La principal causa para que te hackeen la página web, suele ser que esté hecha con algún gestor de contenidos que no se ha actualizado por mucho tiempo. Normalmente suele ser WordPress, Joomla, Drupal o incluso alguna programación a medida que hace años que no se revisa.
Pero ¿qué pasa cuando te hackean la página web a pesar de tenerlo todo actualizado?
El caso del que te quiero hablar hoy, es el de una página web hecha hace alrededor de unos 10 años, que se ha ido manteniendo más o menos de forma constante y que aún así sufría hackeos de forma recurrente.
El gestor de contenidos sobre el que está montada es WordPress, con una versión en inglés y otra en castellano gracias al plugin multi-idioma Q-TranslateX.
Con cada nuevo hackeo, no se perdía ningún dato importante, ni el atacante hacía ninguna otra maldad, pero sí que añadía código malicioso con la intención de conseguir enlaces hacia su página web.
Al ser un hackeo de lo que podríamos llamar perfil bajo, no era detectable a simple vista, ni de forma evidente por el visitante a la página web. Sin embargo, Google sí detectaba el cambio de código y marcaba la web como potencialmente peligrosa a todos los usuarios que utilizaban en navegador Chrome y lo que es más preocupante, aparecía en los resultados de Google como página web insegura.
¿Entrarías en una web con esa alerta?
Al tratarse de una página web de una empresa, este tipo de alertas pueden hacer perder clientes y negocio, ya que nadie confiaría en comprar o poner sus datos de tarjeta en una página web que está marcada por Google como insegura
Cada vez que se detectaba un nuevo hackeo, se restauraba con una copia de seguridad anterior y se actualizaban todos los componentes. Aún así, volvían a poder cambiar el contenido.
¿Qué estaba pasando? ¿Sería el servidor lo que era inseguro? ¿Tendría un virus alguno de sus equipos?
Una pista: el culpable ya ha salido en la historia.
Efectivamente el plugin Q-TrasnlateX era el culpable. Aunque aparecía como actualizado en la sección de Plugins de WordPress, estaba abandonado por parte de su programador desde hacía ¡más de 3 años!
En el sistema base de WordPress no hay ninguna opción que te avise de este tipo de plugins abandonados, para detectarlos tendrías que entrar uno por uno en la tienda te plugins de wordpress o utilizar algún plugin de seguridad como es el caso de Wordfence.
Aunque parezca que tu web está actualizada, es posible que estés usando componentes de software que llevan mucho tiempo sin modificaciones. Un software que no está mantenido es como una puerta abierta para aquellos hackers que están buscando constantemente vulnerabilidades a las que sacar partido.
Cambiar un plugin por otro en este caso no era tarea sencilla puesto que la función que hacía era precisamente la de mantener la página web multi-idioma.
En este caso, optamos por pasar a utilizar el plugin WPML (de apgo) que integra un conversor de entradas del plugin viejo al plugin nuevo.
WPML es el plugin más conocido a día de hoy para hacer tú web en varios idiomas. Por unos 30€ anuales cuentas con un soporte básico por parte de los desarrolladores.
La forma en la que WPML organiza el contenido en varios idiomas es mucho mejor que como lo hacía el antiguo plugin. Crea una entrada nueva para cada idioma, de forma que es más fácil editarla y mantener diferentes versiones de la misma página web.
Poco a poco estamos viendo como el sistema de plugins gratuitos que hay alrededor de WordPress, se está profesionalizando creando mejores productos a unos precios muy asequibles en la mayoría de los casos.
Si quieres crear una página web multi-idioma, contar con WordPress y este plugin te facilita mucho toda la programación actual y futura.
Ahora solo queda que busques un traductor para empezar a hacer diferentes versiones de tu página web y vender en otros mercados.
(Fotografía de Sergiu Nista)