Ayer andaba desconectado cuando de repente me llega un primer mensaje (¡Pakillo!) en el que me avisaba de que algo raro pasaba con Incognitosis. La página le saltaba a una especie de falso sorteo al intentar comentar. Le dije que lo miraría en cuanto pudiera, y cuando por fin pude hacerlo era ya muy tarde y casi ni me había acordado del tema. En Twitter varios lectores me decían lo mismo: algo raro pasaba con Incognitosis, que no cargaba y en lugar de eso iba a una página peregrina y con muy mala pinta.
Mi mujer, que es desarrolladora frontend y tiene muy buen ojo para eso, me ayudó a detectar rápidamente el problema. Alguien había colado de alguna forma un plugin que hacía esa función de redirección para intentar, supongo que alguien cayese en alguna trampa después de visitar la página. Desde su móvil (luego me confirmó que también pasaba en escritorio) le salía esta movida:
Se detectó fácil porque simplemente miró qué carpetas/ficheros se habían modificado en las últimas horas en el servidor VPS en el que tengo Incognitosis, y a partir de ahí simplemente borré el plugin y luego estuve buscando alguna cosa rara más. A eso me ayudó el célebre plugin Wordfence, que la verdad es que parece hacer un buen trabajo en su versión estándar y que de hecho incluye hasta un sistema 2FA para que si alguien intenta logars en el blog con mi usuario tenga que hacerlo con doble autenticación (en este caso, vía un token que llega a Google Authenticator y que rota cada pocos segundos).
Esa era una primera forma de proteger un poco el servidor, al que no entiendo cómo accedieron porque tenía una contraseña fuerte y además tenía activado fail2ban, un sistema que permite que cuando alguien meta una contraseña errónea (yo incluido) el sistema bloquee esa IP para que no puedas reintentar el inicio de sesión hasta dentro de cierto número de horas (se puede configurar).
¿Qué hice? Cambiar la contraseña de acceso al VPS también, algo que ciertamente no había hecho en bastante tiempo precisamente pensando que con esa contraseña fuerte iba a ser difícil. Supongo que en realidad no entraron con la contraseña, sino quizás aprovechando alguna vulnerabilidad de algún plugin antiguo. Precisamente Wordfence hace un análisis del blog y detecta entre otras cosas si tienes plugins antiguos y que ya no están mantenidos desde hace tiempo, y efectivamente ahí tenía alguno que también tuve que desactivar para evitar historias.
Que yo sepa todo funciona bien, pero está claro que incluso bastiones de la ciberseguridad como Incognitosis (ja) pueden caer en manos de algún hacker con ganas de hacer la puñeta. Afortunadamente no me preocupa demasiado que entren, porque hago copias de seguridad a menudo y como mucho perdería algún que otro post para luego restaurarlo todo en otro lado. Sería un engorro durnate unas horas, claro, pero lo bueno de ser pequeñito es que estas cosas se pueden resolver más o menos fácilmente en unas horas y como no soy Amazon si Incognitosis se cae unas horas o un par de días tampoco se acaba el mundo.
Así pues, queridos lectores, gracias a los que me avisásteis y estuvisteis al tanto, que fuisteis unos cuantos a través de Twitter o del correo electrónico. Si tenéis un blog y queréis evitar sustos, igual queréis darle un tiento a Wordfence y a lo de la autenticación 2FA, además de lo de la revisión de plugins y demás ficheros. Y por supuesto, ya sabéis: backups, backups y más backups.
Revisa los plugins que tienes instalados, y mantenlos actualizados sobretodo, esta misma semana salian varios CVEs para el plugin oficial de Facebook en wordpress, y hace poquito otros tantos bastante comunes se vieron afectados.
Te recomiendo tambien aue instales el plugin de Cerber, muevas el admin a otra carpeta que no sea wp-admin, desactives la redirección de wp-login y banees del tirón al que al que llame al archivo, o al que pruebe intentos con usuarios inexistentes, desactives la ejecución de scripts en la carpeta de la biblioteca etc.
Todo esto y bastantes más cosillas puedes hacer con el plugin que te comento, incluidos escaneos de integridad de archivos etc.
Si necesitas un cable haciéndole hardening al server o al wordpress avísame.
En plan a largo plazo también puedes montar el admin en una maquina y el frontal en otra, rehaciendolo como página estática con Gatsby por ejemplo, ganas en velocidad, y te ahorras quebraderos al ser estática.
Un saludo.
Gracias por los consejos Daniel, miro lo de Cerber y quizás sí te avise para esas labores de hardening, guay que te ofrezcas que ando algo oxidado en temas sysadmin. Lo de montar backend y frontend en distintas máquinas es un poco demasiado, al menos a priori. Incognitosis es un blog muy modesto pero oye, lo tomo en cuenta, aunque de Gatsby no tengo ni papa… sé que existe, y ya.
No sé cómo se llevaría mi blog con ese enfoque estático, comentarios e incognichollos (que es una sección un poco dinámica que va junto a los posts pero como un módulo que manejo aparte) igual me harían un poco cosas raras, y los tiempos de carga ya son buenos (aunque siempre se pueda mejorar, claro).
Lo dicho, gracias por todos los buenos comentarios.
Saludos!
Que bueno que ya todo está bien.
Lo que no entiendo es por qué sigues usando wp, es muy poderoso y muy usado, y todos quieren encontrar fallos…
Con tu blog tan limpio le deberías de dar una oportunidad a un sitio estático (Hugo por ejemplo) y va a ir aún más rápido. (Y lo pasas por cloudfare proxy)
Uf, probé hace bastante tiempo pero hay varios obstáculos. Migrarlo todo y que funcione bien al 100% sería probablemente costoso, pero también el tema que citaba antes de los Incognichollos o los comentarios. Gracias por las sugerencias Gosz.
Me alegro de que se quedara en una anécdota.
Gracias 🙂
Que difícil es el tema de la seguridad, bien que lo hayas podido arreglar tan rápido.
Una duda legal, si alguien ha picado en este sorteo y le estafan de alguna manera, ¿el dueño de la página tiene alguna responsabilidad? Nunca me había planteado esto antes y da respeto.
Lo dudo mucho…
Niño, no me he dado cuenta de nada de eso… pero que horror y asco.
Aunque no hay hakeo en este mundo que me impidan entrar en Incognitosis!!!
Me alegro que se aya solucionado.
No se libra nadie por lo que se ve XD
Aunque ya parece que lo tienes controlado y parece un ataque bastante estándar, mira a ver si te han cambiado la dirección de algún enlace, como los de los Incognichollos.
Creo que no, pero gracias por el aviso Land. Y efectivamente no se libra ni Perry Mason 🙁
Me apunto lo del Wordfence que tengo que revisar mis cositas que hace tiempo que no les doy cariño.
Genial