¡Ayuda! Inhabilitaron mi sitio hecho en Wordpress por envío de Spam y no sé por dónde empezar.

Al inhabilitar tu sitio te envíamos un correo informando los motivos por los que suspendimos tu cuenta; al margen de que necesitamos que lleves a cabo las correcciones propias de cualquier intrusión (como podés ver en nuestro tutorial: http://www.elserver.com/ayuda/como-puedo-asegurar-mi-cuenta-luego-de-una-intrusion-inyeccion-de-archivos/), si utilizás Wordpress lo ideal es que agregues una serie de mejoras de seguridad para evitar que se vuelva a presentar este error.

Pero…¡¡¿cómo puede ser?!!

Wordpress es una plataforma de uso masivo, y como tal puede ser el blanco de usuarios malintencionados que exploten sus falencias de seguridad. Al igual que los bancos en la vida real, los Wordpress están más expuestos que otros sitios: nadie roba una tienda de habichuelas :)

¿No pueden dejar mi sitio habilitado y darme aviso en lugar de impedir el acceso?

No. Debido a que la nuestra es una plataforma compartida, tus acciones repercuten sobre los demás usuarios, y sobre vos mismo. Si tu sitio envía miles de correos spam, eso hace bajar la reputación de nuestro correo saliente, generando que otros usuarios (y vos también, claro) obtengan rebotes al intentar enviar correos.

Si bien tenemos la mejor voluntad para asistirte, no podemos dejar habilitado tu sitio bajo ningún concepto a menos que lo estés viendo en el mismo instante. De no bajar el envío de spam, podemos vernos obligados a inabilitarlo nuevamente.

Okey: no tengo webmaster, no tengo grandes conocimientos técnicos y necesito que mi sitio esté online nuevamente y no se vuelva a caer. ¿Cómo puedo hacer?

¡Seguir este simple tutorial! Si bien todo el sector de Soporte está a tu disposición para asistirte, mantener tu sitio siempre será tu responsabilidad exclusiva. A continuación te dejamos una guía para mejorar muchísimo la seguridad de tu dominio: si tenés alguna duda o inconveniente, estamos para asistirte.


 

Primer paso: crear un correo para tu sitio.

Este paso es opcional. Si querés, podés enviar directamente desde una cuenta Hotmail o Gmail. Pero necesitamos configurar una cuenta a fin de que para enviar un correo, tu sitio se conecte al servidor SMTP (correo saliente) en lugar de usar la cola interna del servidor.

Si optás por crear una cuenta @tudominio para el formulario, estos son los pasos:

Por favor, ¡no olvides que el usuario se escribe sin @tudominio!

Paso 2: activar un plugin SMTP para nuestro Wordpress.

Por default, Wordpress usa una función mail() para enviar correos que es extremadamente insegura, especialmente si no está acompañada de un captcha; una verdadera mina de oro para cualquier atacante.

En los próximos pasos, vamos a cambiar esta vulnerabilidad por un formulario que se conecta directamente al servidor SMTP, impidiendo la ejecución de código malicioso. Para eso, vamos a instalar un plugin:

Una vez en la barra de búsqueda, escribiremos “Postman SMTP”, nuestro plugin recomendado. Al aparecernos su logo, hacemos click en instalar ahora.

Al completar la instación, haremos click en “activar plugin”, para luego ir a su configuración (Settings):

Ahora vamos a configurar la conexión a nuestro servidor SMTP a fin de que puedan salir nuestros correos. Para eso, vamos a hacer click en “Start Wizard” (iniciar asistente) en la configuración del plugin. Primero, vamos a configurar los detalles de quien envía: Sender Email Adress (la dirección de quien envía) y Sender name (nombre del remitente).

En el próximo paso, te pediría el servidor de correo saliente. Basta con ingresar smtp.midominio.com, reemplazando “midominio” por tu dominio real, y agregando el .com.ar o cualquier otro TLD que corresponda.

Finalmente se nos hará una prueba de conexión con los parámetros que indiquemos: allí verás el nombre de tu servidor (en este caso representado por unos números, ya que es una prueba) y un :numero que indica el puerto. Sugerimos usar 465, que otorga cifrado SSL y es el más seguro. También podés optar por el 25, que es compatible.

Por último, ingresamos los datos de acceso al servidor saliente (usuario y clave)… ¡y listo!

Para aquellos que quieran configurar en forma más completa su formulario, pueden ir a Ajustes – Postman SMTP y allí pueden configurar el resto de los parámetros.

Paso 3: agregar un captcha

Hemos resuelto uno de los problemas más grandes en el paso anterior, pero todavía es posible que un bot –programa automatizado - envíe spam completando una y otra vez el formulario. Para evitar esto, así como también los ataques de fuerza bruta al login de nuestro WP, vamos a instalar un captcha: para eso, escribimos “captcha” en Plugins y seleccionamos el que aparece arriba a la izquierda para instalarlo. Luego hay que ir a Plugins para activarlo, como antes :D

Vamos a BWS Plugins – Captcha y configuramos los siguientes parámetros:

Título para el captcha: por ejemplo, “Complete este captcha”, “Pruebe que es humano”, etc.

Mensajes de error: aquí configuramos que decirle a la persona que está completando el captcha cuando intenta enviar un campo vacío (empty) o incorrecto.

Completado esto, nuestro captcha ya está implementado.

Último paso: instalación y configuración de Wordfence

Todas las mejoras de seguridad son bienvenidas para evitar que tu sitio vuelva a inhabilitarse, y esta es una de ellas. Wordfence mejora la seguridad de tu sitio como veremos a configuración, y de yapa te da una mejora en la velocidad de carga de tu página gracias a un sistema que “cachea” tu sitio.

Lo instalamos como los demás, buscando en Plugins.

Una vez instalado, no bien vayas a plugins te ofrecerá empezar el tour por las funciones de este avanzado plugin. ¡Sugerimos que lo tomes!

De todos modos, te indicaremos cómo configurar este plugin a fin de obtener excelentes resultados. Primero vamos a configurar la caché del sitio:

Basta con tildar “Enable Wordfence Falcon engine” y hacer click en “guardar cambios al tipo de cacheado activado arriba”. Si alguna parte de tu sitio es extremadamente dinámica (cambia seguido de contenido), sugerimos que lo indiques en la URL que remarcamos un poco más abajo.

Por último, si bien Wordfence ofrece muchísimas opciones que te invitamos a conocer (entre ellas, bloqueo de IPs, control de login desde celulares, logs de tráfico en vivo, etc.), la más recomendable y simple es ejecutar bloqueos por países para mejorar la seguridad de tu sitio. Si bien puede parecer una medida un tanto extrema, es difícil imaginar por qué un hacker eslavo podría estar interesado en visitar tu sitio… Y las mejoras en seguridad al llevar a cabo este filtrado son evidentes, especialmente teniendo en cuenta que tenés control total sobre los países que pueden o no acceder a tu página.

En este ejemplo, sólo habilitamos a los principales países de América haciendo click en “Select All” (seleccionar todos) y luego destildando los países habilitados.

Si tenés la suerte de irte de viaje… ¡no olvides asegurarte de que el país al cual vas esté habilitado!

Gracias a las mejoras que acabamos de implementar, y junto con las del tutorial de Intrusión que siempre sugerimos, tu sitio será mucho más seguro. Nunca olvides mantener al día tu sitio: mantené actualizado tu Wordpress a la última versión, a fin de evitar que un error de una versión anterior altere tu seguridad. Si tenés alguna otra duda, no dejes de informarnos.