Cómo Limpiar un Sitio de Wordpress Hackeado

En este publicacioń voy a reunir los mejores consejos para limpiar tu sitio de wordpress hackeado.

Un sitio de wordpress puede ser que tenga muchas vulnerabilidades por:

  • La pobre o cero implementación de consejos de seguridad.
  • Usar plugins y temas de dudosa procedencia.
  • Usar servidor compartido con usuarios que no siguen prácticas de seguridad.
  • Una vulnerabilidad de día cero.

Estos consejos te pueden ayudar a entender mucho más del proceso de limpieza de tu sitio de Wordpress hackeado.

Lo que Debes Saber antes de Limpiar un Sitio

Estas son cosas que debes saber antes de limpiar tu sitio

  • Si usas un tema de procedencia dudosa, tiene que ser removido por lo que debes valorar comprar el tema directamente de los desarolladores y no de oportunistas.
  • Los plugins que son de dudosa procedencia deben ser reemplazados por plugins comprados directamente de los desarrolladores o instalar plugins gratuitos con funciones similares.
  • Debes tener acceso a tu instalación de wordpress por medio de FTP. En tu panel de hosting, puedes encontrar esos credenciales.
  • Debes descargar el archivo de instalación de wordpress más reciente desde wordpress.org
  • Si tratas de revisar los archivos que fueron cambiados recientemente, ten presente que el hack puede ser tan bueno que muchos de los archivos insertados en tu instalación de wordpress pudieron haber sido preparados para dar la impresión que no hay reciente cambios en ellos.
  • En ocasiones restaurar un respaldo no es una buena solución debido a que el hacker pudo haber tenido acceso al sitio y decidió esperar algunas semanas para realizar el ataque que es visible al administrador y a los usuarios.
  • Instala una extensión que bloquee los scripts para no infectar tu computadora mientras limpias tu sitio.
  • Escanea tu computadora en busca de un Keylogger que podría estar registrando todo lo que escribes en tu computadora.
  • Pensar que la solución es simplemente remover los problemas visibles es lo más insensato que puedes hacer.

Pasos para Limpiar un Sitio de Wordpress Hackeado

Estos son los pasos que debes de seguir para volver tu sitio a la normalidad partiendo del hecho que no tienes un respaldo para restaurar tu sitio a un punto seguro.

Recuerda que los pasos pueden variar de acuerdo la situación.

#1 ¿Cómo Saber si mi Sitio ha sido Hackeado?

Lo primero que debes saber es si tu sitio realmente ha sido hackeado y estos son algunos de los indicadores:

  1. El buscador de Google le dice a los usuarios que el sitio contiene código malicioso y que puedes ser víctima de un ataque de phishing.
  2. Tu proveedor de hosting ha suspendido tu cuenta por lo que el sitio no es visible al público.
  3. Google Search console indica que malware fue encontrado en tu sitio.
  4. Tu scanner de Malware ha detectado que tu sitio se encuentra comprometido
  5. Tu sitio redirecciona a otro sitio.
  6. Tiene entradas y enlaces de Spam en tu sitio.
  7. No puedes entrar a tu sitio.
  8. Usuarios fueron creados sin tu consentimiento.

#2 Realizar un Respaldo de tu Sitio

Una vez que estás seguro que tu sitio ha sido hackeado debes de hacer un respaldo de tu sitio.

Un respaldo del sitio te sirve en caso que:

  • Borres un archivo o una carpeta accidentalmente.
  • Quieras ver detalles anómalos en los archivos de la instalación de WordPress.

#3 Identificar la Vulnerabilidad que Usó el Hacker

Si ya restauraste el sitio con un respaldo, debes pensar que permitió que te hackearan.

Hazte estas preguntas antes de seguir:

Plugins

  1. ¿Tienes plugins desactualizados?
  2. ¿Tienes plugins de dudosa procedencia o nulos?
  3. ¿Tienes plugins que tienen una vulnerabilidad tipo cero?

Temas

  1. ¿Usas un tema de wordpress desactualizado?
  2. ¿Usas un tema de wordpress de dudosa procedencia?
  3. ¿Tienes temas sin usar en el sitio?
  4. ¿Tienes un tema que tienen una vulnerabilidad tipo cero?

Hosting y Wordpress

  1. ¿No has actualizado wordpress a la versioń más reciente?
  2. ¿Tu hosting no usa una versión reciente de PHP?
  3. ¿La versión de tu base de datos está desactualizada?
  4. ¿Tu hosting no implementa reglas de seguridad a nivel del servidor?
  5. ¿Estas usando hospedaje web compartido que permite la contaminación de sitios?
  6. ¿Estaba el archivo xmlrpc.php expuesto a ataques?

Contraseñas

  1. ¿Cuando cambiaste la contraseña de Wordpress?
  2. ¿La contraseña de tu hosting es difícil de descifrar?
  3. ¿La contraseña de tu base de datos es difícil de descifrar?
  4. ¿La contraseña de acceso SFTP es difícil de descifrar?
  5. ¿El correo asociado con tu cuenta de hosting tiene una contraseña compleja?
  6. ¿Usas protección de dos factores cuando puedes en tus cuentas?

Puede ser que el hackeo haya sido causado por otro motivo pero esa es una buena lista para empezar.

Determinar lo que causó el problema puede prevenir subsecuentes hackeos del sitio.

#4 Plugins de Detección de Malware

En este punto, puedes usar algunos de los mejores plugins de detección de Malware y esperar que uno o algunos de ellos encuentren los archivos infectados.

Yo recomendaría usar WordFence y borrar los archivos que contengan software malicioso en caso que sean archivos ajenos a la instalación.

En caso que los archivos sean parte importante de la instalación puedes reemplazar el archivo infectado por un archivo original usando Filezilla u otro gestor de archivos de tu preferencia.

#5 Reemplazar los Archivos de Wordpress que Puedas

Limpiar Sitio de Wordpress Hackeado

Si crees que lo anterior no ha sido suficiente, empieza con la tarea de reemplazar los archivos de tu instalación de wordpress.

Debido a que revisar todos los archivos puede ser una tarea abrumadora, debes tratar de reemplazar cuánto archivo puedas sin comprometer la seguridad y funcionalidad de tu sitio.

  • El segundo paso que debes seguir es acceder a los archivos de tu aplicación de wordpress usando FileZilla con tus credenciales SFTP.
  • El tercer paso es hacer un respaldo de los archivos que están en el folder Public_HTML en caso de que algo salga mal.
  • El Cuarto paso es descomprimir el archivo original descargado de Wordpres.org y contrastar los archivos de una instalación nueva de wordpress con los archivos de la instalación de tu sitio usando FileZilla
  • El Quinto Paso es borrar todos los archivos de tu instalación con la excepción de wp-content ya que tu contenido como plugins y temas se encuentra ahí. Tampoco debes borrar el archivo wp-config.php 
  • El sexto paso es cambiar esos archivos de tu sitio por las versiones originales de la instalación de Wordpress que descargaste.

Ya con esto reduces la presencia de Malware a una carpeta (wp-content), a un archivo (wp-config) y a la base de datos.

#6 Detectar Malware en los Plugins

Los plugins se encuentran en la carpeta de wp-content y están intactos hasta el momento. Pueden estar infectados o no

Haz un inventario rápido de los plugins del sitio y valora si deseas:

  • Borrar la carpeta de los plugins y crear una nueva con el mismo nombre e instalar la versión más actualizada de cada uno de los plugins gratuitos y premium.
  • Reinstalar los plugins gratuitos y premium de forma manual.
  • Revisar los plugins con algún plugin de detección de Malware.

Examinar los plugins de forma manual es un tarea igual de abrumadora que revisar la instalación

#7 Detectar Malware en los Temas de Wordpress

Ahora con una gran parte de archivos reemplazados y con la actualización/revision de los plugins y tu sitio de wordpress operando

  1. Borras los temas que no estés usando.
  2. Instala la versión más reciente del tema de manera manual

Los archivos de tu sitio han sido reemplazados en su mayoría por versiones originales.

#8 Revisa la Base de Datos

Asegurate de cambiar el prefijo de la base de datos y de revisar las tablas en busca de código malicioso.

Las tablas de wordpress por default son 12. Los plugins agregan más. Esto requiere una intervención manual.

Realizar esta tarea sin saber cómo realizar búsquedas en la base de datos es una tarea prácticamente imposible.

#9 Refuerza la Seguridad y Monitorea tu Sitio

Una vez que el proceso ha terminado debes de monitorear tu sitio para asegurarse que todo esta bien.

All In One WP Security and Firewall tiene la opción de revisar el cambio en los archivos de instalación.

Hay plugins de auditoría que puedes usar para detectar cambios e implementa medidas de seguridad

Pensamientos sobre el Proceso de Limpieza

Estos son algunos pensamientos sobre le proceso de limpieza de un sitio.

  • Una de mis recomendaciones es tratar de reducir el número de plugins de ser posible porque eso facilita el proceso de limpieza.
  • Una limpieza de la base de datos puede acelerar el proceso de limpieza. Por lo general las tablas de la base de datos tienen contenido que no es útil ya que los plugins que crearon algunas tablas o filas pudieron haber sido borrados hace mucho tiempo atrás.
  • Hay personas que limpian un sitio de wordpress hackeado sin borrar muchos archivos o se toman tiempo para ir buscando el código malicioso basándose en la última modificación o al ver el código, sin embargo borrar lo que se pueda borrar y concentrarse en algunos pocos archivos da más de alivio.
  • Si miras estos pasos y crees que esto se te escapa de tus manos, trata de contratar un servicio profesional de limpieza de malware o un experto de wordpress de tu confianza.
  • Limpiar un sitio de wordpress de un Hackeo se puede hacer con enfoques distintos por lo que no hay que juzgar una forma sobre otra si el resultado es efectivo.
  • Si usas un hosting pésimo que no tiene medidas para prevenir la contaminación cruzada de sitios en un servidor, eso implica otras decisiones.
  • Si no quieres deshacerte de tus plugins y temas piratas, no hay nada que hacer. Ya tu sitio es blanco de un hacker o de varios.

Más Sobre Seguridad de WordPress

Estas son algunas publicaciones sobre la seguridad de WordPress

  1. Seguridad de Wordpress sin Plugins: 8 Pasos
  2. Bloquear Direcciones IP por Seguridad: ¿Una Locura?
  3. Remover la Opción para Recuperar Contraseñas en Wordpress
  4. Vulnerabilidad del Día Cero en Wordpress
  5. 9 Errores Comunes de Seguridad en Wordpress
  6. ¿Actualizar o no Actualizar Wordpress?
  7. Plugins y Temas GPL: ¿Puedo Usarlos?

Sobre Jose manuel

Soy José Manuel, empecé un blog en el 2011 como un pasatiempo y para hacerlo en mis clases y poco a poco, me enamoré de WordPress. Espero que algo de todo lo que he escrito te sirva de ayuda.

RevistaWP

RevistaWP es un sitio donde registro mis pensamientos y descubrimientos sobre todo lo que sucede dentro del mundo WordPress

Contacto

Puedes contactarme por medio de los siguientes canales