Sign in Subscribe
Tecnología

Incognitosis (un poco) hackeado

Javier Pastor

3 min read

Ayer andaba desconectado cuando de repente me llega un primer mensaje (¡Pakillo!) en el que me avisaba de que algo raro pasaba con Incognitosis. La página le saltaba a una especie de falso sorteo al intentar comentar. Le dije que lo miraría en cuanto pudiera, y cuando por fin pude hacerlo era ya muy tarde y casi ni me había acordado del tema. En Twitter varios lectores me decían lo mismo: algo raro pasaba con Incognitosis, que no cargaba y en lugar de eso iba a una página peregrina y con muy mala pinta.

Mi mujer, que es desarrolladora frontend y tiene muy buen ojo para eso, me ayudó a detectar rápidamente el problema. Alguien había colado de alguna forma un plugin que hacía esa función de redirección para intentar, supongo que alguien cayese en alguna trampa después de visitar la página. Desde su móvil (luego me confirmó que también pasaba en escritorio) le salía esta movida:

Se detectó fácil porque simplemente miró qué carpetas/ficheros se habían modificado en las últimas horas en el servidor VPS en el que tengo Incognitosis, y a partir de ahí simplemente borré el plugin y luego estuve buscando alguna cosa rara más. A eso me ayudó el célebre plugin Wordfence, que la verdad es que parece hacer un buen trabajo en su versión estándar y que de hecho incluye hasta un sistema 2FA para que si alguien intenta logars en el blog con mi usuario tenga que hacerlo con doble autenticación (en este caso, vía un token que llega a Google Authenticator y que rota cada pocos segundos).

Esa era una primera forma de proteger un poco el servidor, al que no entiendo cómo accedieron porque tenía una contraseña fuerte y además tenía activado fail2ban, un sistema que permite que cuando alguien meta una contraseña errónea (yo incluido) el sistema bloquee esa IP para que no puedas reintentar el inicio de sesión hasta dentro de cierto número de horas (se puede configurar).

¿Qué hice? Cambiar la contraseña de acceso al VPS también, algo que ciertamente no había hecho en bastante tiempo precisamente pensando que con esa contraseña fuerte iba a ser difícil. Supongo que en realidad no entraron con la contraseña, sino quizás aprovechando alguna vulnerabilidad de algún plugin antiguo. Precisamente Wordfence hace un análisis del blog y detecta entre otras cosas si tienes plugins antiguos y que ya no están mantenidos desde hace tiempo, y efectivamente ahí tenía alguno que también tuve que desactivar para evitar historias.

Que yo sepa todo funciona bien, pero está claro que incluso bastiones de la ciberseguridad como Incognitosis (ja) pueden caer en manos de algún hacker con ganas de hacer la puñeta. Afortunadamente no me preocupa demasiado que entren, porque hago copias de seguridad a menudo y como mucho perdería algún que otro post para luego restaurarlo todo en otro lado. Sería un engorro durnate unas horas, claro, pero lo bueno de ser pequeñito es que estas cosas se pueden resolver más o menos fácilmente en unas horas y como no soy Amazon si Incognitosis se cae unas horas o un par de días tampoco se acaba el mundo.

Así pues, queridos lectores, gracias a los que me avisásteis y estuvisteis al tanto, que fuisteis unos cuantos a través de Twitter o del correo electrónico. Si tenéis un blog y queréis evitar sustos, igual queréis darle un tiento a Wordfence y a lo de la autenticación 2FA, además de lo de la revisión de plugins y demás ficheros. Y por supuesto, ya sabéis: backups, backups y más backups.

Sign up for more like this.

Enter your email
Subscribe