Cómo Limpiar un Sitio de WordPress Hackeado

Cómo Limpiar un Sitio de WordPress Hackeado

En este publicacioń voy a reunir los mejores consejos para limpiar tu sitio de wordpress hackeado.

Un sitio de wordpress puede ser que tenga muchas vulnerabilidades por:

  • La pobre o cero implementación de consejos de seguridad.
  • Usar plugins y temas de dudosa procedencia.
  • Usar servidor compartido con usuarios que no siguen prácticas de seguridad.
  • Una vulnerabilidad de día cero.

Lo que Debes Saber antes de Limpiar un Sitio

Estas son cosas que debes saber antes de limpiar tu sitio

  • Si usas un tema de procedencia dudosa, tiene que ser removido por lo que debes valorar comprar el tema directamente de los desarolladores y no de oportunistas.
  • Lo mismo con los plugins que son de dudosa procedencia, estos deben ser reemplazados por plugins comprados directamente de los desarolladores o instalar plugins gratuitos con funciones similares.
  • Debes tener acceso a tu instalación de wordpress por medio de FTP. En tu panel de hosting, puedes encontrar esos credenciales.
  • Debes descargar el archivo de instalación de wordpress más reciente desde wordpress.org
  • Si tratas de revisar los archivos que fueron cambiados recientemente, ten presente que el hack puede ser tan bueno que muchos de los archivos insertados en tu instalación de wordpress pudieron haber sido preparados para dar la impresión que no hay reciente cambios en ellos.
  • En ocasiones restaurar un respaldo no es una buena solución debido a que el hacker pudo haber tenido acceso al sitio y decidió esperar algunas semanas para realizar el ataque que es visible al administrador y a los usuarios.
  • Instala una extensión que bloquee los scripts para no infectar tu computadora mientras limpias tu sitio.
  • Escanea tu computadora en busca de un Keylogger que podría estar registrando todo lo que escribes en tu computadora.
  • Pensar que la solución es simplemente remover los problemas visibles es lo más insensato que puedes hacer.

Pasos para Limpiar un Sitio de WordPress Hackeado

Estos son los pasos que debes de seguir para volver tu sitio a la normalidad.

Recuerda que los pasos pueden variar de acuerdo la situación. Hay sitios más complejos que otros.

#1 ¿Cómo Saber si mi Sitio ha sido Hackeado?

Lo primero que debes saber es si tu sitio realmente ha sido hackeado y estos son algunos de los indicadores:

  1. El buscador de Google le dice a los usuarios que el sitio contiene código malicioso y que puedes ser víctima de un ataque de phishing.
  2. Tu proveedor de hosting ha suspendido tu cuenta por lo que el sitio no es visible al público.
  3. Google Search console indica que malware fue encontrado en tu sitio.
  4. Tu scanner de Malware ha detectado que tu sitio se encuentra comprometido
  5. Tu sitio redirecciona a otro sitio.
  6. Tiene entradas y enlaces de Spam en tu sitio.
  7. No puedes entrar a tu sitio.
  8. Usuarios fueron creados sin tu consentimiento.

Puedes también un scanner de virus remoto para confirmar tus sospechas:

O usar plugins tale como WordFence o Quttera que analizan tu instalación.

#2 Realizar un Respaldo de tu Sitio

Una vez que estás seguro que tu sitio ha sido hackeado debes de hacer un respaldo de tu sitio.

Un respaldo del sitio te sirve en caso que

  • Borres un archivo o una carpeta accidentalmente.
  • Ver detalles anómalos en los archivos de la instalación.

Si tienes respaldos de una fecha de antes que se diera el hackeo, puedes restaurar tu sitio pero esa no es la solución porque te volverán a hackear si la vulnerabilidad en tu sitio aun existe.

#3 Identificar la Vulnerabilidad que Usó el Hacker

Si ya restauraste el sitio con un respaldo, debes pensar que permitió que te hackearan.

Hazte estas preguntas antes de seguir:

Plugins

  1. ¿Tienes plugins desactualizados?
  2. ¿Tienes plugins de dudosa procedencia o nulos?
  3. ¿Tienes plugins que tienen una vulnerabilidad tipo cero?

Temas

  1. ¿Usas un tema de wordpress desactualizado?
  2. ¿Usas un tema de wordpress de dudosa procedencia?
  3. ¿Tienes temas sin usar en el sitio?
  4. ¿Tienes un tema que tienen una vulnerabilidad tipo cero?

Hosting y WordPress

  1. ¿No has actualizado wordpress a la versioń más reciente?
  2. ¿Tu hosting no usa versiones recientes de PHP?
  3. ¿La versión de tu base de datos esta desactualizada?
  4. ¿Tu hosting no implementa reglas de seguridad a nivel del servidor?
  5. ¿Estas usando hospedaje web compartido que permite la contaminación de sitios?
  6. ¿Estaba el archivo xmlrpc.php expuesto a ataques?

Contraseñas

  1. ¿Cuando cambiaste la contraseña de WordPress?
  2. ¿La contraseña de tu hosting es difícil de descifrar?
  3. ¿La contraseña de tu base de datos es difícil de descifrar?
  4. ¿La contraseña de acceso SFTP es difícil de descifrar?
  5. ¿Qué hay del correo asociado con tu cuenta de hosting?
  6. ¿Usas protección de dos factores cuando puedes en tus cuentas?

Puede ser que el hackeo haya sido causado por otro motivo pero esa es una buena lista para empezar.

En este punto yo instalaria un plugin gratuito como All in One WP Security and Firewall y aplicaría las medidas de seguridad ahí detalladas.

Si usas CloudFlare, usa el Firewall para bloquear el acceso a los archivos PHP: Ver Reseña de Seguridad sobre CloudFlare

Si el hosting es el problema, considera un hosting más seguro como Cloudways o SiteGround

#4 Reemplazar los Archivos de WordPress que Puedas

Limpiar Sitio de WordPress Hackeado

Si crees que lo anterior es suficiente y que ya no hay amenazas, no debes seguir este paso.

Si crees que lo anterior no es medida suficiente contra ser hackeado de nuevo, empieza con la tarea de reemplazar los archivos de tu instalación de wordpress.

Debido a que revisar todos los archivos puede ser una tarea abrumadora, debes tratar de reemplazar cuánto archivo puedas sin comprometer la seguridad y funcionalidad de tu sitio.

  • El segundo paso que debes seguir es acceder a los archivos de tu aplicación de wordpress usando FileZilla con tus credenciales SFTP.
  • El tercer paso es hacer un respaldo de los archivos que están en el folder Public_HTML en caso de que algo salga mal (En caso que no tengas un respaldo)
  • El Cuarto paso es descomprimir el archivo original descargado de Wordpres.org y contrastar los archivos de una instalación nueva de wordpress con los archivos de tu sitio en FileZilla
  • El Quinto Paso es borrar todos los archivos de tu instalación con la excepción de wp-content ya que tu contenido como plugins y temas se encuentra ahí. Tampoco debes borrar el archivo wp-config.php 
  • El sexto paso es cambiar esos archivos de tu sitio por las versiones originales de la instalación de WordPress que descargaste.

Ya con esto reduces la presencia de Malware a una carpeta (wp-content), a un archivo (wp-config) y a la base de datos.

#4 Detectar Malware en los Plugins

Los plugins se encuentran en la carpeta de wp-content y están intactos hasta el momento. Pueden estar infectados o no

Haz un inventario rápido de los plugins del sitio y valora si deseas

  • borrar la carpeta de los plugins y crear una nueva con el mismo nombre e instalar la versión más actualizada de cada uno de los plugins
  • Borrar los plugins que no comprometen la apariencia y funcionalidad del sitio y analizar los demás.

La primera opción es una buena opción para empezar de nuevo sin archivos comprometidos.

La segunda opción consiste en borrar los plugins que puedas y pasar algo de tiempo revisando lo que crees que no es prudente borrar.

#5 Detectar Malware en los Temas de WordPress

Ahora con una gran parte de archivos reemplazados y con la actualización de los plugins y con tu sitio de wordpress operacional.

Revisa el tema. Si el tema puede ser fácilmente instalado de nuevo.

  • Instala la versión más reciente del tema por Defecto
  • Borra el tema anterior.

Si crees que no hay código malicioso en este puedes dejarlo tal y como esta.

#6 Busquemos Más Problemas con un Scanner de Malware

Ya tienes un plugin de seguridad, tienes reglas de Firewall de CloudFlare y ya reforzaste la seguridad de tu sitio en términos generales.

Los archivos de tu sitio han sido reemplazados en su mayoría, los plugins fueron reemplazados completamente o en su mayoría y lo mismo sucedió con los temas del sitio.

En caso que se haya escapado algo, usa Quttera o algunos de estos scanners para detectar Malware

Prueba varios de ellos con el fin de encontrar problemas. Puede ser que algunos de esos plugins detecten falsos positivos.

#7 Revisa la Base de Datos

Asegurate de cambiar el prefijo de la base de datos y de revisar las tablas en busca de código malicioso.

Las tablas de wordpress por default son 12. Los plugins agregan más. Esto requiere una intervención manual.

Puedes borrar tablas de plugin que hayan sido borrados.

#8 Refuerza la Seguridad y Monitorea tu Sitio

Una vez que el proceso ha terminado debes de monitorear tu sitio para asegurarse que todo esta bien.

All In One WP Security and Firewall tiene la opción de revisar el cambio en los archivos de instalación.

Hay plugins de auditoría que puedes usar para detectar cambios e implementa medidas de seguridad

Pensamientos sobre el Proceso de Limpieza

Estos son algunos pensamientos sobre le proceso de limpieza de un sitio.

  • Una de mis recomendaciones es tratar de reducir el número de plugins de ser posible porque eso facilita el proceso de limpieza.
  • Una limpieza de la base de datos puede acelerar el proceso de limpieza. Por lo general las tablas de la base de datos tiene contenido que no es útil ya que los plugin que crearon algunas tablas o filas pudieron haber sido borrados hace mucho tiempo atrás.
  • Hay personas que limpian un sitio de wordpress hackeado sin borrar muchos archivos o se toman tiempo para ir buscando el código malicioso basándose en la última modificación o al ver el código, sin embargo borrar lo que se pueda borrar y concentrarse en algunos pocos archivos da un poco más de alivio.
  • Si realizas estos pasos y crees que esto se te escapa de tus manos, trata de contratar un servicio profesional de limpieza de malware o un experto de wordpress de tu confianza.

Limpiar un sitio de wordpress de un Hackeo se puede hacer con enfoques distintos por lo que no hay que juzgar una forma sobre otra si el resultado es efectivo.

Si usas un hosting pésimo que no tiene medidas para prevenir la contaminación cruzada de sitios en un servidor, eso implica otras decisiones.

Si no quieres deshacerte de tus plugins y temas piratas, no hay nada que hacer. Ya tu sitio es blanco de un hacker o de varios.