Tendemos a pensar en una piratería de sitios web como una de dos cosas. El primero es la mayor violación de datos; alguien irrumpe en su sitio web de alguna manera y roba información del usuario, como las infracciones masivas de datos Target o Equifax. Esto puede suceder, pero más a menudo esto no es una violación de su sitio web, sino más bien una interfaz física dentro de la tienda, ya sea las alfileres o una sala de servidores minoristas.
El otro es una especie de toma de control terrorista del sitio. Vogue UK una vez se hizo cargo y tenía dinosaurios enyesados sobre su página de inicio, un foro de Bitcoin fue pirateado para promover una moneda de broma CosbyCoin, y el sitio principal de la Unión Europea fue pirateado para reemplazar al primer ministro del Reino Unido con una foto del Sr. Frijol. Ejemplos como estos , y ejemplos más peligrosos, como la toma de posesión de sitios por parte de ISIS, etc., son inmediatamente notables y desagradables.
Cuando un sitio es pirateado y los datos del usuario son robados, realmente no deja rastrosen su sitio web. Para descubrirlo, debe verificar los registros de acceso a datos confidenciales y encontrar acceso no autorizado, o se le informa groseramente cuando los datos de sus clientes se hacen públicos. Eso, o el hacker necesita sabotear su back-end de alguna manera, lo cual es más obvio de inmediato.
Ejemplos como las adquisiciones del sitio son visibles al instante. Sus usuarios lo notarán y se lo informarán, y Google lo notará cuando lo rastreen. Usted terminará con la advertencia de búsqueda grande "Este sitio puede ser pirateado" o "Este sitio puede dañar su computadora"cuando un usuario intenta acceder a Google o acceder a su página.
Piratería invisible
Sin embargo, hay un tercer tipo de compromiso más insidioso en su sitio. Esto es cuando un pirata informático toma control de su página e instala código malicioso, pero se esfuerza por hacerlo no obvio.
En algunos casos, el sitio parece normal, pero se agrega una secuencia de comandos para tratar de obligar a los usuarios a descargar un archivo malicioso. Podría venir a través de un anuncio comprometido. Puede ser solo un script en la página. Podría indicarles a los usuarios que descarguen una fuente, o un image.exe, o alguna otra cosa. Estas piezas de código malicioso, cuando se descargan y ejecutan, a menudo ransomware de la computadora infectada.
Incluso he visto algunas versiones aún más peligrosas de este tipo de compromiso, donde el hacker ni siquiera apunta a su audiencia. Más bien, sabotean su marca al usar páginas ocultas en su sitio como páginas de destino para correo electrónico no deseado. No tocan ninguna de sus páginas existentes; simplemente crean una larga serie de directorios y subdirectorios, a veces incluso enterrados en las carpetas de tu sistema donde obviamente no los notarías. Luego se refieren a esas URL en campañas de correo electrónico no deseado.
Esto es muy peligroso por dos razones. En primer lugar, es difícil de notar , a menos que tenga registros de cambios para su sitio y pueda ver cuándo se agregaron páginas maliciosas. En segundo lugar, ninguno de tus usuarios verá estas páginas . No están vinculados ni indexados, e incluso pueden tener directivas de robots para mantenerlos fuera del índice de Google. Sin embargo, aparecen en correos electrónicos no deseados, lo que hace que su dominio aparezca en la lista negra de proveedores de correo electrónico como Gmail y marcas su dominio como un dominio de spam.
En esencia, puede ver una caída repentina y masiva en las tasas de apertura de correo electrónico y en el tráfico de búsqueda orgánica, junto con la posibilidad de incluir listas negras de anuncios PPC de Google, y no hay una señal externa de por qué sucedió.
Entonces, usted sabe, hay muchas formas diferentes en que un hacker puede arruinar su sitio web con código malicioso. Esto ni siquiera afecta a alguien específicamente motivado contra ti, que puede desfigurar tu contenido anterior, eliminar bases de datos o bombardear tus páginas con palabras clave para destruir tu ranking de Google.
Escaneando un sitio
Si le preocupa que su sitio se vea comprometido, y debería estarlo, puede tomar algunas rutas diferentes.
Lo primero que debe hacer es verificar los registros de acceso de su servidor . En general, su servidor web debe tener registros de acceso que pueda verificar. El registro será poco más que una lista de direcciones IP y fechas, pero puede indicar cuándo una extraña dirección IP está accediendo a su sitio en una fecha inusual. Algunos hackers borrarán, deshabilitarán o editarán los registros de acceso para eliminar su presencia, pero a muchos no les importa si se descubren, siempre y cuando su código se ejecute algunas veces primero. Sin embargo, acceder a un registro de acceso variará según tu servidor.
Mejor que un registro de acceso es un registro de cambios . Un registro de cambios mostrará los detalles de todo lo que ha cambiado en su sitio. No se mostrará cuando cambie el texto de una publicación de blog, pero puede mostrar cuándo se sobrescribe o edita un archivo, o cuándo se agregan nuevos archivos y carpetas. Un registro de cambios puede mostrarle cuándo ocurre una actividad inusual y puede identificar específicamente qué páginas se vieron afectadas.
Por supuesto, no siempre tendrá el registro habilitado. Si no lo hace, o no puede acceder a los registros debido a la configuración de su servidor web, es posible que deba optar por otro enfoque.
También puede analizar detenidamente partes específicas de su sistema para escanear manualmente. Aquí hay algunos consejos:
- Examine sus archivos críticamente. Eche un vistazo a su archivo .htaccess, y vea si está ocultando cualquier archivo que no esperaba que se ocultara, o si tiene alguna directiva que no desea que tenga. Si no sabe qué aspecto tiene un buen archivo .htaccess, busque ejemplos en Google o compárelos con una buena versión de respaldo conocida de su sitio desde una instalación nueva o desde el momento en que se implementó por completo. También puede buscar archivos multimedia, especialmente archivos .JS, así como archivos .PHP que podrían estar realizando llamadas a otros archivos que no deberían. Sin embargo, estos son más difíciles de analizar a menos que sepa lo que está mirando.
- Ejecute su sitio a través del escáner SafeBrowsing de Google. Por ejemplo, aquí está este sitio. http://www.google.com/safebrowsing/diagnostic?site=seoblog.com . Es de uso gratuito, y si bien no brinda muchos detalles, le dirá si su sitio se ve bien o si Google detecta algo extraño al respecto.
- Use un escáner CMS. Ciertos tipos específicos de plataformas CMS, como WordPress y Joomla, están sujetas a tipos específicos de ataques que los escáneres normales podrían no detectar o pensar en buscar. Puede encontrar herramientas específicas para su CMS, como WordPress Theme Authenticity Checker o el plugin Jamss.php para que Joomla busque tipos específicos de sitios comprometidos.
Normalmente recomiendo que use más de un cheque cada vez que quiera escanear su sitio. Un inspector suele estar bien, pero algunos son más o menos exhaustivos que otros. Como la mayoría de los controles automatizados solo toman uno o dos segundos, es fácil usar más de uno solo para asegurarse de que su sitio sea seguro.
Escáneres automáticos
Una página como IsItHacked puede escanear su sitio buscando problemas comunes asociados con una página web pirateada.
Específicamente, buscan:
- URL ocultas. Los hackers que colocan páginas en su sitio a menudo ocultan la URL para ocultarla de Google, por lo que Google no la verá. Google aún puede verlo pero no lo agregará a su índice; sin embargo, pueden agregarlo a su lista de sitios comprometidos.
- Códigos de estado HTTP. Verificando estos códigos puede mostrar si hay redirecciones maliciosas o páginas comprometidas que de otra manera deberían resolverse bien.
- Enlaces de correo no deseado. La herramienta escaneará sus páginas en busca de enlaces fraudulentos que podrían haber sido incrustados por un pirata informático. Algunos hackers agregarán enlaces a sus dominios PBN oa sus sitios de construcción de enlaces escalonados, y esperan que pasen desapercibidos; tales enlaces pueden marcar su sitio como parte de una PBN y tanquear su SEO.
- Uso de iFrames. El antiguo sistema iFrame era una forma de mostrar contenido dentro del contenido, pero también se usa a menudo como una forma invisible de mostrar anuncios gráficos o códigos maliciosos sin poner ese código en su página. Tales iFrames son generalmente perjudiciales para cualquier sitio hoy, así que no los use, y asegúrese de que no haya ningún incrustado en su página sin su conocimiento.
- Listas negras IsItHacked mantiene una lista de listas negras de toda la web, incluida la lista negra de Google Safe Browse. Verificará su URL con estas listas negras para ver si aparece, lo que le indicará si se ha visto comprometido.
También hay otros escáneres de sitios. Sucuri tiene uno , al igual que servicios como Siteguarding . Ejecute su URL a través de uno o más de estos servicios para ver si alguno de ellos presenta un resultado preocupante.
Limpiar un sitio comprometido
Ya he vinculado a nuestro artículo principal sobre cómo recuperarse de una piratería de sitios, pero voy a repasar algunos consejos aquí.
Lo primero que debes hacer es determinar el alcance del truco. Si su cuenta de administrador está en peligro, podría acceder a más de una página. Si se trata de un hack de su CMS, es posible que no hayan tenido acceso a sus datos de back-end. También es posible que el truco se haya producido a través de su publicidad en lugar de su sitio, por lo que la recuperación es tan simple como informar y eliminar ese anuncio malicioso específico de la rotación.
Si su cuenta ha sido comprometida, busque otras cuentas potenciales que también podrían haber sido comprometidas. Demasiadas personas comparten las contraseñas y los nombres de las cuentas, y si un hacker pone en peligro una, pueden comprometer a otra. Verifique sus cuentas de correo electrónico para el acceso no autorizado, así como otras cuentas importantes.
Una cosa importante para verificar es la información de recuperación . Personalmente he pirateado una cuenta de Microsoft donde el pirata informático agregó su propia información a la lista de recuperación; si intentaba cambiar mi contraseña, recibirían también el correo electrónico de restablecimiento de contraseña y podrían cambiarlo. Si no me hubiera dado cuenta, podrían haberme excluido de la cuenta por completo. Siempre busque información de contacto modificada o inusual y elimínela antes de cambiar la información de su cuenta.
Si hay un servicio de terceros, ya sea que su servidor, su correo electrónico o su banco estén en peligro, busque cualquier información de recuperación de piratería específica de ese servicio. Algunos servicios, como PayPal, tienen procesos específicos que puede seguir para asegurarse de recuperar y volver a proteger su cuenta.
En cuanto a su sitio en sí, averigüe cuánto de su sitio se ha visto comprometido, de qué manera y por cuánto tiempo. Idealmente, no es un hack extendido, y no ha sido pirateado por mucho tiempo. Busque cualquier copia de seguridad de su sitio que haya tomado, y examínelos para ver si también se vieron comprometidos. Idealmente, puede restaurar su sitio desde una copia de seguridad anterior, recuperar cualquier contenido perdido y volver a proteger su sitio. Si no tiene copias de seguridad, ahora es el momento de iniciarlas. Bueno, "ahora" como después de que tu sitio ha sido limpiado; no quieres una copia de seguridad comprometida.
Elimine los archivos comprometidos y reemplácelos con archivos limpios. Actualice todos los complementos, temas y plataformas de CMS según sea necesario. Si los complementos tienen más de seis meses o más sin una actualización, considere reemplazarlos con un complemento mantenido activamente.
Finalmente, considere implementar tantas capas de seguridad como sea posible. La autenticación de dos factores generalmente es una buena idea para evitar el acceso no autorizado a sus cuentas. También debe instalar un complemento o servicio de supervisión como Sucuri para ayudar a controlar y evitar futuros intentos de hackear su página.
Ah, y asegúrese de cumplir con todas las leyes relacionadas con la información del usuario comprometida. En América, por ejemplo, si una violación de datos incluye información de identificación personal, debe notificar a sus usuarios dentro de un cierto período de tiempo, según lo determinado por la ley estatal o regional . La falta de divulgación de una violación puede dejarlo responsable por daños extremos.
No hay comentarios:
Publicar un comentario