Como bien sabrás si eres lector habitual de este blog, en los últimos años hemos trabajado duro con WordPress. Conocemos los recovecos, algunos trucos y tenemos mucha experiencia trabajando en este gran CMS. Además, nuestro servicio de recuperación de WordPress Hackeado es uno de los más solicitados en estos últimos meses. Hemos notado un repunte alarmante (aunque provechoso para nosotros) en la cantidad de peticiones que tenemos para limpiar webs en WordPress que han sido hackeadas de alguna forma. No en vano, recibimos de media semanalmente entre 4 y 5 peticiones para analizar y limpiar. Desde el típico ‘defacement’ a inyección de malware para poner a los visitantes en riesgo, pasando por pérdida de información y trabajo de “reconstrucción” de la web. Pero lo preocupante no es el riesgo, lo preocupante es el desconocimiento por parte de los dueños de las webs de que no están realizando un correcto mantenimiento de su web. Es una tarea que debería ser obligatorio para cualquier empresa que se tome en serio internet. Y, cuando digo en serio, es que aspire a generar un lead a través de la web. Porque si no, ¿de qué sirve tener una web?
Limpieza sí, mantenimiento no
Cuando una web está hackeada el dueño o empresario se da cuenta de que necesita una solución urgente. Necesita arreglar el entuerto y curar la enfermedad. Sin embargo, cuando ofrecemos el servicio de Mantenimiento WordPress mensual a nuestro actuales clientes o también a los potenciales, es necesaria una explicación detallada para que entiendan el riesgo. Y, aunque lo entienden, creo que no se hacen una idea del riesgo que ello conlleva.¿Cómo los atacante son capaces de acceder a nuestro sitio WordPress?
Pero antes de seguir por ahí, déjame que analice cómo un malicioso atacante puede convertir tu web en un engendro. Resulta que los chicos de WordFence, mi plugin favorito de protección para WordPress hicieron una encuesta entre 1032 usuarios de su plugin y sacaron unas conclusiones muy interesantes… (Leer artículo completo aquí) Échale un vistazo al gráfico:
Resulta que las dos puertas más grandes para que los chicos malos hagan barrabasadas en tu WordPress son los ‘plugins’ y la ‘fuerza bruta’. En tercer y cuarto lugar respectivamente ya está el ‘core’ y los ‘themes’. Y nos quedamos con los 2 primeros puesto que la suma de los mismos copan el 70% de los riesgos. Así que si consigues estar protegido contra esos ataques y tienes fortificado tu web, ya estarás muy por encima de la competencia.
Los plugins hay que cuidarlos muy bien
Con más del 50% están los plugins. Y es que los plugins son creados por desarrolladores de todo el mundo y de todos los niveles. Y esto lo saben los ciber-delincuentes. Así que detectan vulnerabilidad en plugins con una seguridad mediocre y la explotan para acceder a cientos sino miles de webs.¿Qué puedes hacer tú con los plugins?
Pues, en principio, dos son las acciones que debes controlar:- Actualizar los plugins siempre que exista una actualización disponible. Debes revisar a diario tus plugins y si hay una actualización aplicarla. Normalmente corrigen fallos de seguridad o bugs detectados. Claro, ya sé que es complicado hacerlo a diario, por eso nosotros lo hacemos por ti en nuestro servicio de mantenimiento.
- Descarga plugins confiables. El primer consejo importante sería que descargaras plugins únicamente del repositorio oficial de WordPress. Se supone que estarás más protegidos y esos plugins son revisados por la comunidad WordPress. Si necesitas instalar un plugin que no está en el repositorio, no lo descargues “pirata” o de webs poco fiables. Asegúrate que lo que descargas está limpio. Muchas veces nos encontramos clientes con plugins descargados de servicios P2P que tienen virus ya incrustados.
¿Y qué hacer para protegerse de los ataques de fuerza bruta?
Ya hablamos en detalle de ello en el artículo específico de Seguridad WordPress, pero por resumir:- Usar passwords fuertes. No elijas passwords sencillas o sin caracteres. Por supuesto, esto aplica a todos los usuarios en WordPress pero sobre todo al administrador. Te dejo esta herramienta para que puedas crear tu contraseñas seguras: http://passwordsgenerator.net/
- Activar la autenticación en dos pasos. De este modo tendrás que introducir la contraseña y un código que te llegará al móvil. Es muy complicado que esto pueda ser vulnerado por un atacante.
- Cambiar usuarios por defecto. Los usuarios por defecto también ayudan a que un ataque por fuerza bruta sea efectivo. Cambio el usuario ‘admin’ por algún otro nombre para que el atacante no logre acceder.
¿Pero afecta todo esto a algo más? - Un caso real
¡Pues claro que sí! Digamos que recuperar tu web es el menor de los males. Lo complicado es resolver todos los efectos colaterales y, sobre todo, recuperar tu posicionamiento web. La semana pasada nos contactó una empresa con sede en Londres porque tenía su web hackeada. En realidad, tenía en un mismo servidor 7 webs. El servidor además era low-cost por lo que no le solucionaban ningún problema y lo único que hacían era bloquearle el acceso. Hablando con el cliente nos dijo que de las 7 webs realmente sólo le interesaba "salvar" 3 y que la única que realmente usaba era 1 de ellas. Realizamos el análisis de todas y nos dimos cuenta de que todas ellas sin excepción estaban desactualizadas. Tanto el core como alguno de los plugins tenían versiones más nuevas que no habían sido instaladas. Así que tuvimos que eliminar todas las webs y dejar únicamente la web que le interesaba. Pero no es de la limpieza de lo que quería hablar. Es de la desesperación que tenía. Por lo visto llevaba así cosa de 1 mes y ya había pasado por varios "limpiadores" de WordPress sin resultado. La cosa no queda ahí. La principal fuente de generación de clientes era esa web. Su empresa invertía unas 1.000 libras al mes en anuncios de Google Adwords. Y evidentemente estaba perdiendo dinero y clientes mientras la web estuviera de aquella manera. Imaginad el problema que tenía y la cantidad de dinero que se le estaba yendo por el desagüe cada día que pasaba sin que la web funcionara bien. Por no hablar de la mala impresión de los posibles clientes cuando entraban en su web y veían un bonito cartel de Google diciendo que era una web peligrosa...Cuando una web es hackeada, Google lo detecta y marca esa web como peligrosa.
Si realizas una simple búsqueda en Google como esta: conseguirás ver una pila de webs hackeadas. Y además al clickar en alguna de ellas, Google os mostrará un mensaje de advertencia diciendo que la web es potencialmente peligrosa. Olvidémonos un momento del SEO. ¿Te imaginas un cliente (o potencial cliente) entrando en tu web y viendo ese mensaje? ¿Qué tipo de confianza le generamos? Ninguna. Saldrá de allí corriendo.¿Las empresas españolas se preocupan por su SEO?
Recientemente un estudio de Nominalia ha analizado este dato y sorprendentemente SÓLO 1 de cada 3 empresas españolas se preocupan por ello. ¿Cómo? ¡35,2% de empresas no invierten en SEO! No te quedes con el dato negativo. Quédate con la gran oportunidad. Eso quiere decir que cuidando tu SEO puedes vencer a 2/3 de tu mercado. ¿Aún piensas que el SEO no genera ventas? Cito aquí parte de las conclusiones del estudio comentadas por David Costa, Country Manager de Nominalia:“La estrategia en SEO debe plantearse a medio y largo plazo. Buscar resultados inmediatos es un error y, en determinados casos, además resulta realmente complicado calcular con exactitud el nivel exacto de retorno de la inversión en posicionamiento orgánico”, explica David Costa, quien continúa afirmando que “de cualquier forma, el SEO tampoco debe considerarse simplemente como ‘visibilidad’ de la empresa en buscadores y, por consiguiente, en Internet, sino que ha demostrado ser una herramienta que ayuda efectivamente a mejorar los ingresos”. Puedes ampliar información en Ticbeat
Mezclando datos y sacando conclusiones
Pero vamos más allá. Y es que, de nuevo, los chicos de WordFence analizaron entre usuarios con webs hackeadas cómo había impactado esto en sus webs. Las conclusiones, otra vez devastadoras. El 45% vieron un descenso en todos sus resultados de búsqueda, con la consiguiente repercusión económica en ventas. Y, un dato espeluznante:"9% saw a traffic drop of over 75%."¡ 9% desaparecieron de Google a todos los efectos ! WOW Mira el gráfico con el resumen:
Si te sorprende como a mí que de las webs hackeadas más del 50% no tuvieran impacto, espera un poco. Seguramente, detectaron el hackeo rápidamente y antes de que Google lo detectara. Por tanto, no fueron penalizados en el buscador. Pero si nos fijamos en las webs que sí fueron marcadas por Google como potencialmente peligrosas, el dato es este:
¿Se recupera rápido el tráfico orgánico después de limpiar la web?
Casi el 50% de las webs no recuperaron nunca su tráfico anterior al problema. ¡Uf! Esto duele y mucho. Si os interesan los detalles y más conclusiones del artículo podéis leerlo en su web. Veréis datos como:- Tiempo medio de recuperación de una web hacheada: 7.49 días. Nuestro tiempo medio es 3.56 días.
- El coste medio de una web WP hackeada es: 2.518$. Nuestra coste medio es de 315€.
¿Qué consecuencias tiene que te hackeen para el SEO de tu página? Ver más en: Iberzal
No hay comentarios:
Publicar un comentario