Han hackeado tu página web, ya sea de WordPress, Joomla, Grav… Esto le sucede a muchos webmasters y nadie puede librarse de ello, incluso a pesar de todo el trabajo dedicado a evitar que este tipo de cosas ocurra. Evitarlo incluye mantener tu sitio actualizado con los últimos parches y software. Si a pesar de todo esto han hackeado tu página web, no te preocupes, respira… estamos aquí para ayudarte.
En cualquier caso, el primer paso debe ser contactar al proveedor de alojamiento web, si dispones de uno. A menudo ellos pueden hacerse cargo de los aspectos más técnicos. Muchos webmasters utilizan alojamiento compartido. Ésta es la primera premisa que tienes que tener clara. La mayoría de hostings simplemente se desentenderán del asunto, y se limitarán a dejarte caída la web si lo detectan.
En nuestra agencia creativa nuestros clientes no tienen que preocuparse por esto, ya que todas las páginas webs de nuestros clientes tienen contratado un mantenimiento mensual, que garantiza la tranquilidad a todos ellos, y ante estos casos de hackeo de páginas webs, nuestros clientes están tranquilos porque les protegemos con copias de bases de datos y las acciones necesarias a nivel de servidor y ficheros para proteger su sitio web.
Si no quieres preocuparte más de tu página web, y evitar hackeos a tu página web, LLÁMANOS o ponte en contacto con nosotros y te ofreceremos las mejores soluciones para recuperar tu página web hackeada.
Me han hackeado mi página web de WordPress
Si tu página web ha sido hackeada y esta es WordPress, vamos a darte una serie de consejos prácticos si tienes un nivel un poco avanzado en temas de webmasters. Si por el contrario no sabes como realizar estos pasos, no te preocupes, contrata nuestro servicio de mantenimiento web y nosotros te solucionaremos tus problemas, sin que tengas que preocuparte por nada.
Comencemos con esta rápida guía pero muy eficaz para proteger tu página web de WordPress ante hackers.
La base de datos WordPress es el cerebro de tu instalación, ya que almacena toda la información que vayas creando. Esto la convierte en el objetivo principal de los atacantes.
WordPress es un software de código abierto y todo el mundo tiene acceso a los nombres por defecto de las tablas que forman su base de datos. Cualquier individuo con malas intenciones y suficientes conocimientos puede aprovechar vulnerabilidades existentes (habitualmente en plugins o temas mal programados) para realizar un ataque a tu instalación. Como el atacante conoce los nombres de tus tablas, puede conseguir modificar tus contenidos o incluso eliminar todos los contenidos de estas mediante inyección de SQL.
Soluciones contra el hackeado mi página web de WordPress
Nunca debes dar información gratis y ¿qué información da WordPress gratis a los posibles hackers?, pues entrega la información de en que versión esta tu instalación de WordPress, incluido en el fichero readme.txt de tu instalación y, acuérdate, el prefijo de la base de datos, que por defecto viene marcado a “wp_” en el fichero ‘wp-config.php‘ creado en la instalación a partir de ‘wp-config-sample.php‘.
Eliminar el fichero readme.txt puedes hacerlo en cualquier momento pero ¿y si no te acordaste de cambiar el prefijo de la base de datos en el momento de la instalación?, ¿puedo hacerlo ahora?…
Pues si, no solo puedes sino que debes hacerlo. Cuando un hacker tataque tu sitio web con injección SQL lo primero que va a hacer es comprobar su las tablas de tu base de datos empiezan por ‘wp_’ pues los nombres de las tablas de WordPress son de sobra conocidas y la mayor parte de instalaciones se generan por defecto sin preocuparte por este pequeño, pero gran detalle de seguridad.
Comencemos con todos estos trabajos. ¡IMPORTANTE!, y como siempre, antes haz copia de la base de datos, eso que no se te olvide por si metes la pata en algún paso.
1. Modifica el archivo wp-config.php
Busca la sección que dice esto:
|
1
2
3
4
5
6
7
|
/**
* Prefijo de la base de datos de WordPress.
*
* Cambia el prefijo si deseas instalar multiples blogs en una sola base de datos.
* Emplea solo números, letras y guión bajo.
*/
$table_prefix = ‘wp_’;
|
Aquí es donde vamos al cambiar el prefijo, y lo ideal es usar una cadena que sea difícil de identificar, cuanto más mejor, por ejemplo ‘wp_tukeyword_’. Así que sustituimos el predecible ‘wp_’ por esto:
|
1
2
3
4
5
6
7
|
/**
* Prefijo de la base de datos de WordPress.
*
* Cambia el prefijo si deseas instalar multiples blogs en una sola base de datos.
* Emplea solo números, letras y guión bajo.
*/
$table_prefix = ‘wp_tukeyword_’;
|
2. Cambiamos los nombres de las tablas de la base de datos
Como en el paso anterior hemos dicho a WordPress que el prefijo de las tablas es distinto al que tienen las existentes, por lo tanto tu página web dejará de funcionar y te saldrá un error. No te asustes, esto es completamente normal, sigue con la guía y no te pares ahora.
Cuando instalas WordPress se añaden nada menos que 11 tablas estándar por defecto en tu base de datos. Si instalas plugins, incluso con algunos temas, la lista va creciendo. Accede a phpMyAdmin, que lo encontrarás en tu panel de hosting y revisa en la lista de la izquierda la lista de tablas de tu base de datos y verás, por lo menos, las 11 originales (aunque seguro que verás más), como en el caso de un cliente nuestro que hemos tenido que solucionarle problemas de hackeo recientemente, y que por seguridad borraremos todos los datos sensibles.
Bueno, pues como ya estamos dentro de phpMyAdmin elegimos la pestaña SQL y luego marcamos todas las tablas en la parte inferior, y una vez marcadas seleccionamos el comando «Reemplazar prefijo de la tabla», con lo que añadiremos el prefijo a eliminar "wp_" y añadiremos el nuevo a reemplazar "wp_tukeyword_".
Luego le das a «Continuar» y tus tablas quedan renombradas de golpe.
3. Modifica la tabla wp_options
La tabla ‘wp_options‘ contiene por lo menos un valor que hace referencia a los viejos prefijos de tabla así que hay que cambiarlo. Ahora procederemos a ejecutar un comando SQL que nos muestre todos los valores de esta tabla que contengan los nombres viejos.
Vamos a la pestaña SQL y en la parte superior introducimos lo siguiente, de nuevo cambiando mi cadena aleatoria por la tuya.:
|
1
|
SELECT * FROM `wp_tukeyword_options` WHERE `option_name` LIKE ‘%wp_%’
|
Cuando veas los resultados edita el ‘option_name‘ para cambiar ‘wp‘ a la cadena que elegiste. O sea, que si uno de los ‘option_names‘ es, por ejemplo, ‘wp_user_roles‘, lo cambias a ‘wp_tukeyword_user_roles‘, para que haga la referencia a los nuevos nombres de tablas.
4. Modifica la tabla wp_usermeta
Al igual que antes, también en esta tabla hay referencias a los prefijos antiguos, así que de nuevo hay que ejecutar un comando para terminar el proceso, así que añadimos lo siguiente para saber lo que nos toca cambiar en esta tabla:
|
1
|
SELECT * FROM `wp_tukeyword_usermeta` WHERE `meta_key` LIKE ‘%wp_%’
|
Ahora lo que toca es cambiar el ‘meta_key‘ de cada resultado para que nuestro escudo «anti-hackers» ya tenga un correcto funcionamiento y nuestro sitio web de WordPress funcione con normalidad.
¡Y ya está!. Ya puedes ir al Escritorio de tu WordPress para comprobar que todo funcione y sabiendo que estás un poco más seguro ante inyecciones SQL.
Nota final: si no has conseguido ejecutar todos los pasos correctamente y no consigues que tu instalación de WordPress funcione y quede protegida, ponte en contacto con nosotros e intentaremos valorar tu problema para ofrecerte la mejor solución.
Comments are closed.