818Categoría : Emprendedor Elite.

El  tema de la seguridad en internet y en nuestros Blogs es algo que pocos toman en cuenta, porque “ojos que no ven corazón que no siente”. No estamos conscientes del peligro. Si no quieres preocuparte no leas este artículo. Cuando te das cuenta la cantidad de intentos de acceso fallidos que tiene un blog intentando adivinar tu nombre de administrador y contraseña (ataques de fuerza bruta) te comienzas a preocupar.

Todo empezó cuando instalé el plugin WassUp Real Time Analytics (lo encuentras gratis en los plugins recomendados por wordpress)  con la intención de analizar quienes y cuántos visitantes tenía mi blog y ver que páginas leían. Todo bien con el plugin, te lo recomiendo 100%,  porque te permite saber cómo navega la gente en tu blog, que artículos son los más visitados, puedes separar el tráfico  de tus visitantes de las arañas (robots de los buscadores), etc. También es muy bueno el plugin WP SlimStat por Camu, pero como entrega mucha información de tus visitantes, es más complicado el análisis.

Mi preocupación comenzó cuando observé que muchos de mis visitantes iban a la página (URL)wassup logins  /wp-login.php en vez de mis artículos… ¿login.php?.. visitantes con direcciones IP distintas, de países extraños  que no hablan español… y visitas muy frecuentes (varias por minuto)… ¡Obvio, me estaban hackeando!. Intentando conectarse a mi blog como administrador. Con este plugin supe que hay períodos de ataque y de descanso. He pasado viernes, sábado y domingo siendo atacado en forma sistemática sin parar.

Después de una experiencia de hackeo que tuve hace varios años en un sitio web (no un blog) donde un día mi página principal simplemente no estaba, hice un hábito el hacer respaldos periódicos de mis sitios web. En este caso, tenía copia del sitio web en mi PC porque yo lo había programado… copié un archivo al servidor y listo mi sitio web estaba de vuelta. La saqué barata porque la recuperación fue fácil. Pero fue un aviso.

Ahora en los blogs con wordpress uno no programa por lo tanto no tiene copia de nada, a no ser que hagas respaldos de la base de datos MySQL y de los directorios (carpetas) de wordpress. ¿Te imaginas perder tus artículos, comentarios, páginas… a veces de años de  antigüedad?… Te quedas sin nada.  Es como cuando escribes un documento Word de muchas páginas… lo cierras y no salvas… ¡@//# `+grrrrrr!.  En el caso del blog la sensación de pérdida es mucho peor.

He probado varios plugins de respaldo para wordpress y lejos el que más me ha gustado por su funcionalidad, versatilidad y funcionamiento es BackWPup – WordPress Backup Plugin de Inpsyde GmbH (lo encuentras gratis en los plugins recomendados por wordpress).  Para los que no entienden el concepto de respaldo, esto es como si pudieras copiar (duplicar) todo lo que tienes en casa y si entran a robar o dañar lo que tienes, lo puedes reponer con tu copia.

Ahora tener respaldo te salva de archivos borrados o alterados por un intruso… te sirve cuando el daño se hace evidente, cuando algo deja de funcionar… pero hay ataques que son silenciosos, te alteran el código de los programas y no te das cuenta. Tu sitio puede tener backlinks hacia otros sitios web y tú no darte cuenta. Tu sitio puede estar siendo usado para atacar otros sitios (usan tu servidor como trampolín para violar la seguridad de terceros)… y no  te das cuenta. Tu sitio puede estar  vendiendo drogas y tú no saberlo. Te pueden estar espiando y tú no saberlo. ETC, ETC, ETC.  Es como si alguien entrara a tu casa, no roba ni daña nada, pero coloca micrófonos y cámaras ocultas. Por lo tanto, como no te enteras que un intruso ha estado cambiando cosas, y todo parece funcionar normalmente, no usas tus respaldos.

Entonces el tema de la seguridad (aparte de los respaldos)  también pasa por no dejar entrar a tu casa (blog) a los malandrines.

¿Usas Admin como nombre de usuario administrador de tu blog?

¿Usas una contraseña fácil de adivinar como tu nombre, el nombre de tu sitio web, 1234, admin123…?

Si es así, te advierto que le tienes la puerta abierta a los hackers. Los ataques de fuerza bruta se hacen con programas que intentan conectarse a tu blog como administradores, adivinando tu nombre de usuario administrador y tu contraseña, y se parte probando lo más obvio, la cuenta admin que se crea por defecto y las claves fáciles de recordar.

Usa siempre una contraseña fuerte que tenga al menos 10 caracteres, letras mayúsculas, minúsculas, números y caracteres especiales ( .  ¡ ! + =), como por ejemplo DOS2+tres3=5! Es fácil de recodar y complicado de descifrar.

Para investigar este tema instalé otro plugin, el Bluetrait Event Viewer, que también es gratis y lo encuentras como BTEV en el buscador de wordpress. El autor es Michael Dale.  Este plugin se configura fácilmente y te crea una bitácora de todo lo que pasa en tu blog, y si tú se lo indicas te manda un email con alertas de conexiones o intentos de entrada a tu blog. Te voy a dar un ejemplo de los usuarios con los cuales han tratado de entrar a mis blogs:

Description: Login Failed “admin” – Unknown User Alert From:

Description: Login Failed “carlosdagnino” – Unknown User Alert From:

Description: Login Failed “administrator” – Unknown User Alert From:

Description: Login Failed “editor” – Unknown User Alert From:

Description: Login Failed “admin1234” – Unknown User Alert From:

Description: Login Failed “test” – Unknown User Alert From:

Description: Login Failed “root” – Unknown User Alert From:

Description: Login Failed “manager” – Unknown User Alert From:

Description: Login Failed “sysadmin” – Unknown User Alert From:

Description: Login Failed “user” – Unknown User Alert From:

Description: Login Failed “support” – Unknown User Alert From:

Description: Login Failed “qwerty” – Unknown User Alert From:

Description: Login Failed “adm” – Unknown User Alert From:

Description: Login Failed “manager” – Unknown User Alert From:

Description: Login Failed “aaa” – Unknown User Alert From:

Description: Login Failed “admin1” – Unknown User Alert From:

 

Powered by Bluetrait Event Viewer (BTEV)

 

Te doy esta lista de muestra, mensajes sacados de entre miles sólo este mes,  para que sepas los usuarios administradores que no debes usar. Obviamente que este plugin también te avisa de las conexiones exitosas… sabes quién entra y sale, pero si ves tu  usuario admin ahí, y tú no te has conectado… ¡Alerta roja, hay un intruso en tu blog!…

¿Qué hacer?… ¡complicado!… depende del daño que ya haya hecho el intruso. Pudo haber cambiado la contraseña de tu cuenta y te has quedado afuera sin poder entrar. Pudo crear una puerta oculta que sólo él conoce, para volver después. Pudo borrar cosas y cambiar otras.  Todo depende de las intenciones del hacker, dañar o entretenerse, a lo mejor sólo te deja un cartelito que diga “aquí anduve yo” y se olvide de ti. Puede ser un hacker anti-sistema y puede publicar un artículo en defensa de su causa… pueden suceder muchas cosas. El problema es que una vez adentro no sabemos la magnitud del daño causado.

Yo lo que haría sería: primero, borrar el blog completo, todo lo que cuelga de public_html… sí, esto es quemar la casa, así de duro porque pueden haber cosas ocultas en ella; segundo, reinstalar el wordpress y recuperar lo que tenía desde mis respaldos (la misma base de datos, plugins y tema) de días previos al ataque; tercero cambiar el nombre del administrador y la contraseña de la cuenta.  

El tema no es para novatos en wordpress. El cambio de nombre del usuario administrador requiere de cirugía mayor. Es fácil hacerlo, PERO hay que entrar a la base de datos MySQL a través de Cpanel y sólo sustituir el nombre antiguo por uno nuevo… el asunto es saber dónde hacerlo… sólo hazlo si sabes cómo. Si no sabes de estos menesteres contacta al soporte de tu proveedor de hosting.

Este plugin BTEV es informativo, es decir, te alerta de lo que está sucediendo en tu blog, pero no toma medidas en contra de los atacantes.

Ciertamente que hay muchos plugins de seguridad extras que se pueden usar, y tu blog poco a poco se va convirtiendo en una fortaleza, como un caballero feudal con armadura de muchos kilos de peso… y con una armadura pesada cuesta moverse… mientras más protección le pones a tu blog el acceso al mismo se hace más lento, lo cual juega en contra de lo que espera Google y tus visitantes… que la página cargue rápido.

Por ejemplo, hay plugins que contrarrestan los ataques colocando la dirección IP del atacante en una lista negra, bloqueándole el acceso al sitio antes de que logre entrar. Pero en estos casos la revisión de la lista negra se tiene que hacer cada vez que alguien visita tu blog, para ver si el visitante  es de los buenos o de los malos, lo cual va haciendo poco expedita la entrada.  

Un día se me olvidó esto de la lista negra y me llegó un email ofreciéndome una prueba gratis de un servicio de seguridad para mi sitio web. ¿Qué tan seguro es tu blog? decía… La tentación fue grande… ¿estaré seguro?… ¡adelante con la prueba!. Total lo único que podía pasar (supuestamente) era recibir un informe con las vulnerabilidades de mi blog.

Entré al sitio web y ejecuté la prueba indicando la dirección de uno de mis blogs. A los segundos esta prueba se detuvo… no hacía nada… bueno me aburrí de esperar y cerré la página.  ¡La seguridad funcionó!… acto seguido, yo no podía ver mi blog, ni acceder al dominio del blog… no podía entrar como administrador… todo cerrado… ¡yo estaba en la lista negra!  Fui víctima de mi propia medicina porque intenté hackearlo con la prueba. ¡GENIAL!

Sobre estos otros plugins que te defienden de los ataques voy a seguir escribiendo y le enviaré copia del artículo completo a los seguidores del blog. Un regalo para todos ellos. ¿Todavía no te has suscrito?…

Cuando uno conoce de seguridad en internet se da cuenta de lo vulnerable que es todo (ojos que ven corazón que si siente) y uno se vuelve un poco paranoico, puedes sufrir delirio de persecución y ver espías por todos lados… ja ja ja. No quiero contagiarte mi paranoia… pero nos están espiando.

Aquí lo fundamental es que no pierdas tu información del blog, que le hagas difícil la tarea al hacker y que lo puedas recuperar si eres atacado, por lo tanto, es VITAL:

  1.  No instales un blog con nombre de administrador admin y usa contraseñas fuertes.
  2.  Hacer un respaldo de forma frecuente y guarda varios respaldos anteriores porque debes elegir el respaldo previo a la fecha del ataque, el cual lo puedes detectar días después de ocurrido.
  3. Actualiza el wordpress, los plugins y temas cada vez que haya una nueva versión. Estos cambios de versión traen mejoras funcionales pero también mejoras de seguridad. No dejes botado tu blog, hazle mantención.

Espero que lo comentado hasta aquí te haya sido de utilidad y si te ha gustado DALE ¡ME GUSTA! y recomienda el artículo en tus redes sociales.

Te saluda

Carlos Dagnino M.

Super Emprendedor Elite

 


 

5 Responses to “Seguridad en internet para Bloggers”

  1. Mi estimando Carlos como siempre una gran enseñanza la que nos das en tus articulos, muchas gracias por los consejos

    • Carlos Dagnino Mardones says:

      Amigo muchas gracias por tu comentario, me alegro que el artículo sea un aporte para tí. Un abrazo Carlos

  2. gracias Carlos por este enriquecedor articulo, te comento que para mi que estoy naciendo en este mundo blogger es ORO puro, informacion como esta ayudan y abonan al aprendizaje.

Trackbacks/Pingbacks

  1. Como hacer una pagina web (blog) sin saber programar. Super Emprendedor Elite - […] disculpa soy medio paranoico, veo espías y hackers por todos lados… si viste mi artículo Seguridad en internet para …

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *


*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>