Hoy te traigo un post de invitado, donde nos habla sobre cómo desinfectar un Wordpress hackeado, uno de los caballos de batalla a los que nos podemos enfrentar si no tomamos las precauciones debidas desde el principio en nuestro sitio web. Espero que te resulte interesante. Te dejo con él.
Back to top1) El descubrimiento
Sí, ha llegado ese día que habías oído charlar, que has leído por la red que si bien no tiene por el hecho de que, puede pasar. Te has levantado, has ido a ver que todo está correcto en tu web o bien proyecto y lo que ves es un mensaje de que tu web ha sido hackeada.
O peor aún, ni te has dado cuenta y lleva días o meses hackeada y si nadie se da cuenta y te avisa, así seguirá por mucho tiempo.
En muchos casos, hay clientes que contratan mis servicios decuando ya ha sido inficionado y ha tardado mucho en darse cuenta. Esto ocurre cuando el código que se ha inyectado efectúa envíos de spam a través de la webo crea multitud de páginas ocultas en el backoffice para el dueño, mas legibles para Google.
Tanto es así que si efectuamos una búsqueda en Google llegamos a ver miles de url’s indexadas que no tienen nada que ver con la página web. Por ejemplo una vez llegué a ver indexadas casi páginas en una web corporativa que sólo tenía cinco creadas por el dueño.
Una vez ha llegado el día D, te preguntarás cuáles son los pasos más esenciales para recuperar un WordPress hackeado.
Back to top2) La concienciación
Aunque suene muy frecuente, uno de los puntos más esenciales y que a día de hoy se prosigue incidiendo en el por la parte de las compañías de seguridad informática, es mentalizar al usuario de un buen empleo y de usar medidas preventivas:
- Utiliza contraseñas difíciles. Sí, cuesta recordarlas, pero es absolutamente preciso. De nada nos vale tener la web en wordpres más bonita, si entonces tenemos libre la url de login y una contraseña 1234.
- No emplees plantillas ni complementos nulled. Comienzas a montar tu web y ves un tema que te gusta mas es de pago y decides procurarlo sin coste. Es posible que te ahorres unos euros mas estás construyendo tu casa on line con unos cimientos no completamente seguros.
Mantén al día tu instalación de WP. Actualiza según vayan saliendo las nuevas versiones de la plantilla, del propio WP y lo más importante, de los plugins.
Back to top3) Asegurarse de que la web contiene un malware
Estás bastante seguro de que tu wordpress contiene algún tipo de malware o bien algún fichero ha sido modificado. Lo intuyes pues al cargar tu url, Google muestra un aviso del tipo:
O por el hecho de que desde la compañía de alojamiento web dónde alojas tu página web te han sobre aviso de que estás consumiendo muchos recursos. O bien que te han tenido que desactivar temporalmente el servicio pues estás haciendo envío masivo de mails. O bien pues has descubierto cientos de urls con productos de farmacia en tu web. O por el hecho de que de manera directa la estética de tu web ha cambiado completamente. O el peor de los casos, no puedes acceder al panel de administración.
Como puedes ver son múltiples las posibilidades, por eso vamos a usar alguna herramienta para asegurarnos de ello.
Puedes emplear un antivirus a nivel de servidor, para esto contacta con tu distribuidor a ver si disponen de uno instalado y que examinen tu página web.
La otra opción de antivirus es online. A través de la
Otra herramienta que te recomiendo y que se utiliza bastante, es. Con ella puedes no sólo examinar una url, también subir ficheros sueltos o bien comprimidos, por ejemplo todas y cada una de las carpetas que forman tu web.
A nivel local, otra opción que tenemos, y que personalmente utilicé una vez y me dio resultado para hallar código malicioso, es descargarnos todos y cada uno de los archivos de la web y pasarlo por un antivirus, como puede ser el famoso Avast.
En caso de tener acceso al panel de administración de nuestra web, también podemos utilizar algún plugin de escaneocomo es el
Este plugin hará un escáner muy completo de todos tus archivos y te dirá si alguno de ellos es sospechoso de estar infectado.
Back to top4) Primer paso: adecentar los archivos de configuración de WordPress
Ahora ya sí, vamos a ver cómo podemos arreglar un WP hackeado.
Hay que saber que tenemos dos posibilidades:
- Sacar el hacha y también ir directos a mudar todos y cada uno de los ficheros por unos nuevos y limpios.
- Ir en busca del código inyectado y suprimirlo.
La realidad es que la opción de buscar el código es bastante trabajosa y muchas veces será prácticamente imposible dar con él. Por eso nos ponemos en caso de que vamos a restaurar toda nuestra web por una copia nueva y limpia.
Es probable que lo sepas, mas por si las moscas te cuento que las carpetitas y archivos de WP podríamos dividirlas en 2 grupos:
- Todo lo necesario para el funcionamiento de WordPress por un lado.
- Todo lo que añade funcionalidades como la plantilla, los plugins y las imágenes que vamos subiendo por otro.
Si nos fijamos en la estructura que deja tras la instalación un Wordpress, la carpetita wp-content es la que contiene plantilla, plugins, fotografías, vídeos, etc.
Lo primero que vamos a hacer es una imitación de seguridad, que si bien esté inficionada, siempre y en todo momento es esencial hacer copias ya antes de cualquier cambio. Así como hacerde forma periódica.
Para ello nos descargamos:
- carpeta wp-content
- los ficheros robots.txt y .htaccess
- y el wp-config.php
Ahora vamos a descargarnos un WordPress nuevo y limpio, pero siempre y en todo momento exactamente la misma versión que estuviéramos usando en la página web hackeada. Desde elpodremos buscar y descargar el .zip
Y subimos estos archivos limpios desde la versión de Wordpress que habíamos descargado.
Es esencial hacer hincapié en que lo mejor es borrar y luego subir los nuevos ficheros, en vez de copiar y que se sustituyan. Así nos aseguramos de que hacemos adecuadamente limpieza de todo aquel archivo que no debería estar ahí.
Con esto ya tenemos un paso dado, hemos dejado nueva la instalación del Wordpress de nuestra página web.
Back to top5) Segundo Paso: Adecentar complementos y plantilla
La forma más que probable por el que nos han hackeado WordPress es que haya sido por algún plugin o theme y una vulnerabilidad que este tuviese. O de manera directa por, como ya he comentado, utilizarlos nulled, o sea descargados gratuitamente de fuentes no fiables.
El paso que ahora vamos a dar es parecido al primero pero mucho más importante.
Debemos descargarnos desde la fuente original la plantillaque estemos usando y substituir los ficheros de la carpeta con el nombre de la plantilla en /wp-content/themes/ por los recién descargados.
Si es así habrás aprendido lo esencial que es.
El siguiente paso a dar es repetir lo que hemos hecho hasta ahora pero con las carpetitas que contienen los plugins. Tendremos que descargar los complementos limpiosdesde sus respectivos repositorios y también ir reemplazando.
Es decir, borrar de la senda /wp-content/plugins/ la carpeta de cada uno de los plugins y copia los nuevos ficheros.
Back to top6) Medidas de refuerzo tras recuperar Wordpress hackeado
6.1) Cambiar las contraseñas
Una medida importante que debes tomar es cambiar todas y cada una de las contraseñasque tengan relación con tu página web.
- Cambia la contraseña de todos y cada uno de los usuarios con nivel administrador.
- Cambia la contraseña de acceso a tu panel de hosting.
- Aunque no hagas mucho empleo del FTP, cambia la contraseña.
- Y por último cambia la contraseña del usuario de la base de datos.
Los 2 últimos pasos podrás hacerlos desde Cpanel o desde el panel que te de tu proveedor de alojamiento web en su caso:
- Si usas Cpanel tendrás que ir a la sección Base de Datos->Bases de Datos MySQL->Usuarios Actuales-> Cambiar contraseña.
- Una vez la hayas cambiado es importante que la actualices en el wp-config.phpporque si no la web no funcionará al no conectar con la base de datos.
Abres el archivo y en esta línea, cambia la contraseña:
Y aprovecha para comprobar este archivo buscando alguna línea o texto que sea sospechoso. También puede darse el en caso de que hayan llegado a alterarlo.
6.2) Cambiar las claves de autentificación de WordPress
Como este no es un blog post sobre qué son dichas claves, vamos a dejarlo en que son importantes y pocos usuarios de WP hacen uso de ellas.
En exactamente el mismo archivo de antes, el wp-config.php podrás ver estas líneas:
Esto en caso de que no las pusieses en su momento, por el hecho de que si las añadiste, dónde pone ‘pon aquí tu oración aleatoria’ tendrás una fila de números, letras y símbolos.
Pues bien, estas son las que vamos a mudar o bien añadir de nuevas. Para ello vamos a
Nos saldrá lo mismo que ya antes pero con las claves generadas. Sólo es suficiente con copiar y substituir, y lógicamente guardar los cambios.
6.3) Utilizar complementos de seguridad
Como ya has sufrido en tus carnes, la seguridad en WP pese a ser bastante buena, no es infalible. De ahí que es importante que te tomes tiempo para aplicar múltiples puntos de refuerzo en seguridad. Echa un ojo a este artículo donde Juanma te daba ciertos.
Como punto principal puedes instalar el plugin. Es uno de los más empleados y bastante fiable siendo al unísono antivirus, firewall e incluso detecciones en tiempo real.
6.4) Cambiar de proveedor de hosting
A lo mejor tras todo este periplo de desinfección de tu WordPress ha llegado el momento de proponerte cambiar de alojamiento web.
No es verdad que la infección de tu página web haya llegado por culpa de la seguridad en el alojamiento web, ni mucho menos. Pero todo suma y un buen servidor con medidas de seguridad bien planteadas, es importante.
6.5) Decirle a Google que ya estamos limpios
Si tu web fue hackeada y mostraba el aviso que vimos al comienzo, es por el hecho de que Google lo tenía detectado y te había puesto el “cartel de infectado”.
Esto se puede ver si accedes a Search Console, desde el menú Problemas de Seguridad.
Una vez has limpiado todo rastro de malware vamos a poder pedir a Google que reconsidere la página web empleando la herramienta Solicitar una Revisiónque verás en exactamente el mismo menú precedente al lado del aviso de que tu página web contiene software malicioso.
Deberás describir un pequeño informe de las medidas que has tomado y cómo has puesto solución al hackeo y enviarlo. Aguardar que examinen tu página web y serás informado vía e-mail del resultado.
Si todo se ha hecho bien no debería haber inconveniente a fin de que Google te quite las advertencias.
Back to top7) Conclusiones
Como habrás podido ver, recuperar una web en Wordpress que ha sido vulnerada e infectada con algún código malicioso, no es completamente complicado.
Tendrás que tener paciencia y también ir realizando cuidadosamente todos y cada uno de los pasos explicados, hasta llegar a tener nuevamente tu web limpia y operativa.
Sí es verdad que la infección puede haber llegado un paso más lejos y tener la base de datos código inyectado. En un caso así la recuperación es más difícil porque habría que buscar determinados patrones que se utilizan como código malicioso, entre todas las tablas.
Y también es verdad que en ocasiones con éstos pasos puede que no se llegue a una limpieza completa y habría que sacar más artillería y una lupa de mayor profundidad para buscar dónde está el inconveniente.
Pero por lo general, los hackeos habituales en WP suelen solventarse con estas pautas de limpieza.
No deseo terminar sin volver a comentar la relevancia de tomar precauciones desde el principiocon medidas de seguridad, a través de complementos, buen servidor y de sentido común con las contraseñas. Y tapoco estaría de más si decidieses contratar un servicio de mantenimiento para WordPresspor profesionales.
Ahora te toca a ti. ¿Has tenido alguna vez un Wordpress hackeado? ¿Cómo llegaste a solucionarlo?
Back to top