Desde hace unos pocos años los administradores de los CMS más conocidos (WordPress, Drupal y Joomla) sabemos que los ataques a nuestras webs son el pan de cada día. Y la mayoría hemos aprendido a base de sustos.

Hoy mismo he mirado el log del firewall (registro de ataques) y he visto que para uno solo de nuestros clientes hemos recibido 10.000 ataques (intentos de intrusión; repito: intentos) en los últimos 4 meses .

Veremos a continuación que una de las mejores protecciones contra esto está en nuestras manos y es tan fácil como tener una política de passwords correcta. Básicamente elegir un password adecuado para cada situación y NUNCA palabras que existan en un diccionario tales como el nombre de nuestro hijo y su año de nacimiento.

Parece obvio pero, reflexionad… ¿lo hacéis bien?

Desde hace unos pocos años los administradores de los CMS más conocidos (WordPress, Drupal y Joomla) sabemos que los ataques a nuestras webs son el pan de cada día. Y la mayoría hemos aprendido a base de sustos.

Hoy mismo he mirado el log del firewall (registro de ataques) y he visto que para uno solo de nuestros clientes hemos recibido 10.000 ataques (intentos de intrusión; repito: intentos) en los últimos 4 meses .

Veremos a continuación que una de las mejores protecciones contra esto está en nuestras manos y es tan fácil como tener una política de passwords correcta. Básicamente elegir un password adecuado para cada situación y NUNCA palabras que existan en un diccionario tales como el nombre de nuestro hijo y su año de nacimiento.

Parece obvio pero, reflexionad… ¿lo hacéis bien?

«Pero ¿Por qué atacan mi web? ¿Qué interés tienen en mí?»

No tiene nada de misterioso, no hace falta ser el objetivo de un clan mafioso internacional. Un WordPress, o cualquier otro CMS, es un software estándard y conocido por todos del cual puedes suponer que el 99% tendrán un usuario «admin» y el login se hace a través de la carpeta /administrator (o la que corresponda).

Bajo esta premisa, a los hackers les es fácil crear un programa informático que haga lo siguiente

  • Ve a google y busca todas las webs hechas en WordPress y te las guardas en una lista
  • Por cada elemento de la lista haz lo siguiente:

1.- Ve a la web «/admin»

2.- Intenta entrar con el usuario «admin» y uno de los 1000 millones de passwords de este diccionario

3.- Repite la operación

Lo véis, ¿verdad? El éxito no viene de acertar en tal o cual sitio. Viene de lo extremadamente fácil que es montar ese programa y de poner a uno o varios ordenadores a trabajar sin pausa… evidentmente solo que 1 de cada 1.000.000 de intentos tenga éxito ya tenemos el control de un sitio. Repito : MUY FÁCIL

Primera norma: elegir un password no evidente

No hay que poner ningún password que sea deducible, pero sobre todo que no esté en un diccionario. Puedes buscar en google «como crear un password seguro» y seguir cualquiera de las recomendaciones. Parece un consejo ridículo pero… ¿seguro que lo es? Piensa bien en tus passwords. 

Segunda norma: no repetir password

Si tenéis un password para TODOS los sitios, incluso compartís el password todos en casa o la oficina, al final os lo cazarán. En uno u otro lado. Entonces ese password passa a estar en un diccionario para ser provado en todas partes. Y si tienes mala suerte será tratado «manualmente»; es decir, alguién se centrará en ti y investigará si tienes Facebook, Twitter, Gmail, etc… e intentará poner ese password.

y si no puedo repetir password ¿Cómo lo hago?

Teniendo varios passwords. Lo menos complicado es tener, por lo menos, 3 passwords:

  1. Para lo más común y sin nada comprometido: foros, el supermercado, cole de los niños, boletines, … Poniendo un «sOythemilk» basta.
  2. Para lo que sería un poco comprometido: Facebook, Twitter, … . Otro. Podemos hacer una variación (sí, eso vale) como «359sOythemilk»
  3. Para lo MUY comprometido: pagos y email: UN password para cada sitio (gmail, hotmail, paypal…). Y sí, podemos hacer variaciones «PP359sOythemilk», «GM359sOythemilk», … 

Y ¿porque os agrupo los emails y los pagos? no olvidemos que hoy en día con un GMAIL (o hotmail) podemos PAGAR. ¿como crees que pagas el Whatsapp en la Store de tu móbil?

¿Quieres la máxima seguridad?

Entonces vamos a lo serio, prepara la cartera y elige algún gestor de passwords decente: 1Password, KeeperSecurity, KeePass, PasswordBox, etc… Ahí guardas tus sitios (TODOS) y les pones un password a cada uno, incluso te lo puede generar él para que sea inexpugnable. Se accede vía web así que puedes conseguir un password cualquiera desde cualquier sitio solo con UN password (el del gestor de Passwords). 

Ahora bien… ESE password maestro (que permite acceder a TODOS tus passwords) debe ser MUY seguro. Del tipo «jAto170vbnmU». Para mi este password tiene un sentido. Ya se que parece imposible pero lo tiene.

Y otra cosa… NO lo piques en redes públicas (wifis abiertas y cosas de estas). He tenido certeza de robo de claves de todo tipo en la red Wifi del propio Parlamento Europeo. Así que CUIDADO. 

Finalmente, activa en todas partes y elije un gestor de passwords que permita la DOBLE AUTENTICACIÓN. Esto permite que aunque te roben la clave no puedan acceder (teoricamente).