El día que Eduardo Hackeo Lecciones Web

No es el título de una película de acción… Es algo que (me) sucedió hace unos días, y que cuando te lo cuentan a lo mejor mueres de la risa, pero que sí tienes que vivirlo, sufres la gota amarga y una agonía que no le deseo ni a Donald Trump.

Martes 14 de junio – Doomsday

Todo se derrumbaba… se convertía en cenizas… era el “APOCALIPSIS”

Mientras tanto, Eduardo tiene su tan anhelado y solicitado día libre… y yo a cargo de LW. Todo perfecto mi café, mis cigarros, la mañana hermosa… y yo, frente a la PC, lista para comenzar por lo de siempre, las redes… Abro LW con Firefox, me logueo … no hay comentarios, así que sigo con Facebook y Linkedin, todo está genial, parece que me dará tiempo de escribir o avanzar un poco el proyecto súper secreto (ni Eduardo sabe qué es) en el que estoy trabajando. Que EMOCIÓN!… Ayer pude hacerle un video, hoy podré avanzar más, ya que no hay sesión de Hangout con Eduardo YUPIIII…

Todo está prefecto, abro Chrome, y empiezo a revisar Hootsuite… que emoción, me encanta ver y responder las interacciones todos los días son más de 140, esto me emociona… y de pronto… Zaaas… La tranquilidad se disuelve en un instante, el CIELO se une con la TIERRA, se APAGA el SOL… No puedo creer lo que veo, he abierto LW en Chrome y me encuentro una página en BLANCO con un mensaje crítico… Se me acaba de aguar la FIESTA

Te_has_portado_mal
Parece que te has PORTADO MAL

 

Me muero… ¿Qué es esto?…

Abro otra pestaña… lo  mismo, lo mismo… Una y mil veces, lo que quiere decir que no alucino!

Recorcholis!!!!…

En Firefox, estoy logueada, todo se ve bien, no me atrevo a desloguearme, no vaya a ser que deje de ver mi querido LW, Ufff…

Abro un tercer navegador, el obsoleto Internet Explorer… más que paniqueada, ya me muero del susto, y Eduardo en su día libre…

IE_pagina_niega_contenido

Eduardooooooooooooooo… Hay Dios mío…

Casi empiezo a rezar frente a la PC,  apago y prendo la HP esperando que algo se arregle, vacío cookies, nada…

Cambio de maquina enciendo la Lenovo, nada… y Eduardo disfrutando de su día libre, Auch, como diría Olga Tañon “Como duele

Tengo en el Chat de Facebook a mi amiga Adriana, le pido que porfa me diga que ve???

Lo mismo ve adrinana

Y en esto estoy cuando Zass, un rayo medio ilumina mi cerebro….

Recuerdo a lo lejos…. a Eduardo comentarme de la seguridad del Sitio, yo como no entiendo ni papa de esto, me desconecté, no le puse asunto cuando me comentaba de lo que pondría para combatir los bots que se ponen a husmear el sitio sin seguir ninguna regla. Total, me dije yo, eso es para los robots, los spiders, que se yo…

Así que empiezo a perseguir a Eduardo por todos lados, le llamo, le escribo, le mando palomas mensajeras… y él claro en su día libre…

Me llama mi hija, le digo que ahora no, y vuelo a las redes a cambiar  anotaciones por imágenes y un video. En ese momento sólo pensaba en la clase de lección, en lo que iban a ver ustedes si visitaban Lecciones Web… ¡Que HORROR!… El sitio estaba HACKEADO…

Aparece Eduardo…. Fresco como una Lechuga… No le dejo ni hablar… Apenas puede preguntarme qué tengo… Dice que traigo cara de Loca… jajajaja… Los ojos desorbitados y los pelos hechos un desastre eléctrico… y trata de reírse… No sé si matarlo ahorao en 3 segundos

Eduardo haciendo monerías para hacerme reir
Eduardo haciendo monerías para hacerme reir

Le pregunto si ha visto el sitio… Me dice que sí, que lo vio temprano en la mañana antes de salir. Y le digo entonces que yo no puedo verlo, que nos han hackeado el sitio… Él abre el sitio en su máquina y me comparte la pantalla para que lo vea… Me empiezo a tranquilizar… Le comparto mi pantalla… Y ahora si está muerto de la risa. Se pone a teclear en su máquina y me dice que apriete F5 para refrescar el navegador… Ya tengo Lecciones Web de vuelta. Lo ha resuelto en un dos por tres, a veces pienso que es Mago

¿En qué te beneficias tú con todo esto?

Lo primero que puedes hacer cuando no puedas acceder a un sitio web cualquiera es usar una herramienta que yo desconocía, y que Eduardo me mostró. Se llama “Down For Everyone or Just Me?”. Con ella puedes determinar si un sitio web cualquiera es visible a todos o si eres tú el que tiene problemas viendo el sitio.

down-everyone_just_me

Haberla conocido me habría evitado el mal rato, así que sí no la conocías inclúyela a tu arsenal de herramientas. ¿Qué sencillo verdad?…

Lo segundo, es que debes tratar siempre de llevar un paso de ventaja con respecto a los chorizos informáticos, así que la seguridad de tu Sitio WordPress es una prioridad siempre.

¿Qué sucedió?

La respuesta corta, Eduardo instaló un plugin que le niega acceso al sitio a todos los bots que no sigan las instrucciones del archivo “robots.txt”.

¿Por qué hacer algo como esto?

Los bots, spiders o rastreadores como también se le conocen, son programas que indexan el contenido de un sitio. Cada vez que uno de ellos visita un sitio, supone una carga instantánea bastante grande para el servidor web, pues este se ve obligado a servir cada página que el bot quiere inspeccionar. Esta operación de escaneo es necesaria para que los buscadores puedan indexar el contenido, pero los bots sólo necesitan conocer las URLs del contenido que tú quieres mostrar, un bot no debe indexar los archivos contenidos en “wp-admin” o “cgi-bin” por ejemplo, tampoco deben indexar páginas, posts y adjuntos que tú hayas excluido del sitemap o que has marcado explícitamente con las meta tags como “noindex, nofollow”. Bots desobedientes hay montones, y si sigues de cerca la analítica de tráfico veras que hay un porciento significativo de visitas que pertenecen a los bots.

Black_hole_bad_bots

El plugin instalado se llama: Blackhole for Bad Bots. La idea en que se basa y funciona es bien sencilla, el plugin monitorea el uso de una URL que ha sido excluida del proceso de indexado mediante una regla en el archivo “robots.txt”. Esta URL se agrega dinámicamente al final de cada página o post del Sitio WordPress y es invisible a los usuarios normales. Si un bot desobedece, entonces el plugin registra la dirección IP que este utiliza e inmediatamente le niega el acceso de por vida al sitio, o hasta que una acción manual por parte del administrado le permita acceso nuevamente.

Todavía estamos probando el plugin y hasta ahora no hemos recibido reportes de usuarios bloqueados, excepto Yo que intenté acceder a través de Hootsuite lo cual disparó la trampa.

Plugin aparte, aprovechó además para compartirte que el autor es Jeff Starr, reconocido bloguero y desarrollador de WordPress. Co-autor del blog y libro: Digging Into WordPress. Jeff tiene otros blogs y proyectos, pero de todos ellos quizás el más conocido es “Perishable Press”, excelente blog acerca de WordPress, Web Design y Desarrollo. Aquí también puedes encontrar una gran cantidad de posts y tutoriales dedicados a la seguridad de WordPress.

Antes de terminar

La mayoría de las veces ni me entero de todo lo que hace Eduardo para asegurar Lecciones Web, pero si les prometo prestar más atención la próxima vez que él aborde el tema. Mirando atrás, a la amargura del día que viví, te pido por favor que atiendas debidamente el tema de la seguridad en tu Sitio WordPress.

Yo por mi parte desde el día del incidente empecé a pedirle a Eduardo que hiciera un hueco en el calendario editorial para escribir una serie de posts acerca de la seguridad en los Sitios WordPress. Él está de acuerdo, pero pienso que si tú también quieres leer esa serie pudieras ayudarnos; para ello sólo tienes que dejarnos un comentario con la solicitud, creo que así Eduardo estará más motivado a poner junto todo lo que él conoce del tema.

 

6 comments

  1. JC Giraldo says:

    Tu sabes que tengo shut down mi pagina jcgiraldo.com esta hackeada y ya te go que contratar una empresa para que me limpie el malware.

    • Hola Juan Carlos, crei que habias solucionado ya; si que la seguridad es muy importante, yo muy cómoda deje de poner atención porque Eduardo es el que lleva esta parte, pero ahora pongo atención en cada detalle, y se que tendremos más de esto en LW, un abrazo enorme 🙂

    • Hola JC, pena oir que tienes problemas. Desde ahora mismo te digo: CALMA. Suena estupido pero en deefinitiva Damage is Done, asi que aprovecha ahora para corregir los problemas de seguridad que tienes y que a lo mejor ni sabias que tenias. Yo se que es una JODA pero tiene solucion y a veces es mas facil de lo que muchos imaginan.
      Saludos EGA

  2. Tremendo susto, Regina. ¡Cómo se habrá reído Eduardo! Jeje. Yo, adicionalmente a las medidas de seguridad en el ROBOTS.TXT, .htaccess, y demás, recomiendo utilizar un plugin de respaldo como UpdraftPlus, WPBackup, u otro, que resguarde el sitio en la nube (los respaldos del cPanel se guardan en el mismo espacio del hosting del dominio).

    Saludos,

    Ramiro

    • Hola Ramiro, si así es, pero me pasa por no poner atención, cuando Eduardo me hablo de los bots; por eso es bueno poner atención y aprender un poquito 🙂 si hago backups de mis sitios y de hecho los bajo a mi pc en Xampp. Además la mala pata que me paso en el día libre de Eduardo, claro como puedes ver en la imagen, se moría de la risa, mientras yo enloquecida, le contaba el “apocalipisis” que no era tal. Muchas gracias por comentar, feliz noche 🙂

  3. Hola Ramiro, a decir verdad nunca había visto a Regina tan seria, por la cara que tenía parecía que se le había muerto alguien cercano. Cuando me esnseñó la pantalla de ella fue cuando no me quedo más reírme. Uno hace el cuento y se vuelve a reir pero el que vive el problema de verás que la pasa mal.
    En cuanto a los plugins hay montones que hacen eso del backup automático, yo he utilizado más Backup Buddy, por otra parte hay bastante material escrito de cómo asegurar WordPress, pero todo es muy disperso y fragmentado, así que probablemente terminemos haciendo un post con una guía para asegurar WordPress. Saludos EGA.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *