Des de fa pocs anys, els administradors dels CMS més coneguts (Wordpress, Drupal y Joomla) sabem que els atacs a les nostres webs són el pa de cada dia. I la majoria hem après a base d'ensurts. 

Avui mateix he mirat el log del firewall (registre d'atacs) i he vist que per a un sol client nostre hem rebut 10.000 atacs (intents d'intrusió; repeteixo: intents) en els darrers 4 mesos.

Veurem a continuació que una de les millors proteccions contra això està a les nostres mans i és tan fàcil com tenir una política de passwords correcta. Bàsicament escollir un password adequat per cada situació i MAI utilitzar paraules que existeixin en un diccionari, així com el nom del nostre fill i el seu any de naixement. 

Sembla obvi però, reflexioneu... ho feu bé?

Des de fa pocs anys, els administradors dels CMS més coneguts (Wordpress, Drupal y Joomla) sabem que els atacs a les nostres webs són el pa de cada dia. I la majoria hem après a base d'ensurts. 

Avui mateix he mirat el log del firewall (registre d'atacs) i he vist que per a un sol client nostre hem rebut 10.000 atacs (intents d'intrusió; repeteixo: intents) en els darrers 4 mesos.

Veurem a continuació que una de les millors proteccions contra això està a les nostres mans i és tan fàcil com tenir una política de passwords correcta. Bàsicament escollir un password adequat per cada situació i MAI utilitzar paraules que existeixin en un diccionari, així com el nom del nostre fill i el seu any de naixement. 

Sembla obvi però, reflexioneu... ¿ho feu bé?

"Però, per què ataquen la meva web? Quin interès tenen en mi?"

No té res de misteriós, no fa falta ser l'objectiu d'un clan mafiós internacional. Un Wordpress, o qualsevol altre CMS, és un software estàndard i conegut per tots del qual pots suposar que el 99% tindràn un usuari "admin" i el login es farà a través de la carpeta /administrator (o la que correspongui).

Sota aquesta premisa, als hackers els és fàcil crear un programa informàtic que faci el següent:

• Vés a google i busca totes les webs creades a Wordpress i guarda-ho en una llista. 
• Per cada element de la llista fes el següent:

1.- Vés a la web "/admin"

2.- Intenta entrar amb l'usuari "admin" i un dels 1000 milions de passwords d'aquest diccionari

3.- Repeix l'operació

Ho veieu, veritat? El éxit no ve d'encertar en un lloc o un altre. Ve de lo extremadament fàcil que és muntar aquest programa i de posar a un o varis ordinadors a treballar sene pausa... evidentment només que 1 de cada 1.000.000 de intents tingui èxit ja tenim el control d'un lloc. Repeteixo : MOLT FÀCIL. 

Primera norma: escollir un password no evident

No hem de posar cap password que sigui deduïble, però sobretot que no estigui en un diccionari. Pots buscar al google "com crear un password segur" i seguir qualsevol de les recomenacions. Sembla un concell ridícul però... segur que ho es? Pensa bé en els teus passwords. 

Segona norma: no repetir el password

Si teniu un password per a TOTS els llocs, o inclús compartiu el password a casa o a l'oficina, al final us l'enxamparàn. En algun lloc o en algun altre. Llavors, aquest passowrd pasa a estar en un diccionari per a ser provat en tots qualsevol lloc. I, si tens mala sort, serà tractat "manualment"; és a dir, algú es centrarà en tu i investigarà si tens Facebook, Twitter, Gmail, etc... i intentarà posar aquesta password.

I si no puc repetir password, com ho faig? 

Tenint varies passwords. El menys complicat és tenir, com a mínim, 3 passwords:

1. Per al més comú i sense res compromès: fòrums, el supermercat, l'escola dels nens, els butlletins, ...  Posant un "sOythemilk" és suficient. 
2. Per al què seria una mica compromès: Facebook, Twitter, ... . Altres. Podem fer una variació (això sí que s'hi val) com "359sOythemilk"
3. Per al MÉS compromès: factures i l'email: UNA password per a cada lloc (gmail, hotmail, paypal...). I sí, podem fer altres variacions "PP359sOythemilk", "GM359sOythemilk", ... 

I, ¿per què agrupo els emails i les factures? No oblidem que avui en dia amb un GMAIL (o hotmail) podem PAGAR. ¿Com creus que pagues el Whatsapp a la Store del teu mòvil?

Vols la màxima seguretat?

Llavors anem a lo sèrio, prepara la cartera y escull algun gestor de passwords decent: 1Password, KeeperSecurity, KeePass, PasswordBox, etc... Allà guardes els teus llocs (TOTS) i els poses en un password a cada un, inclús te'l pot generar ell per a que sigui inexpungable. S'accedeix via web, així que pots aconseguir un password qualsevol desde qualsevol lloc només amb UN password (el del gestor de Passwords). 

Ara bé... AQUELL password (que permet accedir a TOTS els teus passwords) ha de ser MOLT segur. Del tipus "jAto170vbnmU". Per a mi aquest password té un sentit. Sé que sembla impossible, però el té. 

I una altra cosa... NO el utilizis en xarxes públiques (wifis obertes i aquestes coses). He tingut la certesa de robament de claus de qualsevol tipus a la red del propi Parlament Europeu. Així que CURA. 

Finalment, activa a totes parts i escull un gestor de passwords que et permeti la DOBLE AUTENTIFICACIÓ. Això permet que tot i que et robin la clau, no puguin accedir (teòricament).