Han hackeado mi tienda

por | May 3, 2018 | Ecommerce, Prestashop, Varios

Han hackeado mi tienda

Socorro! Han hackeado mi tienda! Intento entrar al panel de control y no puedo, han cambiado contraseñas y han modificado ficheros! Antes de nada, no entres en pánico. Aquí te explico cómo reaccionar y recuperar tu tiendaEsto no es ciencia ficción ni está exagerado. Le puede pasar a cualquiera que tenga una web, pero aún es más grave si lo que tienes es una tienda online. ¿Por qué? Porque puede afectarte no sólo a ti sino a las transacciones de tus clientes.

Pero tanto si es una web en general como si es una tienda online, vamos a ver cuál es la mejor manera de reaccionar ante un ataque o hack.

La seguridad total no existe

candado
Esa frase ya puedes recordarla porque no existe ningún sistema 100% seguro. Primero, porque todos los sistemas deben ser accesibles para poder interactuar con ellos, lo que genera una puerta de entrada que puede aprovecharse de manera maliciosa. A parte de los backdoors o puertas traseras, es decir, códigos débiles en la programación del sistema que pueden aprovecharse como vulnerabilidad para acceder a ellos.

Segundo, porque ningún algoritmo criptográfico es ni será 100% seguro. Los hay tan robustos que necesitarían una potencia de cálculo casi infinita o bien un tiempo de cálculo tan grande que los haría inútiles (años, muchos años). Pero ninguno es invulnerable. Hace un tiempo hablé de seguridad aquí

Así que asumiremos que la seguridad total no existe, por lo tanto, suponiendo que nuestro sistema tenga las medidas de seguridad necesarias, lo que hace la diferencia ante un ataque, es cómo respondemos.

Han hackeado mi web, ¿por qué a mí?

han hackeado mi webTodas las webs son susceptibles de ser hackeadas, o ser accedidas, de manera maliciosa, por individuos sin privilegios sobre el sistema. ¿Qué mueve a un hacker a intentar entrar en tu web? En primer lugar, no creas que es algo personal. Normalmente, se trata de bots que son lanzados contra los servidores buscando puertas traseras o agujeros de seguridad. En el momento de encontrarlos, el bot inyecta un código que permite controlar o acceder la web sin pasar por los medios habituales.

¿Qué buscan en mi web?

Eso depende de los intereses del inviduo que esté atacando tu web. Pero los principales motivos se mueven entre los siguientes:

  • Conseguir datos de clientes: acceden a la base de datos y se llevan toda la información que contiene. O bien para venderla o para usarla maliciosamente
  • Conseguir datos de tarjetas: pero esto cada vez es más difícil, ya que la mayoría de tiendas gestionan los pagos con tarjeta en pasarelas externas y no guardan ni números ni contraseñas
  • Modificar módulos de pago que funcionen con Api, tipo Paypal y otros. ¿Por qué? Porque estos medios de pago no necesitan trabajar con una url de tienda o web fija. Puedes acceder a una tienda, ir a su módulo paypal, modificar la cuenta de usuario en la que se ingresan los pagos, y a partir de ahí, cualquier pedido que entre en el comercio y que sea pagado por Paypal, te llegará a ti en forma de ingreso del importe del pedido.
  • Ego, reconocimiento, reivindicaciones sociales o políticas: muchos hackers se saltan las barreras de seguridad de determinadas webs sólo por el reconocimiento a su capacidad. No suelen hacer uso malicioso de ninguna información. Simplemente, el hecho de haber podido acceder a dichos sites es el premio ante la comunidad. En otros casos, es una herramienta de reivindicación social o política.

Y en función de la lista anterior, los efectos que veremos sobre nuestra web pueden ser muy diferentes.

¿Cómo sé que me han hackeado la web?

como saber que me han hackeado la web

Hay muchos casos en los que no somos conscientes de que alguien está accediendo a nuestra web.

  1. Es evidente: Si te encuentras con un hacker principiante, lo más seguro es que te des cuenta desde el primer momento de que está pasando algo, ya no es que suelan dejar muchas pistas, es que suelen incluso destrozar la web por su desconocimiento. Es el caso en el que directamente:
    • la web ha caído
    • el panel de administración ha caído
    • la web muestra un contenido diferente al que debería
  2. La web va perfectamente pero no puedo acceder al panel de control: no notas ninguna diferencia con el comportamiento habitual de la web, pero no puedes acceder al admin. Alerta: te ha tocado un principiante que ha cambiado algo dentro de tu web y no quiere que lo repares, por eso te cambia el acceso al admin. Seguramente ha cambiado datos de pago, como he comentado antes.
  3. La web va rara, lenta, pero nada más ha cambiado: no te han modificado ningún módulo y puedes seguir entrando en modo administrador, pero notas algo raro en la web, va como más lenta, le cuesta más. Pista inequívoca de que te han instalado algún troyano o software con propósitos maliciosos como captar contraseñas, por ejemplo.

Más adelante explicaremos cómo proceder en cada uno de estos casos y recuperar nuestra web.

Medidas básicas de seguridad

MEDIDAS DE SEGURIDAD web

La mayor parte de medidas básicas de seguridad tienen que ver con el sentido común, y las habréis oído miles de veces, pero creedme, aún me sigo encontrando con casos donde no se utilizan correctamente. Vamos a repasarlas:

  1. Nombre de usuario: no uses el nombre de la web o el típico «admin». Porque son las dos primeras palabras que van a probar. Así de fácil.

  2. Contraseñas de usuario: no utilices frases obvias, fechas de cumpleaños, el nombre de la web con alguna variante o cosas similares.
    • Piensa un poco y crea contraseñas que combinen letras, números, mayúsculas, minúsculas y algún símbolo extra.
    • Y no utilices la misma contraseña para todas tus webs, o ftp, o bases de datos o servidor o lo que sea. Si te las tienes que apuntar en un bloc, lo haces, pero NUNCA la misma para todos sólo para que te sea fácil de recordar.
    • No cedas tus contraseñas a terceros. Y si tienes que hacerlo para que te revisen la web o te instalen algo, crea un usuario sólo para esa persona y luego lo eliminas.
    • Cambia las contraseñas con cierta periodicidad. Es muy recomendable y sólo te tomará un minuto (más lo que tardes en anotarla en tu bloc 😀

  3. Url de administración: no se te ocurra utilizar una url del panel de administración que sea del estilo www.tuweb.com/admin ¿Por qué? ¿A que es la primera en la que pensarías? Pues no eres la única persona que lo puede pensar. Ponle imaginación y crea urls de admin que sean diferentes. Porque si se trata de prueba y error, no darán con ella nunca. Por ejemplo www.tuweb.com/soloentroyo 😉

  4. Actualiza tu software: tanto si tu web es wordpress, como magento, como prestashop, como joomla, como la que te dé la gana, sobre todo, tenla siempre actualizada a su última versión estable. Y los módulos o plugins con los que trabajes, también.

  5. Módulos y plugins autorizados: Las grandes plataformas suelen cuidar mucho sus agujeros de seguridad (wordpress, magento, etc) pero los plugins o módulos que instales no tienen porqué. Asegúrate de que los descargas de sites autorizados por las plataformas. Piensa que son el coladero principal de los hackers. Si trabajas en Prestashop, puedes conseguirlos en Addons, y si no, asegúrate de que Prestashop da el visto bueno o de que tienen ya cierta reputación. Y quien dice Prestashop dice cualquiera de las otras.

  6. Plantillas: es el segundo coladero principal de hackers. Compra la plantilla en sitios de fiar y con credibilidad. Desconfía de las plantillas gratis (os hablo por experiencia, creedme). Y sobre todo, tenla siempre actualizada a su última versión. Si tu web trabaja con una plantilla que ya llevas usando unos años, asegúrate de que el programador va sacando actualizaciones. Y si no es el caso, plantéate cambiar de plantilla a una reciente. Además, tus clientes te lo agradecerán porque ofrecerás una imagen moderna y renovada.

  7. Módulos de seguridad: puedes proteger tu web instalándole módulos de seguridad. Por ejemplo, en WordPress está Wordfence, entre otros. Muchos tienen versión gratuita con un alto grado de protección. Incluyen firewall, filtros de IP, avisos de alertas, etc.

  8. Log: la mayoría de plataformas tienen un archivo de todo lo que pasa en la web. Evidentemente, a nivel de servidor puedes acceder a prácticamente cualquier cosa que haya pasado en el site. Pero, por ejemplo, Prestashop tiene la función de «Log» donde puedes revisar toda la operativa. Desde cuándo ha accedido un administrador, qué ha hecho mientras estaba conectado, cuál era su IP… ¿Y por qué esto es importante? Porque es muy probable de que si hay algo pasando en tu web, lo veas aquí.

  9. Contraseñas de ftp, base de datos, servidor: ten como una buena costumbre, el ir cambiándolas periódicamente. Ya sabes, las vas anotando en tu libretita. Pero es algo muy recomendable y que no te cuesta más que unos minutos cada varias semanas.

  10. Observa: sobre todo, fíjate en cualquier detalle que no sea habitual en tu web. Tu capacidad de observación será, en la mayoría de los casos, tu mayor fuerte para detectar un posible ataque y así poder reaccionar rápido.

  11. Copias de seguridad: lo he puesto el último pero es de los más importantes. Haz copias de seguridad de tu web a menudo, y guárdalas en un lugar seguro. Tu propio servidor ya las hace. Pero cada cierto tiempo, descárgate todos los ficheros de la web, y la base de datos. Es un colchón que tienes para tu seguridad y tranquilidad.

Respuesta ante un ataque

respuesta a un ataque webHoy en día, uno de los indicadores del grado de madurez de una empresa en cuanto a seguridad (y nos referimos a seguridad informática y telemática), no es que sea invulnerable (que ninguna lo es), sino la capacidad que tiene de responder al ataque.

Ya no se trata de invertir recursos en hacer impenetrable nuestro sistema, sino de invertirlos en capacidad de reacción para recuperar el sistema si ha sido intervenido.

Asúmelo, antes o después van a atacar tu web de una u otra forma. Y si no lo han hecho, o has tenido mucha suerte o tu web no es suficientemente interesante (a nivel de tráfico, por ejemplo), como para llamar la atención.

Aquí voy a indicar las pautas para reaccionar de manera lo más efectiva posible en caso de que hayan atacado o hackeado tu web.

  1. Mantén la calma. Sí, lo sé, algo grave le acaba de pasar a tu web. Pero ponerse nervioso no te va a hacer pensar ni actuar con más claridad. Al revés. La capacidad de reacción es básica para recuperar el site.
  2. Contramedidas básicas iniciales. Cambia las contraseñas de acceso a tu panel de administración (si puedes).
    • Cambia la contraseña de tu ftp y de tu base de datos
    • Desactiva los métodos de pago con api
  3. Evalúa los daños. ¿Qué le ha pasado a la web?
    • no puedes acceder al admin
    • han modificado módulos
    • el frontoffice no va o muestra contenido diferente al que debería
    • la web va muy lenta
    • FTP: revisa si hay ficheros nuevos o si los que había han sido modificados (la fecha de modificación te dará la pista de cuáles han sido)
  4. Gestiona los daños: decide. En función de los daños que tenga la web, tendrás que reaccionar de una manera o de otra.
    • Admin sin acceso: si no puedes entrar en tu admin, no podrás cambiar la contraseña. Así que, una medida sería cambiar la url de acceso al panel vía ftp. Después, acceder vía base de datos, eliminar el administrador fake y restaurar un administrador válido. Esto te da acceso a tu admin para que puedas entrar en la web y ver si hay más daños.
    • Modulos modificados: reinícialos para vaciar su contenido fake y vuelve a configurarlos con el contenido correcto. Si el módulo modificado es de pago, reinícialo y desactívalo hasta que puedas asegurar la web. Si sospechas de otros módulos, desactívalos mientras tanto.
    • Frontoffice con contenido fake: entra por ftp y revisa los ficheros modificados y/o añadidos. Elimínalos y restaura los equivalentes de tu última copia de seguridad limpia.
    • Web lenta: revisa también si hay ficheros añadidos. Pasa un antivirus a la web. En caso de dudas, restaura la copia de seguridad más reciente de tu web.
  5. Logs. Con los pasos anteriores has conseguido retomar el control de tu web o reponer el contenido que te habían modificado. Pero sigues sin saber cómo han entrado y, por lo tanto, estás expuesto a un nuevo ataque mientras no lo soluciones. El registro de logs del servidor te dará mucha información sobre la puerta de entrada. Normalmente, suele estar en módulos no actualizados o no autorizados, y en plantillas ídem. Si es el caso, actualiza módulos o plantilla, o bien elimínalos y busca un equivalente sí reconocido.
  6. Ponte en manos de un profesional. Porque es lo que más tranquilidad te va a dar, y porque va a conseguir tapar esos agujeros por los que hayan podido entrar. Y porque aunque esto son unas pautas básicas, a veces no son suficientes. Además, no tienes porqué dedicar tu tiempo a estas cosas.

Conclusión

Resumiría este post insistiendo en dos aspectos básicos: tener copias de seguridad de tu web, porque en un momento dado, si no lo ves claro, las restauras y punto, tener actualizado el software del site y, sobre todo, saber reaccionar rápido siguiendo este mini protocolo.

Sobre todo, mucha suerte, mucho ecommerce, y si os ha pasado alguna vez, comentadlo aquí abajo y así aprendemos todos.

Rating: 5.0/5. From 6 votes.
Please wait...

Centro de preferencias de privacidad

Necesarias

Se usan para saber si ya aceptaste nuestras políticas, si ya estás suscrito a nuestra newsletter, para reconocer el estado de tu sesión si la tuvieses y para servir más rápidos los contenidos.

No se captura IPs ni siquiera para el servicio de Analytics así que tu visita es privada.

JSESSIONID, _cfuid, wpSGCachePypass, mailerlite, gdpr, gawp

Translate »