Pasos tácticos a considerar si tu web fue hackeado

¡Ayuda, creo que me han hackeado!

Sufrir un ataque puede ser una de las experiencias más frustrantes que tendrá en su viaje en línea. 

Sin embargo, como la mayoría de las cosas, adoptar un enfoque pragmático puede ayudarlo a mantener la cordura. 

Al mismo tiempo que va más allá de los problemas con el menor impacto posible.

Un hackeo es un término muy ambiguo, que en sí mismo proporcionará poca información sobre lo que sucedió exactamente. 

Para asegurarse de obtener la ayuda que necesita a través de los foros, asegúrese de comprender los síntomas específicos que lo llevan a creer que ha sido pirateado. 

Estos también se conocen como indicadores de compromiso (IoC).

Un par de IoC que son claros indicadores de un ataque incluyen:

• El sitio web está en la lista negra de Google, Bing, etc.
• El host ha inhabilitado su sitio web
• El sitio web ha sido marcado por distribuir software malicioso
• Lectores que se quejan de que sus antivirus de escritorio están marcando su sitio
• Se le comunicó que su sitio web está siendo utilizado para atacar otros sitios.
• Observe el comportamiento que no fue autorizado (es decir, creación de nuevos usuarios, etc.)
• Puede ver visiblemente que su sitio ha sido pirateado cuando lo abre en el navegador

No todos los hacks se crean de la misma manera, por lo que al participar en los foros, tenga esto en cuenta. 

Si puede comprender mejor los síntomas, los equipos estarán mejor equipados para brindar ayuda.

A continuación, encontrará una serie de pasos diseñados para ayudarlo a comenzar a trabajar en el proceso posterior al pirateo. 

No abarcan todo, ya que no sería práctico tener en cuenta todos los escenarios, pero están diseñados para ayudarlo a pensar en el proceso.

Algunos pasos a seguir después de ser hakeado

Mantén la calma

Al abordar un problema de seguridad, como propietario de un sitio web, es probable que experimente una cantidad excesiva de estrés. 

A menudo, es el más vulnerable en el que se ha encontrado desde que estuvo en línea y es contrario a lo que todos le dijeron:

«¡Oye, WordPress es fácil!»

¡La buena noticia es que no todo está perdido! Sí, puede perder algo de dinero. 

Sí, podrías sufrir un golpe contra tu marca. 

Sí, te recuperarás de esto.

Entonces, sí, da un paso atrás y compárate. 

Hacerlo le permitirá tomar el control de la situación de manera más efectiva y le permitirá recuperar su presencia en línea.

Documento

El primer paso procesable que debe tomar después del compromiso es la documentación. 

Tómese un momento para documentar lo que está experimentando y si es posible, los momentos. 

Algunas cosas que debes tener en cuenta:

• ¿Qué estás viendo que te lleva a creer que te han pirateado?
• ¿A qué hora notó este problema? ¿Qué zona horaria?
• ¿Qué acciones ha realizado recientemente? ¿Se instaló un nuevo complemento? ¿Hiciste algún cambio en un tema? ¿Modificar un widget?

Está creando la línea de base para lo que se reconoce como un informe de incidente. 

Ya sea que esté planeando realizar la respuesta a incidentes usted mismo o contratar a una organización profesional, este documento resultará invaluable con el tiempo.

Recomiende tomarse un momento para anotar también los detalles de su entorno de host. 

Será necesario en algún momento durante el proceso de respuesta a incidentes.

Escanea tu sitio web

Al escanear su sitio web, tiene algunas formas diferentes de hacerlo, puede usar escáneres remotos externos o escáneres a nivel de aplicación. 

Cada uno está diseñado para buscar e informar sobre diferentes cosas. 

Ninguna solución es el mejor enfoque, pero juntos mejoran enormemente sus probabilidades.

Escáneres basados ​​en aplicaciones (complementos):

• Quettera
• GOTMLS
• WordFence
• Sucuri

Escáneres remotos (rastreadores):

• VirusTotal
• Sitecheck

También hay una serie de otros complementos de seguridad relacionados disponibles en el repositorio de WP. 

Los anotados anteriormente han existido por mucho tiempo y tienen fuertes comunidades detrás de cada uno de ellos.

Escanee su entorno local

Además de escanear su sitio web, debe comenzar a escanear su entorno local. 

En muchos casos, la fuente del ataque / infección comienza en su caja local (es decir, computadora portátil, computadora de escritorio, etc.). 

Los atacantes ejecutan troyanos localmente que les permiten olfatear la información de acceso de inicio de sesión a cosas como FTP y / wp-admin que les permiten iniciar sesión como propietario del sitio.

Asegúrese de ejecutar un escaneo completo de antivirus / malware en su máquina local. 

Algunos virus son buenos para detectar software antivirus y esconderse de ellos. 

Así que tal vez pruebe con uno diferente. 

Este consejo se extiende a máquinas con Windows, OS X y Linux.

Consulte con su proveedor de alojamiento web

El hackeo puede haber afectado más que solo su sitio, especialmente si está utilizando alojamiento compartido. 

Vale la pena consultar con su proveedor de alojamiento en caso de que estén tomando medidas o necesiten hacerlo. 

Su proveedor de alojamiento también podría confirmar si un pirateo es un pirateo real o una pérdida de servicio, por ejemplo.

Una implicación muy seria de un hack en estos días es la inclusión de listas negras de correo electrónico. 

Esto parece estar sucediendo cada vez más. 

Dado que se abusa de los sitios web para enviar correos electrónicos no deseados, las autoridades de la lista negra de correo electrónico están marcando las direcciones IP del sitio web y esas direcciones IP a menudo se asocian con el mismo servidor que se utiliza para el correo electrónico. 

Lo mejor que puede hacer es buscar proveedores de correo electrónico como Google Apps cuando se trata de sus necesidades comerciales.

Tenga en cuenta las listas negras de sitios web

Los problemas de la lista negra de Google pueden ser perjudiciales para su marca. 

Actualmente, figuran en la lista negra en algún lugar del vecindario de 9.500 a 10.000 sitios web al día. 

Este número crece a diario. 

Hay varias formas de advertencias, desde grandes páginas de presentación que advierten a los usuarios que se mantengan alejados, hasta advertencias más sutiles que aparecen en las páginas de resultados del motor de búsqueda (SERP).

Aunque Google es uno de los más destacados, existen otras entidades de listas negras como Bing, Yahoo y una amplia gama de aplicaciones Desktop AntiVirus. Comprenda que sus clientes / visitantes del sitio web pueden aprovechar cualquier cantidad de herramientas y cualquiera de ellas podría estar causando el problema.

Se recomienda que registre su sitio con las distintas consolas para webmasters en línea como:

• Consola de búsqueda de Google
• Webmaster de Bing
• Webmaster de Yandex
• Webmaster de Norton

Mejore sus controles de acceso web

A menudo escuchará a la gente hablar sobre la actualización de cosas como contraseñas. 

Sí, esta es una pieza muy importante, pero es una pieza pequeña en un problema mucho mayor. 

Necesitamos mejorar nuestra postura general en lo que respecta al control de acceso. 

Esto significa, para empezar, usar contraseñas complejas, largas y únicas. 

La mejor recomendación es utilizar un generador de contraseñas como los que se encuentran en aplicaciones como 1Password y LastPass .

Recuerde que esto incluye cambiar todos los puntos de acceso. 

Cuando decimos puntos de acceso nos referimos a cosas como FTP / SFTP, WP-ADMIN, CPANEL (o cualquier otro panel de administrador que use con su host) y MYSQL.

Esto también se extiende más allá de su usuario y debe incluir a todos los usuarios que tienen acceso al entorno.

También se recomienda considerar el uso de algún tipo de sistema de autenticación de dos factores / múltiples factores . 

En su forma más básica, introduce y requiere una segunda forma de autenticación al iniciar sesión en su instancia de WordPress.

Algunos de los complementos disponibles para ayudarlo con esto incluyen:

• Rublon
• Dúo

Restablecer todo el acceso a tu sitio web

Una vez que identifique un truco, uno de los primeros pasos que querrá hacer es bloquear las cosas para que pueda minimizar cualquier cambio adicional. 

El primer lugar para comenzar es con sus usuarios. 

Puede hacer esto forzando un restablecimiento de contraseña global para todos los usuarios, especialmente los administradores.

Aquí hay un complemento que puede ayudar con este paso:

• Seguridad de iThemes

También desea borrar cualquier usuario que pueda haber iniciado sesión activamente en WordPress. Para ello, actualice las claves secretas en wp-config. 

Deberá crear un nuevo conjunto aquí: el generador de claves de WordPress . 

Tome esos valores y luego sobrescriba los valores en su archivo wp-config.php con los nuevos. 

Esto forzará a cualquier persona que aún pueda estar desconectada.

Crea una copia de seguridad.

Es de esperar que tenga una copia de seguridad de su sitio web, pero si no la tiene, será un buen momento para crear una . 

Las copias de seguridad son una parte fundamental de la continuación de sus operaciones y deben ser algo que planifique activamente para avanzar. 

También debe preguntarle a su anfitrión cuál es su política en lo que respecta a las copias de seguridad. 

Si tiene una copia de seguridad, debería poder realizar una restauración y habilidad directamente en el trabajo forense.

Nota al margen: es importante que mantenga copias de seguridad periódicas de su base de datos y archivos . 

Si esto vuelve a suceder.

Independientemente, antes de pasar a la siguiente fase de limpieza, se recomienda que tome una instantánea más del entorno. 

Incluso si está infectado, dependiendo del tipo de pirateo, los impactos pueden causar muchos problemas y, en caso de una falla catastrófica, al menos tendrá esa copia incorrecta como referencia.

Busque y elimine el truco en tu wordpress

Esta será la parte más abrumadora de todo el proceso. 

Encontrar y eliminar el truco. 

Los pasos exactos que tome estarán determinados por una serie de factores, incluidos, entre otros, los síntomas indicados anteriormente. 

La forma en que aborde el problema estará determinada por su propia aptitud técnica para trabajar con sitios web y servidores web.

Sin embargo, para ayudar en el proceso, hemos incluido varios recursos diferentes que deberían ayudarlo en el proceso:

• ¿Su sitio de WordPress fue pirateado?
• Cómo limpiar su instalación pirateada
• Cómo limpiar un sitio de WordPress pirateado
• Cómo hacer frente a un sitio pirateado
• Cuatro infecciones de malware
• Cómo limpiar un truco de WordPress

Puede resultar tentador purgar todo y empezar de nuevo. 

En algunos casos eso es posible, pero en muchos casos simplemente no es posible. 

Sin embargo, lo que puede hacer es reinstalar ciertos elementos del sitio sin tener en cuenta el impacto en el núcleo de su sitio web. 

Siempre querrás asegurarte de reinstalar la misma versión de software que está usando tu sitio web, si eliges una más antigua o más nueva, es probable que destruyas tu sitio web. 

Al reinstalar, asegúrese de no utilizar las opciones de reinstalación en su WP-ADMIN. 

Utilice su aplicación FTP / SFTP para arrastrar y soltar las versiones. 

Esto resultará mucho más efectivo a largo plazo, ya que esos instaladores a menudo solo sobrescriben los archivos existentes, y los hacks a menudo introducen nuevos archivos …

Puede reemplazar los siguientes directorios de forma segura:

• / wp-admin
• / wp-includes

A partir de ahí, se recomienda que sea más diligente al actualizar y reemplazar archivos a medida que avanza por el contenido de wp, ya que contiene su tema y archivos de complemento.

El único archivo que definitivamente querrá ver es su archivo .htaccess. 

Es uno de los archivos más comunes, independientemente del tipo de infección, que se actualiza con más frecuencia y se usa para actividades nefastas. 

Este archivo se encuentra a menudo en la raíz de su carpeta de instalación, pero también se puede incrustar dentro de varios otros directorios en la misma instalación.

Independientemente del tipo de infección, habrá algunos archivos comunes que querrá vigilar durante el proceso de reparación. Incluyen:

• index.php
• header.php
• footer.php
• function.php

Si se modifican, estos archivos generalmente pueden afectar negativamente a todas las solicitudes de página, lo que los convierte en objetivos importantes para los malos actores.

Aprovechar la comunidad

A menudo lo olvidamos, pero somos una plataforma basada en la comunidad, esto significa que si estás en problemas, es probable que alguien de la comunidad te eche una mano. 

Un muy buen lugar para comenzar si no tiene dinero en efectivo o simplemente busca una mano amiga es el foro de WordPress.org Hackeado o Malware .

¡Actualizar! tu sitio web

Una vez que esté limpio, debe actualizar su instalación de WordPress al software más reciente . 

Las versiones anteriores son más propensas a los ataques que las versiones más nuevas.

¡Cambie las contraseñas de nuevo!

Recuerde, debe cambiar las contraseñas de su sitio después de asegurarse de que esté limpio. 

Entonces, si solo los cambió cuando descubrió el truco, cámbielos nuevamente ahora . 

Nuevamente recordando usar contraseñas complejas, largas y únicas.

Puede considerar cambiar la cuenta de usuario y la contraseña de la base de datos. 

Cuando los cambie, no olvide mejorarlos al archivo wp-config.php.

Forense. en tu sitio web

La ciencia forense es el proceso de comprender lo que sucedió. 

¿Cómo entraron los atacantes? 

!El objetivo es comprender el vector de ataque que utilizó un mal actor para asegurarse de que no pueda volver a abusar de él. 

En muchos casos, es muy difícil para los propietarios de sitios web realizar este tipo de análisis debido a la falta de conocimiento técnico y / o datos disponibles. 

Si tiene los metadatos necesarios, existen herramientas como OSSEC y splunk que pueden ayudarlo a sintetizar los datos.

Asegure su sitio

Ahora que ha recuperado con éxito su sitio, asegúrelo implementando algunas (si no todas) de las medidas de seguridad recomendadas .

No puedo iniciar sesión en el panel de administración de WordPress

Hay ocasiones en las que un mal actor se apropiará de sus cuentas de administrador. 

Esto no es motivo de pánico, hay algunas cosas diferentes que puede hacer para recuperar el control de su cuenta. 

Puede seguir estos pasos para restablecer su contraseña

Las herramientas como phpMyAdmin y Adminer suelen estar disponibles a través de su proveedor de alojamiento. 

Le permiten iniciar sesión en su base de datos directamente, sin pasar por la pantalla de administración y restableciendo su usuario en la tabla de usuarios wp_users.

Si no quiere meterse con los hash de contraseña o no puede resolverlo, simplemente actualice su correo electrónico y vuelva a la pantalla de inicio de sesión, haga clic en Olvidé la contraseña y espere el correo electrónico.

¿Utilizas el control de versiones?

Si está utilizando el control de versiones, puede resultar muy útil identificar rápidamente qué ha cambiado y volver a una versión anterior del sitio web. 

Desde la terminal o la línea de comandos puede comparar sus archivos con las versiones almacenadas en el repositorio oficial de WordPress.

PS svn diff .

O compare un archivo específico:

PS svn diff /path/to/filename