Estamos recibiendo muchos emails de clientes comentándonos que 1and1 les había avisado de que su web ha sido hackeada y de que un archivo en concreto había sido modificado. ¿Ha sido realmente hackeada? ¿Hay algún problema concreto? ¿Cómo debemos proceder? Te ayudamos a situarte en este punto.

¿Cuál es el problema?

1and1 te envía un email en el que indica que su antivirus ha detetado un cambio en uno de los archivos. La ruta es la siguiente:

~wp-content/wflogs/attack-data.php

Además, en la notificación 1&1 indica que, para proteger nuestra página, su escáner ha restringido los permisos del mismo. Además nos recuerda algunas buenas prácticas (por ejemplo mantener actualizada nuestra web de wordpress o de Joomla) o tener un buen antivirus.

¿A qué personas les ha ocurrido este problema?

Nuestros clientes, algunos de ellos con el mantenimiento en MisterWeb y otros no, tienen distintas situaciones. En general le ha pasado a todo el mundo que tiene el hosting en 1and1 y que tienen una web WordPress. Además, este problema ha aparecido incluso a aquellos que utilizan Wordfence y que tienen el sitio actualizado a la última versión (lo cual, en principio y salvo algunas excepciones, es suficiente para estar meridianamente protegido).

¿Qué ha sucedido?

Para empezar, que 1and1 ha restringido el acceso a ese archivo, lo que significa que si no tienes los derechos suficientes no podrás acceder a él, eliminarlo, etc. Ni siquiera será accesible para su lectura vía web. Esto puede prevenir en una situación de peligro real, pero si se trata de un archivo necesario para el funcionamiento de la web puede significar un problema ya que esta no irá correctamente.

¿Es una falsa alarma?

El aviso ha llegado masivamente en todo el mundo, como podemos comprobar en los foros de soporte de wordpress. Está en inglés, pero ahí podemos ver que hay muchas personas con el problema. En general se repite el patrón, y todas ellas tienen el plugin de wordfence.

El archivo attack-data.php existe en todas las instalaciones de wordpress, por lo que en principio ese no es en sí mismo un archivo malicioso.

Se entiende por aquellos que lo están estudiando que es una falsa alarma por parte de 1and1, aunque los permisos a ese archivo ya han sido modificados. Esto significa que, en un futuro, puede que sea necesario que modifiquemos esa restricción si queremos mantener la página correctamente actualizada y accesible.

¿Cómo puedo estar protegido ante un posible hackeo de mi web?

Lo más importante es que se cumplan los principios básicos de prevención:

  • Tener el núcleo de wordpress siempre actualizado a la última versión.
  • No tener plugins vulnerables. En general esto no siempre es posible, pero la solución suele ser mantener solo los estrictamente necesarios para el funcionamiento de nuestra web, utilizar los que se actualicen con más frecuencia y revisar que siempre están actualizados.
  • Utilizar software de protección como wordfence o similar.
  • Mantener un backup siempre activo y con versiones, para que podamos restaurar siempre la página a una versión anterior que no estuviera hackeada.

Consecuencias de que nos hackeen la web

Las consecuencias pueden ser muy variables, pero se centran en que podemos perder posicionamiento, nuestro dominio puede perder peso y ser tachado como ‘repartidor’ de malware por proveedores de búsqueda como Google o por exploradores como firefox, etc. Si tienes cualquier duda al respecto puedes ponerte en contacto con nosotros.

Actualización (20/03/2017 a las 16:50):

Efectivamente 1and1 acaba de enviar un email a todos los usuarios avisando de que es un error y de que, por lo menos en relación a este aviso, las webs no están hackeadas.