Saltar al contenido
Codif铆ca.me | Desarrollo web | Programaci贸n

C贸mo desinfectar un WordPress hackeado

5 noviembre, 2019

En esta entrada vamos a hablar de c贸mo desinfectar un WordPress hackeado, espero que no te haya ocurrido pero si es as铆 te voy a ense帽ar como solucionarlo.

Empezamos, como ya sab茅is WordPress es el gestor de contenido m谩s utilizado mundialmente , con millones de webs hechas en WordPress y cientos de miles de themes y plugins, os pod茅is imaginar que en cuanto se detectan vulnerabilidades es relativamente f谩cil encontrar sitios webs que puedan ser vulnerables.

Los hackeos son uno de los mayores problema que nos podemos enfrentar si no tomamos las precauciones debidas desde el principio en nuestros sitios web.

hacked wp


Cuando esto ocurre, te cambia la cara, llegas a tu web y de repente 隆ZAS! , ves como todo tu trabajo se puede haber tirado por la borda...  lo primero que piensas es cuando fue la 煤ltima vez que has hecho un backup, luego piensas 驴como han podido entrar? 驴por qu茅?  驴quien o  quienes ? 驴y para qu茅? ....

Pues al fin ha llegado ese d铆a que hab铆as o铆do hablar,  has le铆do por la red que aunque no tiene porque pasar, puede pasar. Te has levantado, has ido a ver que todo est谩 correcto en tu p谩gina web o tu tienda online y en vez de ver tu web ves es un mensaje de que tu web ha sido hackeada (en el mejor de los casos).

O incluso peor,  ni te has dado cuenta y lleva d铆as o meses hackeada o con miles de p谩ginas de contenido de farmacos de venta ilegal o cosas asi, y si nadie se da cuenta, o no lo has detectado, as铆 seguir谩 por mucho tiempo.

Cre茅me que existen hackeos de muchos tipos, desde simples pantallazos de web hackeada, a creacci贸n de enlaces, env铆o de miles de emails spam, o mostrar anuncios en tu web de otras redes de anunciantes, generar toneladas de contenido basura bajo tu dominio, etc, etc.

Cuando esto ocurre podemos tomar soluciones sencillas que nos pueden ayudar a recuperar la web, y que adem谩s nos permitir谩n ganar seguridad para evitar nuevos problemas. A continuaci贸n te voy  contar como puedes hacer ambas cosas. No obstante no siempre se puede recuperar una web, incluso con ayuda de profesionales a veces no se puede recuperar una web. Pero vamos paso por paso, si quieres ayuda profesional en este tema te recomiendo que hables con un buen desarrollador web experto en WordPress.

Vamos a describir en seis pasos que debes de hacer para recuperar tu web y tener una web robusta con la que puedas evitar la mayor铆a (sino todos) los problemas de hackeos.

Paso 1

Seguridad inform谩tica



Este es el punto n煤mero uno que debes de tener en cuenta, se que suena muy simple y frecuentemente encontrar谩s esta recomendaci贸n,  uno de los puntos m谩s esenciales y que a d铆a de hoy sigue sin tener una buena respuesta por parte del usuario, la mayor铆a de los ataques se realizan por fuerza bruta, es por esta causa que resulta m谩s que evidente que hay que tener buenas contrase帽as. Se que te resultar谩 absurdo pero todav铆a hay millones de usuarios que ponen contrase帽as tipo 1234, o 4444 , cosas similares.

La mayor铆a de las webs reciben muchas peticiones de robots intentando ver si funcionan x contrase帽as en tu web.

Debemos estar seguros de que esto no puede ocurrir, esto es el punto numero uno de la seguridad inform谩tica, tener una contrase帽a que no sea f谩cil. 

De nada nos vale tener la p谩gina web en WordPress bonita, si despu茅s tenemos libre el acceso de login y una clave de acceso que la conozca todo el mundo. 

S茅 un poco creativo y utiliza claves que solo puedas conocer tu , combinando n煤meros y letras o/y alg煤n caracter especial estar谩s 100% seguro de que no romper谩n tu clave por fuerza bruta

wphacked
Paso 2

Utilizar software que no sea nulled o pirata


No emplees plantillas ni complementos nulled. Comienzas a montar tu p谩gina web y ves un tema que te agrada y es de pago y decides conseguirlo por la red, bajarlo de sitios pirata sin ning煤n coste.

Es posible que te ahorres unos euros m谩s, pero est谩s montando una web sobre un software que seguramente tenga bichitos y puertas de acceso a terceros, no pienses que los suben software nulled lo hacen sin inter茅s, nadie compra miles de themes para subirlos sin inter茅s y poder ganarse un problem贸n por problemas de copyright,  es super sencillo montar un script dentro del theme que cambie tus anuncios por los suyos, por darte una idea que ya es de sobra conocido por todo el mundo. Adem谩s no es nada raro que vaya a detectar alg煤n anti-virus, ya que no es un virus, sino una funcionalidad simple.


Puedes utilizar el repositorio de WordPress que tiene toneladas de themes y plugins gratis, y si necesitas algo m谩s espec铆fico te recomiendo que vayas a sitios de compra conocidos como themeforest o codecayonn.


Mant茅n al d铆a tu instalaci贸n de WordPress. Actualiza tu web conforme vayan saliendo las nuevas versiones de la plantilla, del propio WP y lo m谩s esencial, de los plugins o complementos.

Paso 3

Comprueba que est谩 hackeada


En muchos casos es bastante f谩cil saber que tu p谩gina web est谩 hackeada , en otros no es tan f谩cil, hay scripts que pasan bastante desapercibidos, o incluso hay scripts que solo se muestran desde determinados paises o si vienes de otras webs como por ejemplo Facebook, por lo que muchas veces es complicado verlo por ti mismo. Pero hay cosas que te pueden ayudar a entender que ocurre en tu web. 

Por ejemplo si tu wordpress contiene alg煤n g茅nero de malware o bien alg煤n fichero ha sido cambiado. Lo intuyes pues al cargar tu url, Google muestra un aviso del tipo:

aviso web hackeada

web hacked


O bien cuando desde tu hosting d贸nde alojas tu p谩gina web te han sobre aviso de que est谩s consumiendo muchos recursos. O bien que te han desactivado provisionalmente el servicio por el hecho de que haces env铆o masivo de e-mails. O bien pues has descubierto cientos y cientos de urls con f谩rmacos ilegales en tu p谩gina web. 

Como puedes ver son m煤ltiples las posibilidades, de ah铆 que vamos a usar alguna herramienta para asegurarnos de que tenemos un problema.

Puedes usar un antivirus a nivel de servidor, para esto contacta con tu hosting a ver si disponen de uno instalado y que examinen tu p谩gina web, si tienes cpanel suele venir alguno, y adem谩s cada hosting suele comprobar que no existen virus ya que en muchos casos pueden dar problemas al resto de las webs.

La otra alternativa de antivirus es on-line. Tambien te aconsejo que pruebes el plugin de seguridad wordfence , o bien mediante la herramienta de an谩lisis de Sucuri.

sucuri


Otra herramienta que te invito a y que se emplea bastante, es Virus Total. Con ella puedes no solo examinar una url, asimismo subir ficheros sueltos o bien comprimidos, por poner un ejemplo todas y cada una de las carpetitas que forman tu p谩gina web.

A nivel local, otra opci贸n que tenemos, y que personalmente us茅 una vez y me dio resultado para localizar c贸digo malicioso, es descargarnos todos y cada uno de los ficheros de la p谩gina web y pasarlo por un antivirus, cualquier antivirus normal te valdr铆a.

Este tipo de herramientas o complemento van a hacer un esc谩ner completo de todos tus ficheros y te afirmar谩 si alguno de ellos es sospechoso de estar infectado.

Paso 4

Me han hackeado, 驴y ahora qu茅?


鈥媀ale, llegados a este punto vamos a limpiar toda la web, por un lado los ficheros de wp y por otro lado todos los ficheros externos que encontremos en la web. 

hacker

Ver que ficheros han modificado

Lo primero que debemos de hacer es ver que ficheros han cambiado , puedes utlilizar wordfence para verificar que todos tus ficheros son correctos y que no hay ning煤n cambio en ellos. 

wordfence

Te mostrar谩 los que han cambiado y o bien los cambias por los originales o bien ves el problema que tienen y decides si eso puede ser el problema de tu hackeo.

Tambi茅n podr铆as ir mirando en el c贸digo que est谩 ocurriendo y que problemas puedes tener, pero conociendo php y conociendo la estructura de WordPress tendr谩s que emplear muchas horas para poder estar seguro de lo que est谩 pasando, por eso no te recomendar铆a esta opci贸n.

Antes de cambiar nada, antes de cambiar cualquier fichero una cosa que siempre debemos de hacer es una backup, ya s茅 que la web est谩 infectada pero aunque est茅 infectada, siempre y en toda circunstancia es esencial hacer copias de seguridad antes de cualquier cambio en el c贸digo.

Una vez que ya tenemos la copia de seguridad, comprobamos que ficheros han cambiado y/o cuales pueden estar infectados, lo m谩s normal es que todos los que hayan cambiado y que no sepas porque han cambiado los vuelvas a cambiar por los ficheros que deber铆an estar, por la versi贸n de tu wp, y por la versi贸n de tu theme, o tus plugins. C贸mo te he mencionado anteriormente lo puedes hacer de manera autom谩tica con Wordfence (en su versi贸n gratuita), pero existen otros plugin que te pueden realizar el mismo trabajo.

Si lo prefieres hacer sin plugins es tambi茅n sencillo, puedes bajar la versi贸n de wp que utilices, y el theme que utilices y por 煤ltimo los plugins que utilices, y ahora te tocar谩 subir todos los ficheros salvo el fichero de configuraci贸n  wp-config.php. Reemplazando unos por otros y asegur谩ndote de que as铆 subir谩s una versi贸n limpia. 

Cambiar el fichero de configuraci贸n

Backdoor

Otra cosa importante que debemos hacer es cambiar el fichero de configuraci贸n de tu WordPress por otro limpio en los que solamente tu conozcas tus claves. Vamos a ver de qu茅 manera podemos arreglar un WP hackeado.

Si despu茅s de que tu sitio haya sido hackeado no cambias esto es como haberles dejado las llaves de tu web a tus hackeadores, si ellos siguen teniendo las llaves pueden entrar y salir siempre que quieran, es por eso que este fichero es esencial que lo cambies.

Edita la linea donde pone:

/** Tu contrase帽a de MySQL */ define('DB_PASSWORD', 'tu-password');


Debes de cambiar la contrase帽a por otra contrase帽a nueva, 隆OJO! est谩 contrase帽a debes cambiarla tambi茅n en tu base de datos si no NO te funcionar谩 tu WordPress, este paso es importante que lo entiendas antes de hacerlo.  (si tienes dudas pon un mensaje en la web y te responder茅 o bien env铆ale un email al desarrollador que te he puesto anteriormente).

Tienes que ir a tu gestor de bases de datos, busca la base de datos que quieres cambiar, mira el usuario que tiene permisos para esta base de datos y cambia el password de ese usuario, por el mismo password que has puesto en tu wp-config.php

seguridad-ssh-pressroom-hosting
Paso 5

Cambiar de hosting

A lo mejor tras todo este peripecia de desinfecci贸n de tu WordPress has llegado a pensar que el problema no era debido a tu WordPress , sino a tu alojamiento web que ha permitido acceder a tu p谩gina web.

Es un tema un poco delicado, pero te puedo asegurar que hay hosting que se toman muy en serio tu seguridad web y otros no tanto. De hecho hay otros hosting que incluso saben que tienen vulnerabilidades y no toman medidas preventivas para proteger a los usuarios. 

C贸mo hay miles de hosting es dificil opinar sobre todos los hosting, pero te recomiendo dos de los hosting con los que trabajo habitualmente que se toman en serio la seguridad

Paso 6

Enviarle a Google una reconsideraci贸n


Si tu p谩gina web fue hackeada y cuando intentas acceder desde los resultados de b煤squeda de Google te muestra una fea alerta de que el sitio puede contener malware debemos de avisar a Google de que el sitio ya est谩 limpio. Esto se puede ver si accedes a Search Console, desde el men煤 problemas de Seguridad.

Una vez has limpiado todo indicio de malware vamos a tener que solicitar a Google que reconsidere la p谩gina web usando la herramienta "Pedir una Revisi贸n" que vas a ver en exactamente el mismo men煤 precedente al lado del aviso de que tu p谩gina web contiene software malicioso.

Vas a deber describir un peque帽o informe de las medidas que has tomado y de qu茅 manera has puesto soluci贸n al hackeo y mandarlo. Tendr谩s que esperar unos d铆as a que examinen tu p谩gina web y vas a ser informado v铆a e-mail del resultado.

Si todo se ha hecho bien no deber铆a haber inconveniente y Google quitar谩 ese feo aviso de advertencia.鈥



Opini贸n y casos de infecci贸n


Como habr谩s podido ver, recobrar una web en WordPress que ha sido vulnerada e infectada con alg煤n c贸digo malicioso no es excesivamente complicado.

Deber谩s tener paciencia e  ir efectuando de forma cuidadosa todos y cada uno de los pasos explicados, hasta llegar a tener de nuevo tu p谩gina web limpia y operativa.

No obstante no siempre es as铆 de f谩cil, por desgracia, si la infecci贸n ha llegado un paso m谩s lejos y tienes tambi茅n la base de datos infectada, la recuperaci贸n se vuelve mucho m谩s complicada. En un caso as铆 la mejor idea es usar un backup y restaurar la web a una versi贸n limpia en la que la web no estuviese infectada, que puede ser d铆as atras, o meses , o peor aun a帽os atras.


A veces en algunas ocasiones con estos pasos es posible que no se llegue a una limpieza completa y habr铆a y mi recomendaci贸n es que te pongas en manos de profesionales y que puedan ver el alcance que ha tenido en tu web.

Por suerte, por norma general, los hackeos frecuentes en WordPress acostumbran a solventarse con estas pautas de limpieza


Si necesitas ayuda y est谩s pasando por este problemilla no dudes en dejarnos un comentar铆o y veremos como podemos ayudarte!