Así me imagino a mi némesis.

Ladies and gentlemen, un día me di cuenta de que, si buscaba “cómics” en el Google salía Listocomics.com con una descripción que no era la tendría que ser. Decía “Generic viagra Online at EXTRA LOW PRICES: Viagra without prescription! Worldwide shiping! Lowest prices and satisfaction guaranteed!” en lugar del tradicional “El Listo: Cómics tontorrones para lectores inteligentes”.

Como no recordaba yo haber entrado en el negocio de las píldoras de sildenafilo, abrí la web tratando de averiguar de dónde provenía ese texto y lo que encontré fue un footer a pie de página con unos enlaces de texto en letras pequeñísimas que decían, cito textualmente, “Free FTP-manager FileZilla FileZilla for operating system Windows Download FileZilla manager FileZilla for Windows and Mac program FileZilla Installation of FileZilla FileZilla for Windows FTP-client FileZilla”. Esas insistentes menciones a lo que parecía un hijo bastardo de Filemón y Godzilla no deberían haber estado ahí. Más que nada porque yo no las había puesto y soy el único administrador de mi blog. Me hice caquita.

Por suerte (y por consejo de Philip Frumph Hofer) me había puesto el plugin Wordfence, lo abrí encontré indicios de que alguien había entrado en mi panel de control desde el Lejano Oriente y me había estado manipulando la web. “Changsha, China logged in successfully as “admin” IP: 58.20.223.230″. Bloqueé el acceso a mi web desde esa IP, miré qué otras opciones de seguridad me daba el plugin, las puse todas a tope y, para más seguridad, usé un truco que uso siempre que me enfrento a un problema desconocido que no se parece a ningún problema al que me haya enfrentado antes. El truco consiste en lloriquear por internet.

Conté mis penas por las redes sociales y no tardaron en llegarme ejemplos de bondad humana y consejos desinteresados y el inevitable cachondeíto. Hubo quién me recomendó que comprase el viagra, porque la oferta parecía buena y la satisfacción estaba garantizada, pero cracks como Sergio o Raul me dieron también algunos consejos orientados a neutralizar el ataque del hacker chino. El que más me gustó porque parecía fácil y rápido de implementar fue el de llamar al servicio de hosting. Se ve que los servidores hacen copias regularmente del contenido de las webs y a veces es posible pedirles que te la restauren a tal cómo estaba hace 24 horas o 12 horas. Pensé que eso sería ideal y corrí a llamar al servicio técnico de mi servidor.

No fue tan desesperanzador como tratar de hablar con el servicio técnico de una compañía telefónica pero sí que tuve que llamar a un 902, hablar con robot para indicarle que quería hablar con el servicio técnico, luego con un humano al que le conté mi problema y le pregunté si podía restaurar mi web a un estado anterior, y luego con otro humano que ya debía ser el experto en ataques informáticos porque me hizo volver a explicarle mi problema y mi pregunta, y me dijo que lo más práctico era que mandase un email y se lo explicase por escrito. Así lo hice, con la alegre creencia que eso que ponía en la web de mi hosting de que su servicio de atención al cliente era de “7 días, 24 horas” hacía referencia al tiempo durante el cual el servicio técnico estaba a mi disposición resolviendo problemas y respondiendo preguntas casi al instante. Pero quizá pequé de optimista y 7 días y 24 horas era en realidad el tiempo total que tardaba el servicio técnico en responder cada duda del cliente.

Mientras tanto, inquieto, investigué un poco y encontré varias webs que también tenían el footer maligno y que quizá ni se habían enterado (e.g: Scala Teatern, Hoax Studios…). Traté de contactar con sus respectivos administradores para avisarles del ataque, pero no me hicieron ni caso. Jugué más con el Wordfence y descubrí que a parte de algún archivo propio del WordPress, el hacker había manipulado también los archivos de algunos plugins y volví a poner las versiones originales de todo lo que encontré.

Además, caí en que de vez en cuando recibía mails de notificaciones de nuevos comentarios en los que si clicaba en lo de “ver nuevos comentarios” no iba a http://listocomics.com/wp-admin si no a http://199.237.194.254/blog/wp-login.php?redirect_to=http%3A%2F%2Flistocomics.com%2Fwp-admin%2F&reauth=1579, que en apariencia era la entrada al panel de control de mi web pero en la práctica debía ser una trampa maligna para merluzos, lo que los informáticos han dado en llamar un phishing. Nunca habría pensado que iba a caer yo en un engaño tan burdo, creía que esto del phishing era sólo para pardillos. Y aquí me tenéis. Qué hijos de puta, a parte de hurgar en mi web hurgaron en mi autoestima.

Informé a los del hosting que había descubierto más archivos manipulados y que había hecho lo posible para arreglarlos, pero que si fuese posible restaurar mi web a un estado pre-ataque todavía estaba interesado en ello y me respondieron enseguida con un sucinto “Estimado cliente: NO haga cambios mientras nosotros analizamos su alojamiento, ya que está ocultando cualquier rastro que el hacker haya podido dejar para poder indicar por donde le han accedido y como revisarlo. Gracias.”

Esperé pues, y pasaron los días, y cuando finalmente respondieron me dijeron que no podían restaurar mi web porque disponían de backups de mi web pero eran posteriores al ataque, pero me informaron de otras cuantas IPs de gente que había accedido también al panel de control de mi sitio, y algunas provenían de lugares tan exóticos como Rumanía o Estonia. El código de mi web parece mismamente una fiesta Erasmus.

Lo que hice fue cambiarme el password a uno más difícil con letras y números y ponerme otro plugin de seguridad, el Better WP Security y darle clic a todas las opciones disponibles… y de momento el problema parece solucionado, pero si notáis que la web hace cosas raras me avisáis, por favor.

Share Button