Continuamos nuestro ciclo particular de artículos sobre seguridad web con una guía básica sobre qué hacer si un pirata o hacker se infiltra en tu sitio web.

A pesar de todos los esfuerzos de seguridad, la dura realidad es que los ciberdelincuentes han mejorado mucho la eficacia de sus ataques. Por eso, muchos expertos recomiendan trabajar bajo la premisa de que, si tienes una web, tu sistema se verá comprometido en algún momento.

Si te sucede, no dejes que cunda el pánico. En muchos casos, es posible recuperar la página web sin que haya males mayores. Pero, para poder localizar y solucionar la brecha de seguridad, es necesario mantener la calma.

Arreglar una página web pirateada puede ser muy difícil y llevar mucho tiempo. Muchas veces, los piratas informáticos ocultan fragmentos de código (scripts) que les permiten eludir la autenticación normal y acceder al servidor sin ser detectados.

Si estas «puertas traseras» no se eliminan debidamente, pueden volver a entrar en la página web después de que (en apariencia) la hayas limpiado.

Por eso, nuestro primer consejo sería dejar el trabajo en manos de un profesional. Pero, para los más decididos o apañados, hemos compilado un «plan de crisis» básico para arreglar una página web hackeada.

1. Pon tu página web en cuarentena

Deja fuera de servicio tu sitio web hasta que sepas que lo has desinfectado. Limitando el acceso a tu web, mantendrás a los posibles visitantes a salvo del ataque.

Si no puedes, Google recomienda hacer que devuelva un código 503 para evitar que se indexe o usar la herramienta de solicitud de eliminación de URL para webmasters, para que no se muestre a los usuarios.

Mientras, prepara un informe sobre la incidencia tomando nota de todos los detalles que puedan ayudar a resolver el problema, por ejemplo:

• ¿Qué te ha hecho pensar que te han atacado?: tu página redirige a otro sitio web, contiene enlaces ilegítimos, Google la ha marcado como insegura…
• ¿Cuándo has descubierto el problema?
• ¿Puedes o no acceder al panel de control de tu web?
• ¿Quién es tu proveedor de hosting y proveedor de red?
• ¿Has hecho algún cambio reciente en tu página web? (P. ej.: añadir un plugin).
• Si tu página está hecha con WordPress: ¿qué tema y plugins usas actualmente?

Incluye toda la información que puedas y anota las acciones que vayas haciendo mientras buscas y solucionas el problema. Todo esto puede ser muy útil si decides pedir ayuda: entender la naturaleza del ataque permitirá dar antes con una solución.

Igualmente, guarda cualquier prueba que encuentres, como emails enviados en tu nombre o compras tramitadas con tu correo. Este punto será fundamental si tienes que hacer una denuncia en caso de estafa o perjuicio económico.

2. Cambia las contraseñas

Como no sabes cómo ha se infiltrado el pirata, lo primero es restablecer la contraseña de todas las cuentas que tienen acceso a la página para evitar que pueda volver a entrar por ahí.

Si no puedes acceder a tu cuenta porque ha cambiado la contraseña, comprueba si puedes entrar respondiendo a las preguntas de seguridad de la función «Recordar contraseña».

Normalmente, los piratas no cambian contraseñas a menos que sea un ataque intencional, cosa poco habitual.

Una vez dentro del panel de administración, fuerza el cierre de sesión de cualquier usuario que esté conectado. En WordPress, si alguien ha robado tu contraseña y no ha cerrado la página, seguirá conectado porque sus cookies son válidas. Para desactivar esas cookies, debes generar una nueva clave de seguridad y añadirla a tu archivo wp-config.php.

Igualmente, cualquiera que tenga una cuenta debería considerar actualizar la contraseña tanto de su equipo de trabajo como de sus cuentas personales, ya que no se puede saber con certeza a qué ha tenido acceso el atacante.

3. Determina el alcance del ataque

Ahora sí, es hora de ponerse manos a la obra para desinfectar tu página web. Tanto si lo haces por tu cuenta como si contratas a un profesional, conviene que te pongas en contacto con tu proveedor de alojamiento web.

Las empresas proveedoras de hosting como Nominalia suelen ayudar mucho en estas situaciones, ya que tienen personal especializado que maneja este tipo de problemas constantemente y conoce el entorno del servidor. Sobre todo si usas un hosting compartido, es posible que el pirateo haya afectado a más páginas y tu proveedor pueda darte información clave.

Para evaluar los daños, es fundamental escanear el sistema completo, incluido el ordenador desde el que accedes a tu web, para determinar el tipo de ataque y qué hay que arreglar. Si varias personas tienen acceso a tu página, pídeles que también pasen el antivirus en sus dispositivos.

El objetivo final es eliminar los ficheros o el código dañinos que hayan introducido los atacantes y restaurar lo que falte:

• Busca cualquier archivo que se haya cargado o modificado en tu servidor web.
• Busca indicios de actividad sospechosa en los registros de tu servidor: intentos fallidos de inicio de sesión, historial de comandos (especialmente raíz), usuarios desconocidos, etc.

Para analizar el sitio web, si utilizas WordPress puedes instalar el plugin : Wordfence que te hará un análisis completo de tu web y te mostrará que archivos tienes que desinfectar. Tambíen elimina los temas y plugins que no uses (muchas veces, es ahí donde se esconden los scripts)

Si has vinculado otras plataformas a tu sitio web —por ejemplo, redes sociales o un blog de WordPress—, comprueba si se han visto afectadas. De forma preventiva, cambia las contraseñas.

4. Confirma si tienes que avisar a las autoridades y a tus clientes

Aunque sea un mal trago, puede ser necesario avisar del ataque a las autoridades e incluso a los clientes. Con la llegada del Reglamento General sobre Protección de Datos, ciertas filtraciones de datos deben ser notificadas a la Autoridad de Control, so pena de sanciones económicas. Lee más sobre cómo gestionar la situación aquí.

5. Restaura una copia de seguridad

Lo mejor que puedes hacer para quedarte tranquilo es reinstalar todo del sistema operativo desde una fuente de confianza. A continuación, restaura una copia de seguridad de antes del incidente.

Si usas WordPress, comprueba que efectivamente tu tema y plugins son seguros, y vuelve a instalarlos.

Ojo con esto: si tienes un blog con contenido diario, te arriesgas a perder las entradas y los nuevos comentarios. En ese caso, sopesa los pros y los contras.

Si no tienes una copia de seguridad o no quieres perder el contenido, tendrás que hacer todos los cambios manualmente.

Aunque ya hayas cambiado todas las contraseñas, es posible que el pirata tuviera acceso a ellas mientras arreglabas el problema (por ejemplo, si había instalado un keylogger). Por tanto, cuando hayas acabado de limpiar y reinstalar el sitio web, vuelve a cambiarlas todas.

6. Vuelve a la normalidad

Comprueba si Google ha añadido tu sitio web a su lista negra. Para saberlo, puedes utilizar herramientas como la de Sucuri. Si es así, una vez que hayas arreglado el problema y hayas vuelto a publicar tu web, solicita una revisión a Google a través de Google Search Console para que elimine el aviso.

7. Prepárate para el futuro

¡Ánimo! Puede pasarle a cualquiera. Para proteger mejor tu sitio web de cara al futuro, sigue las buenas prácticas que te venimos recomendando:

• Instala un sistema de defensa con cortafuegos y monitorización del sitio web.
• Implementa un sistema para hacer copias de seguridad diariamente.
• Elige un hosting con seguridad reforzada, como el Hosting WordPress gestionado de Nominalia.
• Utiliza siempre la última versión de todo el software para no ser susceptible a ninguna vulnerabilidad conocida.