Restaurar el backup es un excelente primer paso, pero es crucial implementar medidas de seguridad robustas de inmediato para evitar una nueva inyección de JavaScript.
Aquí tienes un plan de acción para proteger tu sitio web:
🛡️ Plan de Protección Inmediata
Limpieza y Desinfección Profunda
Aunque hayas restaurado la copia, los hackers a menudo dejan puertas traseras (backdoors) ocultas para regresar.
- Escanea tu sitio: Instala y ejecuta un plugin de seguridad de confianza (como Wordfence o Sucuri Security). Estos escanearán los archivos principales de WordPress, los plugins y los temas en busca de malware, backdoors y archivos modificados.
- Elimina archivos sospechosos: Si el escáner encuentra archivos sospechosos en ubicaciones como /wp-content/uploads/ que no deberían estar ahí, elimínalos manualmente o a través del plugin.
Cambios de Credenciales Urgentes
El hacker puede tener tus contraseñas. Cámbiate todo inmediatamente.
- Contraseña de Administrador: Cambia la contraseña de todos los usuarios administradores. Usa contraseñas fuertes y únicas (más de 12 caracteres, con letras mayúsculas, minúsculas, números y símbolos).
- Contraseña de la Base de Datos: Accede al panel de control de tu hosting (cPanel, Plesk, etc.) y cambia la contraseña de la base de datos MySQL. Luego, edita el archivo wp-config.php de tu instalación de WordPress para actualizarlo con la nueva contraseña.
- Contraseña del Hosting/FTP: Cambia las contraseñas de tu cuenta de hosting (cPanel) y de cualquier cuenta FTP o SSH.
Fortificación del Núcleo de WordPress
Actualizaciones 🔄
Asegúrate de que WordPress, todos los temas y todos los plugins estén actualizados a su última versión. Las vulnerabilidades de seguridad son la causa más común de los hacks.
- Elimina cualquier tema o plugin que ya no uses. Menos código es menos superficie de ataque.
- Seguridad de Archivos
- Permisos de Archivos: Verifica que los permisos de tus archivos sean correctos. Generalmente, las carpetas deben ser 755 y los archivos 644. Nunca debe haber archivos o carpetas con permisos 777, ya que permiten la escritura pública.
- Autenticación de Dos Factores (2FA)
- Habilita la autenticación de dos factores (2FA) para todas las cuentas de administrador. Esto hace que incluso si tienen tu contraseña, no puedan iniciar sesión sin tu teléfono.
Implementación Preventiva de Seguridad
- Usar un Firewall 🧱
- Instala un plugin de seguridad (Wordfence o Sucuri lo incluyen) o, mejor aún, utiliza un servicio de firewall a nivel DNS, como Cloudflare. Un firewall de aplicaciones web (WAF) bloquea automáticamente ataques comunes, incluyendo muchas formas de inyección de JavaScript, antes de que lleguen a tu sitio.
- Refuerzo de wp-config.php
- Bloquea la edición de archivos: Añade la siguiente línea a tu archivo wp-config.php para evitar que un atacante modifique archivos de temas/plugins a través del panel de WordPress si logra acceder: define(‘DISALLOW_FILE_EDIT’, true);
- Límite de Intentos de Inicio de Sesión
- Configura un límite estricto de intentos de inicio de sesión (por ejemplo, 3 intentos fallidos y bloqueo por 24 horas) para frustrar ataques de fuerza bruta. Los plugins de seguridad también suelen ofrecer esta funcionalidad.
📅 Mantenimiento Continuo
La seguridad es un proceso, no un evento único.
- Copias de Seguridad (Backups): Asegúrate de que tu sistema de backup esté automatizado y almacene las copias en una ubicación externa a tu hosting (como Google Drive o Dropbox).
- Monitoreo: Mantén activado el escaneo de seguridad programado de tu plugin para detectar vulnerabilidades o malware a tiempo.
- Actualizaciones de Rutina: Establece un recordatorio semanal para verificar y aplicar todas las actualizaciones de WordPress, temas y plugins.
Procedamos con los pasos prácticos:
Para empezar con la fortificación de tu sitio, te recomiendo centrarte en las siguientes tres acciones inmediatas:
🔑 Cambiar la Contraseña de la Base de Datos
Este es un paso crítico y a menudo olvidado después de un hackeo.
- ¿Dónde hacerlo? Accede al panel de control de tu hosting (cPanel, Plesk, o el panel personalizado de tu proveedor). Busca la sección «Bases de datos» o «MySQL Databases».
- Procedimiento: Localiza tu base de datos de WordPress, cambia la contraseña del usuario asociado y luego actualiza el archivo wp-config.php de tu sitio con esa nueva clave.
🧱 Instalar un Plugin de Seguridad con WAF
Instalar un plugin de seguridad te proporcionará un firewall de aplicaciones web (WAF) esencial y herramientas de escaneo.
- Recomendación: Te sugiero Wordfence Security. Es muy completo en su versión gratuita para escaneo de malware y bloqueo de brute force, además de incluir un WAF.
- Acción: Instálalo, actívalo y ejecuta un escaneo completo del sitio.
- 🛡️ Activar la Autenticación de Dos Factores (2FA)
Esto protegerá el acceso de administrador incluso si un atacante tiene tu nueva contraseña.
- Acción: La mayoría de los plugins de seguridad (incluido Wordfence) ofrecen esta opción, o puedes usar un plugin dedicado como Two Factor Authentication.