugins, pregunta en algún foro (link de foro de página) y mira que te dicen.
Lo importante es no dejarse estar, porque puede que sea demasiado tarde una vez que pase.
Conclusión
Es importante subrayar que no tener una estrategia de seguridad es exponerse innecesariamente. No quiero que quieras jugar con algo tan poco trivial como la seguridad de uno de tus activos más importantes, como es tu página web.
Tampoco es mi intención que te pongas neurótico. Para nada. Simplemente quiero que te hagas consciente de los peligros reales que existen hoy en día.
Como dije al comienzo, no importa si creés que no vas a ser hackeado por la razón que se te ocurra (la mayoría de las veces es “¿hackearme a mi? si no tienen nada que robarme!“), es importante que estés al tanto de la realidad.
¿Qué has hecho hasta hoy para proteger tu sitio web? ¿Qué vas a hacer a partir de ahora? Dime tus próximos pasos en los comentarios más abajo.
Es un tema que hay que cuidar mucho y gastar tiempo en configurar este tipo de protecciones.
Saludos
Me parece un articulo que me cae como “anillo al dedo”. Ya he tenido dos caídas de mis blogs aprendiendo y el punto neurálgico y que uno debería aprender de primeras es la seguridad y la forma de hacer backup. Creo que además sería interesante un pequeño tutorial de manejo de cada plugin. A veces para innecesario pero personas princpiantes como yo ( que son muchísimas); se ahogan en un vaso de agua. Gracias
Un plug ademas de los de seguridad es duplicator para wordpress solo un click y respaldas todo, desde contenido hasta base de datos con 1 solo click, ademas todo en un solo archivo que en caso de algun daño irreparable solo borras todo, bases de datos contenido, wordpress etc y subes el archivo generado y te lo deja como nuevo con una base de datos nueva por supuesto pero con el contenido del anterior. Saludos Cordiales
Xavier
Buena aportación Xavier, habrá que probarlo.
Saludos.