Entre los sistemas de gestión de contenido (CMS) populares, Joomla es conocido por sus características de seguridad y su solidez. Pero usar Joomla para construir y mantener tu sitio no garantiza que no pueda ser hackeado. No importa cuánto esfuerzo pongas para asegurar tu sitio, siempre habrá una vulnerabilidad que ignores, una que abra una puerta para que los hackers ingresen y alteren tu apreciado contenido.
Los sitios Joomla pueden ser hackeados de muchas maneras. Para comenzar, el servidor que aloja tu sitio puede ser inseguro. Hay muchas vulnerabilidades que pueden explotarse en un servidor, como credenciales débiles, servicios DNS desprotegidos, puertos abiertos y muchos otros.
El entorno de gestión de Joomla también tiene su propio conjunto de vulnerabilidades. Una tristemente común es el uso de la cuenta de administrador predeterminada con una contraseña débil que se puede obtener mediante un ataque de fuerza bruta. Otra es la falla al actualizar el core de Joomla o los complementos o plantillas instalados.
La arquitectura abierta de Joomla es excelente por la flexibilidad que ofrece, pero crea un riesgo potencial al permitirte usar extensiones inseguras. Finalmente, una amenaza común a todos los sitios web, independientemente de la tecnología subyacente: podría convertirse en el objetivo de ataques de phishing.
En conclusión, tu sitio de Joomla puede ser hackeado, pase lo que pase. La siguiente pregunta que debes hacerte es: ¿Cómo sé si mi sitio fue hackeado y cuáles son las consecuencias?
El problema con mantener un sitio hackeado
Si escaneas con frecuencia tu sitio web Joomla en busca de malware, existe una buena posibilidad de que detectes un intento de hacking antes de que se apodere de todo tu sitio. Pero si no lo haces, los síntomas de que su sitio fue hackeado aparecerán en forma de páginas web alteradas, con mensajes, enlaces, imágenes o anuncios que no colocaste allí, o redirecciones a sitios que no te pertenecen.
También debes sospechar que tu sitio ha sido hackeado si le notas cambios sutiles de comportamiento, como el cierre imprevisto de una sesión con la cuenta de administrador, la aparición de nuevos nombres de administradores, una gran e inesperada cantidad de tráfico o una carga lenta de las páginas.
En un principio, puedes pensar que esos síntomas son superficiales y que los mensajes o imágenes extraños no son realmente preocupantes. No te confíes. Cualquier síntoma de hacking es perjudicial de muchas maneras. Para empezar, puede afectar el posicionamiento SERP (páginas de resultados de motores de búsqueda) de tus páginas. Los motores de búsqueda, en particular Google, verifican los sitios que rastrean para ver si son seguros para los usuarios habituales. Si detectan que tu sitio ha sido hackeado, mostrarán una advertencia junto con los metadatos, y también reducirán su ranking SERP a favor de otras páginas con contenido similar que no haya sido hackeado.
Los síntomas de que su sitio fue hackeado aparecerán en forma de páginas web alteradas, con mensajes, enlaces, imágenes o anuncios que no colocaste allí, o redirecciones a sitios que no te pertenecen.
Además de dañar tu SEO y la reputación de tu sitio como una entidad seria, las consecuencias de mantener un sitio hackeado podrían incluir poner en peligro la información privada de tus clientes o usuarios. Un ataque de hacking, como por ejemplo cross-side scripting, podría redirigir a sus visitantes a cualquier lugar que los hackers elijan. Esos visitantes perderán la confianza en tu sitio para siempre.
Conque mi sitio Joomla fue hackeado. ¿Y ahora qué hago?
Tienes dos opciones: contratar un servicio que haga la limpieza por tí (por una tarifa), o hacer la limpieza tú mismo. Si eres un fanático del bricolaje, prepara una jarra de café y haz un trabajo de limpieza serio, siguiendo los pasos a continuación.
1. Realiza una copia de seguridad completa
Esta copia de seguridad contendrá rastros de malware, pero debes guardarla de todos modos en tu computadora local, en una carpeta de cuarentena, en caso de que necesites encontrar algún archivo o contenido que no esté en ningún otro lugar.
2. Realiza un escaneo completo del sitio
Utiliza una herramienta en línea para hacer este trabajo, y también usa tu antivirus local para detectar archivos infectados en la copia de seguridad realizada en el paso 1. Si el antivirus detecta archivos infectados, esos archivos deben eliminarse de la copia de seguridad y del hosting de tu sitio.
3. Pon el sitio fuera de línea
Puedes hacerlo desde el back-end de Joomla, a través de FTP, o simplemente modificando el archivo .htaccess en tu servidor para permitir el acceso sólo desde tu propia dirección IP.
4. Haz un escaneo manual
Usando FTP y tu propio ojo entrenado, navega a través de la estructura de directorios para encontrar archivos extraños y eliminarlos. Mira particularmente en carpetas como / tmp, / cache o / images en busca de archivos maliciosos disfrazados de legítimos. Un par de ejemplos comunes: test.html, tests.php, contactos.php, cron.css, css.php. Si encuentras algún archivo que no pertenece a la carpeta en la que se encuentra, elimínalo sin pensarlo dos veces.
Si no estás seguro si el escaneo completo del sitio que realizaste en el paso 2 limpió los archivos de código infectados, entonces tu escaneo manual debe incluir la búsqueda de código malicioso en los archivos php. Ten en cuenta que ese código podría aparecer ofuscado o enmascarado con funciones como base64_decode, gzinflate, eval u otras relacionadas con expresiones regulares. Puedes usar un decodificador php o un servicio en línea para analizar el código ofuscado para revelar lo que realmente hace.
5. Cambia todas las contraseñas y elimina nombres de usuario sospechosos
En primer lugar, cambia la contraseña de tu cuenta de superusuario de Joomla y todas las contraseñas de las cuentas con permisos administrativos en el sitio web. Desde tu panel de hosting, cambia la contraseña de la base de datos y actualízala en los archivos de configuración (configuration.php). Haz lo mismo con la contraseña de FTP. Identifica a los usuarios que no hayas creado, tanto en el entorno de Joomla como en la base de datos y en el servidor FTP, y elimínalos.
6. Actualiza tu instalación de Joomla a la última versión, junto con todos los complementos y plantillas
Con el Administrador de extensiones, compara el número de versión de cada extensión con la información del sitio del desarrollador. Si hay extensiones que no usas, elimínalas.
También verifica el software del servidor para asegurarte de que también esté actualizado. Siempre que sea posible, activa la función de actualización automática de todo el software que se ejecuta en tu servidor.
7. Restaura tu reputación
Si ya se te acabó el café, deberías considerar hacer otra jarra. Este paso es menos técnico, pero llevará más tiempo completarlo.
Si tu sitio fue hackeado mucho tiempo antes de limpiarlo, es probable que haya sido incluido en una lista negra. Eso significa que no aparecerá en los resultados de búsqueda para proteger a los usuarios de posibles infecciones de malware y, por lo tanto, no recibirá más visitantes y perderá la confianza. Incluso si limpió su sitio a fondo, continuará en la lista negra durante unos días.
Para acelerar las cosas, una vez que su sitio esté limpio y funcione de manera saludable, use la Consola de búsqueda de Google para solicitar una revisión. Google escaneará su sitio web y, si no encuentra ninguna infección de malware, dejará de mostrar un mensaje de advertencia junto a los metadatos de su sitio. Pero tendrá que esperar un par de días hasta que eso suceda. Con Search Console también puede acceder a la Herramienta de eliminación de URL para solicitar la eliminación del índice de Google de cualquier URL agregada por manos maliciosas.
Una vez que haya limpiado su sitio, tome las medidas necesarias para evitar futuros ataques, como escanear regularmente su sitio en busca de infecciones de malware.
Escritor y periodista especializado en tecnología, desde el año 1992.
7 comentarios en «Guía para reparar sitios Joomla hackeados»