Hace algunos meses, nos tocó trabajar y restaurar un sitio web hackeado. No era la primera vez que realizábamos este servicio (era la segunda), pero normalmente ninguna es como la anterior.
En ambos casos el cliente viene con un producto desarrollado por terceros, en ambos casos se trata de una instalación Wordpress, y en ambos casos se trata de un sistema desactualizado.
Los casos
El primero que enfrentamos llegó a raíz de comentar unos trabajos de SEO. En la consola de Google se veían numerosas url que no llevaban a ningún sitio real de la web en cuestión, pero que aparecían en resultados (productos de farmacia sobre todo). Y esto es algo que llevaba meses pasando hasta que se dieron cuenta. Miles de URLs fraudulentas indexadas bajo su dominio en Google.
El segundo caso llega a raíz de una 'verificación de dominio en Search Console', obviamente no solicitada (sobre una de las variantes del dominio, no sobre la propiedad), y por un usuario desconocido. Por suerte, al tener la propiedad de dominio configurada, llega alerta al cliente. Importante recalcar que para verificar la propiedad de un dominio necesitas acceso a los archivos o a la gestión DNS del dominio.
Como se puede apreciar, en ambos casos la alerta llega por algo externo a la web.
El primer caso
Realizamos un trabajo de investigación, y entregamos al cliente un informe preliminar con un background de lo sucedido en su sitio. Estado de des-actualización y desde cuando, cuando se dan de alta las primeras URLs, archivos en el sistema de archivos de Wordpress maliciosos.
En este caso particular, el dominio era irrecuperable por completo, por lo que se decide mover a otro dominio.
Una vez estudiado, empezamos las acciones:
- Limpieza del sitio web.
- Actualización.
- Traslado de dominio.
- Securización del entorno Wordpress.
El segundo caso
Realizamos un trabajo de investigación y descubrimos la web caída. Estábamos en medio del proceso esta vez: vemos el archivo de verificación de Google Search Console, y vemos como el atacante está montando una réplica de la home 'aparte' para poder realizar acciones a su antojo en el Wordpress sin levantar sospechas. En este caso las medidas son mas sencillas:
- Eliminamos accesos al Wordpress.
- Actualizamos Wordpress y todo el entorno (webs viejas en el mismo hosting).
- Securizamos Wordpress.
- Tomamos posesión de la propiedad de Search Console y eliminamos al usuario malicioso.
Wordpress (u otros CMS comerciales) frente a un desarrollo a medida
Podemos decir que esta es una de las razones por las que recomendamos un desarrollo a medida para tu web o ecommerce, en vez de un Wordpress, Prestashop, etc.
¿Significa que sea mas seguro? No tiene por qué, pero son infraestructuras mas sencillas, menos comunes (y por tanto menos atacadas, lo tenemos 100% comprobado por registros del servidor), son más fáciles de mantener...
¿Un desarrollo a medida es más caro? En la mayoría de los casos no. Hemos realizado, y realizamos desarrollos web y ecommerce a medida y sobre Wordpress o Prestashop, y se han dado de todos los casos, pero si puedo asegurar que el mantenimiento de una web a medida es mas sencillo y barato que el de la alternativa en Wordpress, por ejemplo.
Las infraestructuras de sitios web mas comunes, y sus plugins, reciben decenas o cientos de ataques al día, por dominio, de todo el mundo. Eso es incontrolable. Al ser elementos tan extendidos los atacantes aprovechan la fuerza bruta 'y alguno caerá'.
La importancia del mantenimiento
Volvemos a poner en valor la importancia de tener un mantenimiento 'activo' en tu sitio web o ecommerce, porque hay veces (como en el primer caso) en el que te vas a dar cuenta tarde de que algo pasa.