Saltar al contenido

Cómo desinfectar un WordPress hackeado

En esta entrada vamos a hablar de cómo desinfectar un WordPress hackeado, espero que no te haya ocurrido pero si es así te voy a enseñar como solucionarlo.

Empezamos, como ya sabéis WordPress es el gestor de contenido más utilizado mundialmente , con millones de webs hechas en WordPress y cientos de miles de themes y plugins, os podéis imaginar que en cuanto se detectan vulnerabilidades es relativamente fácil encontrar sitios webs que puedan ser vulnerables.

Los hackeos son uno de los mayores problema que nos podemos enfrentar si no tomamos las precauciones debidas desde el principio en nuestros sitios web.

hacked wp


Cuando esto ocurre, te cambia la cara, llegas a tu web y de repente ¡ZAS! , ves como todo tu trabajo se puede haber tirado por la borda...  lo primero que piensas es cuando fue la última vez que has hecho un backup, luego piensas ¿como han podido entrar? ¿por qué?  ¿quien o  quienes ? ¿y para qué? ....

Pues al fin ha llegado ese día que habías oído hablar,  has leído por la red que aunque no tiene porque pasar, puede pasar. Te has levantado, has ido a ver que todo está correcto en tu página web o tu tienda online y en vez de ver tu web ves es un mensaje de que tu web ha sido hackeada (en el mejor de los casos).

O incluso peor,  ni te has dado cuenta y lleva días o meses hackeada o con miles de páginas de contenido de farmacos de venta ilegal o cosas asi, y si nadie se da cuenta, o no lo has detectado, así seguirá por mucho tiempo.

Creéme que existen hackeos de muchos tipos, desde simples pantallazos de web hackeada, a creacción de enlaces, envío de miles de emails spam, o mostrar anuncios en tu web de otras redes de anunciantes, generar toneladas de contenido basura bajo tu dominio, etc, etc.

Cuando esto ocurre podemos tomar soluciones sencillas que nos pueden ayudar a recuperar la web, y que además nos permitirán ganar seguridad para evitar nuevos problemas. A continuación te voy  contar como puedes hacer ambas cosas. No obstante no siempre se puede recuperar una web, incluso con ayuda de profesionales a veces no se puede recuperar una web. Pero vamos paso por paso, si quieres ayuda profesional en este tema te recomiendo que hables con un buen desarrollador web experto en WordPress.

Vamos a describir en seis pasos que debes de hacer para recuperar tu web y tener una web robusta con la que puedas evitar la mayoría (sino todos) los problemas de hackeos.

Paso 1



Este es el punto número uno que debes de tener en cuenta, se que suena muy simple y frecuentemente encontrarás esta recomendación,  uno de los puntos más esenciales y que a día de hoy sigue sin tener una buena respuesta por parte del usuario, la mayoría de los ataques se realizan por fuerza bruta, es por esta causa que resulta más que evidente que hay que tener buenas contraseñas. Se que te resultará absurdo pero todavía hay millones de usuarios que ponen contraseñas tipo 1234, o 4444 , cosas similares.

La mayoría de las webs reciben muchas peticiones de robots intentando ver si funcionan x contraseñas en tu web.

Debemos estar seguros de que esto no puede ocurrir, esto es el punto numero uno de la seguridad informática, tener una contraseña que no sea fácil. 

De nada nos vale tener la página web en WordPress bonita, si después tenemos libre el acceso de login y una clave de acceso que la conozca todo el mundo. 

Sé un poco creativo y utiliza claves que solo puedas conocer tu , combinando números y letras o/y algún caracter especial estarás 100% seguro de que no romperán tu clave por fuerza bruta

wphacked
Paso 2

Utilizar software que no sea nulled o pirata


No emplees plantillas ni complementos nulled. Comienzas a montar tu página web y ves un tema que te agrada y es de pago y decides conseguirlo por la red, bajarlo de sitios pirata sin ningún coste.

Es posible que te ahorres unos euros más, pero estás montando una web sobre un software que seguramente tenga bichitos y puertas de acceso a terceros, no pienses que los suben software nulled lo hacen sin interés, nadie compra miles de themes para subirlos sin interés y poder ganarse un problemón por problemas de copyright,  es super sencillo montar un script dentro del theme que cambie tus anuncios por los suyos, por darte una idea que ya es de sobra conocido por todo el mundo. Además no es nada raro que vaya a detectar algún anti-virus, ya que no es un virus, sino una funcionalidad simple.


Puedes utilizar el repositorio de WordPress que tiene toneladas de themes y plugins gratis, y si necesitas algo más específico te recomiendo que vayas a sitios de compra conocidos como themeforest o codecayonn.


Mantén al día tu instalación de WordPress. Actualiza tu web conforme vayan saliendo las nuevas versiones de la plantilla, del propio WP y lo más esencial, de los plugins o complementos.

Paso 3

Comprueba que está hackeada


En muchos casos es bastante fácil saber que tu página web está hackeada , en otros no es tan fácil, hay scripts que pasan bastante desapercibidos, o incluso hay scripts que solo se muestran desde determinados paises o si vienes de otras webs como por ejemplo Facebook, por lo que muchas veces es complicado verlo por ti mismo. Pero hay cosas que te pueden ayudar a entender que ocurre en tu web. 

Por ejemplo si tu wordpress contiene algún género de malware o bien algún fichero ha sido cambiado. Lo intuyes pues al cargar tu url, Google muestra un aviso del tipo:

aviso web hackeada

web hacked


O bien cuando desde tu hosting dónde alojas tu página web te han sobre aviso de que estás consumiendo muchos recursos. O bien que te han desactivado provisionalmente el servicio por el hecho de que haces envío masivo de e-mails. O bien pues has descubierto cientos y cientos de urls con fármacos ilegales en tu página web. 

Como puedes ver son múltiples las posibilidades, de ahí que vamos a usar alguna herramienta para asegurarnos de que tenemos un problema.

Puedes usar un antivirus a nivel de servidor, para esto contacta con tu hosting a ver si disponen de uno instalado y que examinen tu página web, si tienes cpanel suele venir alguno, y además cada hosting suele comprobar que no existen virus ya que en muchos casos pueden dar problemas al resto de las webs.

La otra alternativa de antivirus es on-line. Tambien te aconsejo que pruebes el plugin de seguridad wordfence , o bien mediante la herramienta de análisis de Sucuri.

sucuri


Otra herramienta que te invito a y que se emplea bastante, es Virus Total. Con ella puedes no solo examinar una url, asimismo subir ficheros sueltos o bien comprimidos, por poner un ejemplo todas y cada una de las carpetitas que forman tu página web.

A nivel local, otra opción que tenemos, y que personalmente usé una vez y me dio resultado para localizar código malicioso, es descargarnos todos y cada uno de los ficheros de la página web y pasarlo por un antivirus, cualquier antivirus normal te valdría.

Este tipo de herramientas o complemento van a hacer un escáner completo de todos tus ficheros y te afirmará si alguno de ellos es sospechoso de estar infectado.

Paso 4

Me han hackeado, ¿y ahora qué?


​Vale, llegados a este punto vamos a limpiar toda la web, por un lado los ficheros de wp y por otro lado todos los ficheros externos que encontremos en la web. 

hacker

Ver que ficheros han modificado

Lo primero que debemos de hacer es ver que ficheros han cambiado , puedes utlilizar wordfence para verificar que todos tus ficheros son correctos y que no hay ningún cambio en ellos. 

wordfence

Te mostrará los que han cambiado y o bien los cambias por los originales o bien ves el problema que tienen y decides si eso puede ser el problema de tu hackeo.

También podrías ir mirando en el código que está ocurriendo y que problemas puedes tener, pero conociendo php y conociendo la estructura de WordPress tendrás que emplear muchas horas para poder estar seguro de lo que está pasando, por eso no te recomendaría esta opción.

Antes de cambiar nada, antes de cambiar cualquier fichero una cosa que siempre debemos de hacer es una backup, ya sé que la web está infectada pero aunque esté infectada, siempre y en toda circunstancia es esencial hacer copias de seguridad antes de cualquier cambio en el código.

Una vez que ya tenemos la copia de seguridad, comprobamos que ficheros han cambiado y/o cuales pueden estar infectados, lo más normal es que todos los que hayan cambiado y que no sepas porque han cambiado los vuelvas a cambiar por los ficheros que deberían estar, por la versión de tu wp, y por la versión de tu theme, o tus plugins. Cómo te he mencionado anteriormente lo puedes hacer de manera automática con Wordfence (en su versión gratuita), pero existen otros plugin que te pueden realizar el mismo trabajo.

Si lo prefieres hacer sin plugins es también sencillo, puedes bajar la versión de wp que utilices, y el theme que utilices y por último los plugins que utilices, y ahora te tocará subir todos los ficheros salvo el fichero de configuración  wp-config.php. Reemplazando unos por otros y asegurándote de que así subirás una versión limpia. 

Cambiar el fichero de configuración

Backdoor

Otra cosa importante que debemos hacer es cambiar el fichero de configuración de tu WordPress por otro limpio en los que solamente tu conozcas tus claves. Vamos a ver de qué manera podemos arreglar un WP hackeado.

Si después de que tu sitio haya sido hackeado no cambias esto es como haberles dejado las llaves de tu web a tus hackeadores, si ellos siguen teniendo las llaves pueden entrar y salir siempre que quieran, es por eso que este fichero es esencial que lo cambies.

Edita la linea donde pone:

/** Tu contraseña de MySQL */ define('DB_PASSWORD', 'tu-password');


Debes de cambiar la contraseña por otra contraseña nueva, ¡OJO! está contraseña debes cambiarla también en tu base de datos si no NO te funcionará tu WordPress, este paso es importante que lo entiendas antes de hacerlo.  (si tienes dudas pon un mensaje en la web y te responderé o bien envíale un email al desarrollador que te he puesto anteriormente).

Tienes que ir a tu gestor de bases de datos, busca la base de datos que quieres cambiar, mira el usuario que tiene permisos para esta base de datos y cambia el password de ese usuario, por el mismo password que has puesto en tu wp-config.php

seguridad-ssh-pressroom-hosting
Paso 5

Cambiar de hosting

A lo mejor tras todo este peripecia de desinfección de tu WordPress has llegado a pensar que el problema no era debido a tu WordPress , sino a tu alojamiento web que ha permitido acceder a tu página web.

Es un tema un poco delicado, pero te puedo asegurar que hay hosting que se toman muy en serio tu seguridad web y otros no tanto. De hecho hay otros hosting que incluso saben que tienen vulnerabilidades y no toman medidas preventivas para proteger a los usuarios. 

Cómo hay miles de hosting es dificil opinar sobre todos los hosting, pero te recomiendo dos de los hosting con los que trabajo habitualmente que se toman en serio la seguridad

Paso 6

Enviarle a Google una reconsideración


Si tu página web fue hackeada y cuando intentas acceder desde los resultados de búsqueda de Google te muestra una fea alerta de que el sitio puede contener malware debemos de avisar a Google de que el sitio ya está limpio. Esto se puede ver si accedes a Search Console, desde el menú problemas de Seguridad.

Una vez has limpiado todo indicio de malware vamos a tener que solicitar a Google que reconsidere la página web usando la herramienta "Pedir una Revisión" que vas a ver en exactamente el mismo menú precedente al lado del aviso de que tu página web contiene software malicioso.

Vas a deber describir un pequeño informe de las medidas que has tomado y de qué manera has puesto solución al hackeo y mandarlo. Tendrás que esperar unos días a que examinen tu página web y vas a ser informado vía e-mail del resultado.

Si todo se ha hecho bien no debería haber inconveniente y Google quitará ese feo aviso de advertencia.​



Opinión y casos de infección


Como habrás podido ver, recobrar una web en WordPress que ha sido vulnerada e infectada con algún código malicioso no es excesivamente complicado.

Deberás tener paciencia e  ir efectuando de forma cuidadosa todos y cada uno de los pasos explicados, hasta llegar a tener de nuevo tu página web limpia y operativa.

No obstante no siempre es así de fácil, por desgracia, si la infección ha llegado un paso más lejos y tienes también la base de datos infectada, la recuperación se vuelve mucho más complicada. En un caso así la mejor idea es usar un backup y restaurar la web a una versión limpia en la que la web no estuviese infectada, que puede ser días atras, o meses , o peor aun años atras.


A veces en algunas ocasiones con estos pasos es posible que no se llegue a una limpieza completa y habría y mi recomendación es que te pongas en manos de profesionales y que puedan ver el alcance que ha tenido en tu web.

Por suerte, por norma general, los hackeos frecuentes en WordPress acostumbran a solventarse con estas pautas de limpieza


Si necesitas ayuda y estás pasando por este problemilla no dudes en dejarnos un comentarío y veremos como podemos ayudarte!