Por desgracia los ataques de hackers son algo mucho más habitual de lo que se podría pensar, no es necesario estar detrás de un "gran" proyecto o marca para ser objeto de continuos intentos de hacking.
La finalidad de estos ataques son totalmente dispares, desde fines lucrativos como alojar malware, virus, páginas de falsificación bancaria, enviar spam... a otros simplemente lúdicos como el ser capaz de realizarlo, algo muy habitual en los hackers que están aprendiendo a vulnerar la seguridad.
Antes de nada es importante tener algunas nociones acerca de las medidas de seguridad más relevantes que implementamos, cada cuenta de hosting queda encapsulada en un sistema de ficheros independiente, al igual que sucedería en un sistema de virtualización, de forma que si un atacante consigue acceso a una de las cuentas, no podría acceder al resto al encontrarse aisladas entre si.
Esto por supuesto unida a otros elementos imprescindibles como firewall vía hardware, sistema de detección de malware y análisis de procesos (imunify360) en tiempo real, filtrado de acceso web por medio de reglas, así como un conjunto de herramientas de desarrollo propio y una monitorización continua.
Aún con estas y otras medidas, bajo determinadas circunstancias que abordaremos a continuación, los ataques son inevitables.
Existe una causa que nos atreveríamos a decir supone el 90% de todos los ataques efectivos, las aplicaciones no actualizadas.
La aparición de aplicaciones como Wordpress, Joomla, Drupal, entre muchos otros, hicieron que el acceso a crear una web sea cuestión de clicks, no obstante la instalación es únicamente el primer paso, en el mantenimiento y actualización de estas aplicaciones está la clave.
Las actualizaciones de aplicaciones y los elementos de terceros (plugins, componentes, themes...) tienen la finalidad de añadir nuevas funciones, mejorar rendimiento pero sobre todo, solventar fallos de seguridad, sin aplicar dichas actualizaciones con frecuencia se tendrían abiertas "puertas" para cualquier atacante que conozca dicho fallo (lo que es habitual en el caso de aplicaciones de código abierto).
Mantén un estricto hábito a la hora de actualizar y te aseguramos estarás libre de cualquier ataque en un porcentaje muy alto.
Los efectos que produce un ataque efectivo pueden ser muy diferentes, depende de la finalidad del hacker, no obstante los más comunes son:
Si alojas varias webs y dominios en un mismo servicio de hosting, debes tener en cuenta que únicamente es suficiente un único fallo de seguridad en una de las aplicaciones para que el atacante tenga acceso a todo el árbol de directorios del servicio y por lo tanto pueda alterar el resto de dominios y apps que alojes en esa misma cuenta.
El atacante añade scripts a la cuenta por medio de los cuales envía spam masivo.
Esto provocará que el dominio caiga en lista negra de spam y los correos legítimos enviados sean rechazados por los receptores.
Se produce una adición de ficheros ilícitos como por ejemplo páginas de phishing o ficheros tipo ejecutables con virus para infectar a los usuarios que los descarguen.
Ya sea por eliminación intencionada de ficheros imprescindibles o por infección de código malicioso, las aplicaciones o webs comienzan a funcionar con problemas presentando páginas en blanco de forma parcial o total, e incluso realizando redirecciones a urls externas.
Buscadores como Google cuentan con sistemas que detectan las webs infectadas y las bloquean.
En el caso de Google va un poco más lejos, la iniciativa Safe browser está implementada en muchos navegadores por lo que al acceder a una web que Google detecta como infectada serás bloqueado con un mensaje de web sospechosa.
Te diríamos que esta tarea es sencilla pero la realidad es que no existe un caso igual que otro, lo mejor es que nos contactes para evaluar la situación, contamos con diversas herramientas que nos permitirán detectar y eliminar todo tipo de infecciones, malware, herramientas de hacking, inyecciones de código entre otros.
Si por la gravedad del ataque no se hace posible repararlo, se debería proceder con una restauración, para ello contamos con un sistema de copias de seguridad con un históricos de backups por fechas.
En caso de ser bloqueado por Google, se debe solicitar una revisión del caso desde el centro de webmasters de Google:
Para terminar, aunque se limpie, repare o restaure una cuenta infectada, se deberán realizar adicionalmente las siguientes comprobaciones:
Recuperarse de un primer ataque es una tarea compleja, un atacante puede realizar cientos de modificaciones en ficheros con el uso de un simple script, muchas de ellas están documentadas, son conocidas y disponemos de su patrón, otras no, esto hace que el atacante pueda conseguir dejar una puerta trasera que pasa desapercibida para acceder en el futuro, y es aquí donde aún teniendo todo al día y tomando ciertas pautas de seguridad el problema vuelve a suceder una y otra vez.
En estos casos partir de una copia de seguridad totalmente limpia es la mejor opción, no obstante esto no es siempre posible ya que hay ataques que no son detectados por el administrador de la web hasta que han pasado meses y puede requerir una tarea intensiva de comprobaciones para eliminar cualquier rastro: