A continuación te muestro un esquema básico para saber si tu sitio web es seguro y más adelante en este post iré explicando cada punto.
Todas las herramientas que te muestro a continuación son recursos gratuitos.
Qué hacer para saber si mi sitio web es seguro:
- Descargar el sitio web a tu disco rígido y analizarlo con un antivirus y un antimalware como si fueran archivos comunes.
- Instalar Plugins de seguridad y de integridad del theme (para usuarios de WordPress).
- Scan online de tu sitio web o blog para detectar malwares o si el mismo se encuentra en una blacklist.
- Prevención extra: instalar plugins para prevenir ataques y aumentar la seguridad de tu sitio o blog en WordPress.
Antes de entrar de lleno en la explicación de los 4 puntos básicos para saber si un sitio web es seguro, te quiero comentar algunos motivos que te podrían llevar a dudar de la seguridad de tu blog o página web…
…5 motivos por los cuales te interesaría saber si tu sitio web es seguro:
- Un usuario te escribe diciendo que al querer entrar a tu web su navegador (browser) le informa que tu sitio web no es seguro o muestra la pantalla en blanco directamente.
- Recibes un email de tu proveedor de alojamiento o del mismo Google donde se te informa que tu web puede estar infectada por un virus o código malicioso.
- Los buscadores no están indexando tu sitio por estar en una lista negra (blacklist)
- Empiezas a administrar el sitio de un nuevo cliente y quieres hacer un análisis de la situación inicial en cuanto a estabilidad de la página web y seguridad.
- Has pagado para que creen tu blog o página web y quieres saber si han usado un plantilla (theme) original o por lo menos libre de malware y virus.
***
#1 Bajar tu sitio web a tu disco rígido y analizarlo con tu antivirus o antimalware
Lo que debes hacer es entrar vía FTP usando cualquier programa que te permita hacer esto y descargar todo el contenido desde la raíz de tu servidor.
(En mi caso uso FileZilla para conectarme vía FTP a cualquier web que administro. Desde la web de FileZilla puedes descargar la versión que se adapte a tu sistema operativo y siguiendo las instrucciones podrás instalarlo fácilmente. Puedes descargar este recurso gratuito desde la web del autor)
FTP: significa Fast Transfer Protocol y es un sistema para transferir archivos de manera rápida.
Una vez loggeado a tu web a través de FileZilla, simplemente arrastra (copia) todo el contenido de tu servidor hacia una carpeta que hayas creado en el disco rígido de tu computador.
El paso siguiente es seleccionar la carpeta que creaste y analizarla con tu AntiVirus o AntiMalware que uses habitualmente.
Dos buenos recursos gratuitos para esto son:
Posibles resultados:
- Detección de virus o malware: aunque intentes eliminar por medio de tu antivirus el problema, podrías dañar el código de tu web y esta quedar inoperante cuando vuelvas a subir los archivos o el archivo dañado.
- Tu antivirus/antimalware no ha detectado nada: en este caso puedes probar con otros programas gratuitos que existen en la red para detectar virus o malware pero no creas que por este motivo tu web no se encuentra infectada.
En ambos casos te recomiendo seguir adelante con los pasos siguientes para saber si tu sitio web es seguro o para eliminar un virus alojado en tu página web.
#2 Plugins para checkear la integridad de un theme de WordPress y aumentar la seguridad
Esta parte del post se aplica sólo para quienes poseen un blog o página web realizada en base a WordPress.org. Si eres nuevo en la materia te invito a leer mi artículo donde explico qué es WordPress.ORG y las diferencias con WordPress.COM.
En el caso en cuestión instalé el plugin para WordPress Theme Authenticity Checker (TAC).
Como su nombre lo indica este plugin controla la autenticidad de la plantilla de WordPress (theme) que estés utilizando.
El plugin revisará todo el código de todas las plantillas que se encuentren instaladas en tu WordPress, inclusive aquellos themes que no se encuentran activados.
Si TAC encontrara alguna irregularidad o sospecha de código malicioso en el código de tu plantilla lo informará detalladamente para que puedas tomar alguna acción para reparar el problema.
Otro punto interesante de este plugin es que mostrará una lista de con todos los links estáticos que “salen” y apuntan hacia otra URL.
Generalmente estos enlaces son pocos, ya que un theme recién instalado no debería tener muchos links estáticos más que por ejemplo el enlace en el pie de página (footer) con la leyenda “designed by ….” + link.
En el caso que estoy analizando encontré un link estático en el footer de la plantilla que hacía referencia al sitio web donde había sido descargada la plantilla.
En este caso fue simple resolver el problema ya que sólo hizo falta localizar el código html y quitarlo del archivo footer.php.
La única opción a la hora de comprar un theme es hacerlo desde la web del autor o desde sitio que venden las plantillas con autorización del autor. (Ejemplo: Theme Forest o Elegant Themes). Es decir, que siempre cuentan con la última versión y esta se encuentra libre de virus.
Evidentemente el theme había sido descargado desde un sitio no seguro y podía contener código de malware, motivo por el cual nos obligó al paso siguiente: realizar un análisis online contra posible malware en el código.
#3 Analizar el sitio web en busca de virus con Sucuri
Cualquier persona que se haya encontrado con una pantalla como las que se muestran abajo debería realizar un análisis online en busca de virus o malware en el código de su sitio web.
Para saber si el sitio web es seguro basta con ingresar a la página de Sucuri y realizar el análisis gratuito que esta empresa ofrece:
Sucuri es una empresa estadounidense que tomó gran relevancia en el área de la seguridad informática a partir de 2010 ofreciendo soluciones efectivas para evitar ataques de virus y recuperando las webs atacadas para que puedan seguir adelante con su actividad regular.
En el caso que estamos analizando encontramos que el sitio web estaba en un lista negra (black list). Esto seguramente se debía al malware que contenía el código de la página web.
Una black list en internet es una lista donde se registran las direcciones IPs que generan spam de forma voluntaria o no (fuente: Wikipedia: Listas Negras)
En este caso la única opción para quitar el sitio de una lista negra es utilizar el servicio de pago de Sucuri. Esto fue lo que hicimos junto con el propietario de la página web y a los pocos días su sitio fue removido de las listas negras en las que figuraba.
#4 Aumentar la seguridad de un sitio web
Para los que usamos como plataforma WordPress una vez que la web quede libre de amenazas, como virus o malware, una buena forma de reducir la posibilidad de futuros ataques de hackers informáticos o programas automáticos (bots) es instalando algunos plugins diseñados específicamente para tal efecto:
En mi caso uso para todas las webs el plugin gratuito Acunetix WP Security Scan. Este plugin cubre los puntos vulnerables de la seguridad de tu instalación de WordPress.org.
Los tienes que instalar como cualquier otro plugin y configurarlo habilitando las opciones como muestro en la imagen de abajo:
A este punto ya deberías tener un blog o sitio web a prueba de hackers… para mayor seguridad te recomiendo que uses el servicio de Sucuri para mantener monitorizado y protegido virus y malwares toda la información de tu web.
Evitar el robo de información, impedir que tu sitio termine en una lista negra o evitar perder todo el trabajo que llevas hecho online es un costo demasiado alto en comparación al valor de contratar este servicio.
>>>
Final del post donde cuento este caso real que me ha tocado y explico cómo saber si un sitio web es seguro o no.
Espero que la experiencia te haya sido útil y que consigas resolver los problemas de seguridad de tu página web o blog de WordPress.
