WordPress hackeado la solución

WordPress hackeado la solución

15 Jul 2020 in

Tabla de contenido

Hoy te traigo un post de invitado, donde  nos habla sobre cómo desinfectar un Wordpress hackeado, uno de los caballos de batalla a los que nos podemos enfrentar si no tomamos las precauciones debidas desde el principio en nuestro sitio web. Espero que te resulte interesante. Te dejo con él.

Back to top

1) El descubrimiento

Sí, ha llegado ese día que habías oído charlar, que has leído por la red que si bien no tiene por el hecho de que, puede pasar. Te has levantado, has ido a ver que todo está correcto en tu web o bien proyecto y lo que ves es un mensaje de que tu web ha sido hackeada.

O peor aún, ni te has dado cuenta y lleva días o meses hackeada y si nadie se da cuenta y te avisa, así seguirá por mucho tiempo.

En muchos casos, hay clientes que contratan mis servicios decuando ya ha sido inficionado y ha tardado mucho en darse cuenta. Esto ocurre cuando el código que se ha inyectado efectúa envíos de spam a través de la webo crea multitud de páginas ocultas en el backoffice para el dueño, mas legibles para Google.

Tanto es así que si efectuamos una búsqueda en Google llegamos a ver miles de url’s indexadas que no tienen nada que ver con la página web. Por ejemplo una vez llegué a ver indexadas casi páginas en una web corporativa que sólo tenía cinco creadas por el dueño.

Una vez ha llegado el día D, te preguntarás cuáles son los pasos más esenciales para recuperar un  WordPress hackeado.

Back to top

2) La concienciación

Aunque suene muy frecuente, uno de los puntos más esenciales y que a día de hoy se prosigue incidiendo en el por la parte de las compañías de seguridad informática, es mentalizar al usuario de un buen empleo y de usar medidas preventivas:

  • Utiliza contraseñas difíciles. Sí, cuesta recordarlas, pero es absolutamente preciso. De nada nos vale tener la web en wordpres más bonita, si entonces tenemos libre la url de login y una contraseña 1234.
  • No emplees plantillas ni complementos nulled. Comienzas a montar tu web y ves un tema que te gusta mas es de pago y decides procurarlo sin coste. Es posible que te ahorres unos euros mas estás construyendo tu casa on line con unos cimientos no completamente seguros.

Mantén al día tu instalación de WP. Actualiza según vayan saliendo las nuevas versiones de la plantilla, del propio WP y lo más importante, de los plugins.

Back to top

3) Asegurarse de que la web contiene un malware

Estás bastante seguro de que tu wordpress contiene algún tipo de malware o bien algún fichero ha sido modificado. Lo intuyes pues al cargar tu url, Google muestra un aviso del tipo:

O por el hecho de que desde la compañía de alojamiento web dónde alojas tu página web te han sobre aviso de que estás consumiendo muchos recursos. O bien que te han tenido que desactivar temporalmente el servicio pues estás haciendo envío masivo de mails. O bien pues has descubierto cientos de urls con productos de farmacia en tu web. O por el hecho de que de manera directa la estética de tu web ha cambiado completamente. O el peor de los casos, no puedes acceder al panel de administración.

Como puedes ver son múltiples las posibilidades, por eso vamos a usar alguna herramienta para asegurarnos de ello.

Puedes emplear un antivirus a nivel de servidor, para esto contacta con tu distribuidor a ver si disponen de uno instalado y que examinen tu página web.

La otra opción de antivirus es online. A través de la

Otra herramienta que te recomiendo y que se utiliza bastante, es. Con ella puedes no sólo examinar una url, también subir ficheros sueltos o bien comprimidos, por ejemplo todas y cada una de las carpetas que forman tu web.

A nivel local, otra opción que tenemos, y que personalmente utilicé una vez y me dio resultado para hallar código malicioso, es descargarnos todos y cada uno de los archivos de la web y pasarlo por un antivirus, como puede ser el famoso Avast.

En caso de tener acceso al panel de administración de nuestra web, también podemos utilizar algún plugin de escaneocomo es el

Este plugin hará un escáner muy completo de todos tus archivos y te dirá si alguno de ellos es sospechoso de estar infectado.

Back to top

4) Primer paso: adecentar los archivos de configuración de WordPress

Ahora ya sí, vamos a ver cómo podemos arreglar un WP hackeado.

Hay que saber que tenemos dos posibilidades:

  • Sacar el hacha y también ir directos a mudar todos y cada uno de los ficheros por unos nuevos y limpios.
  • Ir en busca del código inyectado y suprimirlo.

La realidad es que la opción de buscar el código es bastante trabajosa y muchas veces será prácticamente imposible dar con él. Por eso nos ponemos en caso de que vamos a restaurar toda nuestra web por una copia nueva y limpia.

Es probable que lo sepas, mas por si las moscas te cuento que las carpetitas y archivos de WP podríamos dividirlas en 2 grupos:

  • Todo lo necesario para el funcionamiento de WordPress por un lado.
  • Todo lo que añade funcionalidades como la plantilla, los plugins y las imágenes que vamos subiendo por otro.

Si nos fijamos en la estructura que deja tras la instalación un Wordpress, la carpetita wp-content es la que contiene plantilla, plugins, fotografías, vídeos, etc.

Lo primero que vamos a hacer es una imitación de seguridad, que si bien esté inficionada, siempre y en todo momento es esencial hacer copias ya antes de cualquier cambio. Así como hacerde forma periódica.

Para ello nos descargamos:

  • carpeta wp-content
  • los ficheros robots.txt y .htaccess
  • y el wp-config.php

Ahora vamos a descargarnos un WordPress nuevo y limpio, pero siempre y en todo momento exactamente la misma versión que estuviéramos usando en la página web hackeada. Desde elpodremos buscar y descargar el .zip

Y subimos estos archivos limpios desde la versión de Wordpress que habíamos descargado.

Es esencial hacer hincapié en que lo mejor es borrar y luego subir los nuevos ficheros, en vez de copiar y que se sustituyan. Así nos aseguramos de que hacemos adecuadamente limpieza de todo aquel archivo que no debería estar ahí.

Con esto ya tenemos un paso dado, hemos dejado nueva la instalación del Wordpress de nuestra página web.

Back to top

5) Segundo Paso: Adecentar complementos y plantilla

La forma más que probable por el que nos han hackeado WordPress es que haya sido por algún plugin o theme y una vulnerabilidad que este tuviese. O de manera directa por, como ya he comentado, utilizarlos nulled, o sea descargados gratuitamente de fuentes no fiables.

El paso que ahora vamos a dar es parecido al primero pero mucho más importante.

Debemos descargarnos desde la fuente original la plantillaque estemos usando y substituir los ficheros de la carpeta con el nombre de la plantilla en /wp-content/themes/ por los recién descargados.

Si es así habrás aprendido lo esencial que es.

El siguiente paso a dar es repetir lo que hemos hecho hasta ahora pero con las carpetitas que contienen los plugins. Tendremos que descargar los complementos limpiosdesde sus respectivos repositorios y también ir reemplazando.

Es decir, borrar de la senda /wp-content/plugins/ la carpeta de cada uno de los plugins y copia los nuevos ficheros.

Back to top

6) Medidas de refuerzo tras recuperar Wordpress hackeado

6.1) Cambiar las contraseñas

Una medida importante que debes tomar es cambiar todas y cada una de las contraseñasque tengan relación con tu página web.

  • Cambia la contraseña de todos y cada uno de los usuarios con nivel administrador.
  • Cambia la contraseña de acceso a tu panel de hosting.
  • Aunque no hagas mucho empleo del FTP, cambia la contraseña.
  • Y por último cambia la contraseña del usuario de la base de datos.

Los 2 últimos pasos podrás hacerlos desde Cpanel o desde el panel que te de tu proveedor de alojamiento web en su caso:

  • Si usas Cpanel tendrás que ir a la sección Base de Datos->Bases de Datos MySQL->Usuarios Actuales-> Cambiar contraseña.
  • Una vez la hayas cambiado es importante que la actualices en el wp-config.phpporque si no la web no funcionará al no conectar con la base de datos.

Abres el archivo y en esta línea, cambia la contraseña:

Y aprovecha para comprobar este archivo buscando alguna línea o texto que sea sospechoso. También puede darse el en caso de que hayan llegado a alterarlo.  

6.2) Cambiar las claves de autentificación de WordPress

Como este no es un blog post sobre qué son dichas claves, vamos a dejarlo en que son importantes y pocos usuarios de WP hacen uso de ellas.

En exactamente el mismo archivo de antes, el wp-config.php podrás ver estas líneas:

Esto en caso de que no las pusieses en su momento, por el hecho de que si las añadiste, dónde pone ‘pon aquí tu oración aleatoria’ tendrás una fila de números, letras y símbolos.

Pues bien, estas son las que vamos a mudar o bien añadir de nuevas. Para ello vamos a

Nos saldrá lo mismo que ya antes pero con las claves generadas. Sólo es suficiente con copiar y substituir, y lógicamente guardar los cambios.

6.3) Utilizar complementos de seguridad

Como ya has sufrido en tus carnes, la seguridad en WP pese a ser bastante buena, no es infalible. De ahí que es importante que te tomes tiempo para aplicar múltiples puntos de refuerzo en seguridad. Echa un ojo a este artículo donde Juanma te daba ciertos.

Como punto principal puedes instalar el plugin. Es uno de los más empleados y bastante fiable siendo al unísono antivirus, firewall e incluso detecciones en tiempo real.

6.4) Cambiar de proveedor de hosting

A lo mejor tras todo este periplo de desinfección de tu WordPress ha llegado el momento de proponerte cambiar de alojamiento web.

No es verdad que la infección de tu página web haya llegado por culpa de la seguridad en el alojamiento web, ni mucho menos. Pero todo suma y un buen servidor con medidas de seguridad bien planteadas, es importante.

6.5) Decirle a Google que ya estamos limpios

Si tu web fue hackeada y mostraba el aviso que vimos al comienzo, es por el hecho de que Google lo tenía detectado y te había puesto el “cartel de infectado”.

Esto se puede ver si accedes a Search Console, desde el menú Problemas de Seguridad.

Una vez has limpiado todo rastro de malware vamos a poder pedir a Google que reconsidere la página web empleando la herramienta Solicitar una Revisiónque verás en exactamente el mismo menú precedente al lado del aviso de que tu página web contiene software malicioso.

Deberás describir un pequeño informe de las medidas que has tomado y cómo has puesto solución al hackeo y enviarlo. Aguardar que examinen tu página web y serás informado vía e-mail del resultado.

Si todo se ha hecho bien no debería haber inconveniente a fin de que Google te quite las advertencias.

Back to top

7) Conclusiones

Como habrás podido ver, recuperar una web en Wordpress que ha sido vulnerada e infectada con algún código malicioso, no es completamente complicado.

Tendrás que tener paciencia y también ir realizando cuidadosamente todos y cada uno de los pasos explicados, hasta llegar a tener nuevamente tu web limpia y operativa.

Sí es verdad que la infección puede haber llegado un paso más lejos y tener la base de datos código inyectado. En un caso así la recuperación es más difícil porque habría que buscar determinados patrones que se utilizan como código malicioso, entre todas las tablas.

Y también es verdad que en ocasiones con éstos pasos puede que no se llegue a una limpieza completa y habría que sacar más artillería y una lupa de mayor profundidad para buscar dónde está el inconveniente.

Pero por lo general, los hackeos habituales en WP suelen solventarse con estas pautas de limpieza.

No deseo terminar sin volver a comentar la relevancia de tomar precauciones desde el principiocon medidas de seguridad, a través de complementos, buen servidor y de sentido común con las contraseñas. Y tapoco estaría de más si decidieses contratar un servicio de mantenimiento para WordPresspor profesionales.

Ahora te toca a ti. ¿Has tenido alguna vez un Wordpress  hackeado? ¿Cómo llegaste a solucionarlo?

Back to top
Share icon

Solicita información sin compromiso

Políticas de privacidad

De conformidad con lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su normativa de desarrollo, el responsable del sitio web, CITIFACE MANAGEMENT, S.L., en cumplimiento de lo dispuesto en el art. 5 y 6 de la LOPD, informa a todos los usuarios del sitio web www.citiface.com que faciliten, o vayan a facilitar sus datos personales, que estos serán incorporados a un fichero que se encuentra debidamente inscrito en la Agencia Española de Protección de Datos.

Consentimiento del usuario:
Mediante la marcación de las correspondientes casillas, en los formularios dispuestos en el sitio web para la recogida de datos, los usuarios aceptan expresamente y de forma libre e inequívoca que sus datos personales sean tratados con las finalidades y destinos que se detallarán a continuación.

Finalidad
Los datos que se faciliten a través del portal, se destinarán a la finalidad de responder a su solicitud de información, así como a remitirle información que consideremos que pueda ser de su interés. Incluyendo para ello medios electrónicos (email, sms, etc..). Asimismo, y si usted nos lo indica, le remitiremos a su correo electrónico nuestro boletín electrónico SEO/SEM en el que le trasladaremos recomendaciones y herramientas para la mejora de sus campañas de posicionamiento y pago por clic. Los envíos serán con carácter mensual y podrá dejar de recibirlos en cualquier momento a través del mecanismo establecido en el propio email.

Calidad de datos
Los datos marcados como obligatorios en el formulario que usted cumplimente, son necesarios para la prestación de un servicio óptimo al usuario y dar respuesta a sus requerimientos. En caso de que no sean facilitados todos los datos obligatorios, el prestador no garantiza la prestación de los servicios solicitados.
El usuario será el único responsable, respecto a la veracidad y actualización de los datos aportados a través de los distintos formularios del sitio web

Comunicación de datos a terceros
Sus datos personales no serán cedidos, en ningún caso, a terceras compañías, y que siempre que fuera a realizarse algún tipo de cesión de datos personales, de forma previa, se solicitaría el consentimiento expreso, informado, e inequívoco por parte de los titulares. Ejercicio de derechos ARCO
El prestador garantiza en todo caso al usuario el ejercicio de los derechos de acceso, rectificación, cancelación, información y oposición, en los términos dispuestos en la legislación vigente. Por ello, de conformidad con lo dispuesto en la LOPD, podrá ejercer sus derechos remitiendo una solicitud expresa, junto a una copia de su DNI, a través del correo electrónico: info[at]citiface.com o Calle Farell 3, 1-1. 08014 Barcelona .

Medidas de seguridad
Del mismo modo, el prestador, conforme a lo establecido en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la L.O. 15/1999, indica que ha adoptado todas las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos de carácter personal que trate, así como para evitar su pérdida, alteración y/o acceso por parte de terceros no autorizados.

Menores de edad
Se prohíbe, expresamente, a los menores de 14 años, facilitar ningún dato a través del presente sitio web, sin contar con el consentimiento y supervisión de sus padres o tutores legales.
Si el prestador tuviera noticia acerca de la infracción de la referida prohibición, procederá a la eliminación de cualquier dato asociado al usuario en cuestión.

Uso de cookies y del fichero de actividad
El prestador por su propia cuenta o la de un tercero contratado para la prestación de servicios de medición, pueden utilizar cookies cuando un usuario navega por el sitio web. Las cookies son ficheros enviados al navegador por medio de un servidor web con la finalidad de registrar las actividades del usuario durante su tiempo de navegación.
Las cookies utilizadas por el sitio web se asocian únicamente con un usuario anónimo y su ordenador, y no proporcionan por sí mismas los datos personales del usuario.
Mediante el uso de las cookies resulta posible que el servidor donde se encuentra la web, reconozca el navegador web utilizado por el usuario con la finalidad de que la navegación sea más sencilla, permitiendo, por ejemplo, el acceso a los usuarios que se hayan registrado previamente, acceder a las áreas, servicios, promociones o concursos reservados exclusivamente a ellos sin tener que registrarse en cada visita. Se utilizan también para medir la audiencia y parámetros del tráfico, controlar el progreso y número de entradas.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionabilidad de este website.
Este sitio web utiliza Google Analytics, un servicio analítico de web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos («Google»). Google Analytics utiliza «cookies», que son archivos de texto ubicados en su ordenador, para ayudar al website a analizar el uso que hacen los usuarios del sitio web. La información que genera la cookie acerca de su uso del website (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información, por cuenta nuestra, con el propósito de seguir la pista de su uso del website, recopilando informes de la actividad del website y prestando otros servicios relacionados con la actividad del website y el uso de Internet.
Google podrá transmitir dicha información a terceros cuando así se lo requiera la legislación, o cuando dichos terceros procesen la información por cuenta de Google. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
Puede Usted rechazar el tratamiento de los datos o la información rechazando el uso de cookies mediante la selección de la configuración apropiada de su navegador, sin embargo, debe Usted saber que si lo hace puede ser que no pueda usar la plena funcionalidad de este website. Al utilizar este website Usted consiente el tratamiento de información acerca de Usted por Google en la forma y para los fines arriba indicados. En todo caso, le informamos que para instar a la cancelación de los posibles tratamientos de datos llevados a cabo por Google, deberá dirigirse a esa compañía, a tal efecto. El prestador no tiene la capacidad técnica ni legal, para proceder al cese en el tratamiento de datos fuera del ámbito delimitado por los ficheros y medios técnicos de su titularidad. Y no se le podrán exigir responsabilidades en este sentido. Para conocer más acerca de las cookies es.wikipedia.org/wiki/Cookie_(informática)

SEMrush

SEMrush

SEMrush

ESTOS EXCLUSIVOS INFORMES GRATUITO REVELAN

7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1#
7 SECRETOS DE EXPERTOS SEO QUE TE LLEVÁN AL 1# EN GOOGLE PARA GANAR 10.000s DE TRÁFICO DE CALIDAD GRATUITO - EN SÓLO 2 MESES
 

Los 7 pasos más poderosos para disparar tu ranking orgánico para ALCANZAR Y MANTENER un impresionante tráfico orgánico es TUYO.

Consigue gratis lo que el 1% de los expertos en SEO venden por miles de euros... y el otro 99% ni siquiera sabe que existe.


OBTEN MI INFORME GRATUITO
5 errores que debes evitar en tu sitio web de Drupal
Ebook - 5 errores que debes evitar en tu sitio web de Drupal (¡podrían costarte miles de euros!)
 

Este Ebook cubre 5 terribles errores que probablemente estés cometiendo ahora mismo con tu sitio web de Drupal.

¡Nº3 TE SORPRENDERÁ! Esta lectura de 10 minutos te ahorrará miles de euros.



OBTEN MI INFORME GRATUITO