Remover Backdoors de tu Sitio WordPress

La seguridad de WordPress es un tema bastante interesante, uno de los temores que los administradores de sitios temen es la presencia de un backdoor.

Un backdoor es método secreto para ganar acceso al escritorio de WordPress que le permite al hacker evitar todo método de autenticación.

Los backdoors son especiales para los hackers porque éstos les permiten entrar o tener acceso a los sitios a pesar que las vulnerabilidades que permitieron el hackeo en primer lugar han sido arregladas.

Si yo creyera que hay un backdoor en mi sitio, uno de los primeros pasos que seguiría es tratar de impedir el acceso al escritorio a  cualquier otra persona que no sea yo.

Esto se puede lograr por medio de las reglas de cortafuegos de CloudFlare. Hay diferentes reglas que puedes implementar:

  • La regla más útil en estos casos es la regla que bloquea todo acceso a los archivos .php con excepción de la dirección IP que especifiques. Debido a que mis sitios no requiere que los usuarios inicien sesión, yo puedo restringir el acceso al sitio a cualquier persona que no sea yo. 
  • La segunda regla puede impedir acceso al escritorio a cualquier persona que no tenga una dirección IP que pertenezca a tu país.

Con el bloqueo de los archivos .php por país nadie podrá tener acceso a esos archivos, inclusive si esos archivos fueron agregados por un hacker.

La segunda opción es un poco menos segura pero si crees que el hacker no esta en tu país o no esta usando una IP de tu país, puedes impedir que cualquier visitante pueda acceder cualquier archivo .php.

El bloqueo de archivos .php implica que una persona no podrá acceder a tu escritorio aunque esta tenga tus credenciales por lo que esto te permitirá trabajar en el sitio sin pensar que el Hacker puede volver a estropear tu sitio.

Cambios de Credenciales

Una vez que eso ha sido hecho, debes de cambiar la claves de todo lo que este asociado a ese sitio, me refiero a clave de tu correo, de tu proveedor de hosting, de la base de datos, de las cuentas FTP.

Una de las ventajas de usar un servicio de hosting bueno como el de Cloudways es que puedes bloquear el acceso a la base de datos y al FTP por medio de IP.

Destruir el Backdoor

Yo no voy a buscar un backdoor que no se como luce, lo interesante de los backdoors es que estos no son detectados en ocasiones por los detectores de Malware.

#1 Hacer un Respaldo y Tener una Copia de WordPress a la mano

El procedimiento es sencillo haz un respaldo de tu sitio y descargalo a tu computadora

Ahora descarga una copia de WordPress directamente de WordPress.org, una vez que tengas eso, entra a tu sitio usando FileZilla.

#2 Borrar Archivos que no son parte de la Instalación

Estando en la instalación de tu sitio, procede a borrar todos los archivos que no sean parte de la instalación de WordPress.

Borra un archivo a la vez y revisa que la web este aun funcionando, si deja de funcionar solo debes copiarlo del respaldo y ponerlo en su lugar.

La instalación debe de quedar así:

Limpiar Sitio de WordPress Hackeado

#3 Sustituir Archivos de Instalación por Originales

Si tu instalación de WordPress luce así, ahora debes sustituir, los archivos y la carpetas por archivos de WordPress originales con excepción de la carpeta wp-content y el archivo wp-config.

Yo lo que hago es subir las carpetas o archivos con un nombre como wp-admin_360 y wp-includes_360

Después borro las viejas carpetas y cambio el nombre de wp-admin_360 y wp_includes_360 a wp-admin y wp_includes respectivamente.

Con ese remplazo ya te aseguraste que el problema esta en la carpeta wp-content y el archivo wp-config.

#4 La Carpeta wp-content/plugins

Esta carpeta simplemente no la podemos borrar ya que tiene el tema del sitio y los plugins.

Así luce una capeta de wp-content original

Sin embargo encontrarás tambien la carpeta uploads donde están las fotos y algunas otras dependiendo de los plugins que tengas instalados.

Estando en esa carpeta cambia el nombre de la carpeta plugins por plugins_off, crea una carpeta nueva que se llama plugins y vea tu sitio de wordpress e instalo de nuevo todos los plugins desde el repositorio y los premiums desde el sitio de los desarolladores.

#5 La Carpeta wp-content/themes

Ahorra debes de revisar el tema de tu sitio, puedes bajar wp-cerber para que revise si el tema luce exactamente igual al que esta en el repositorio de WordPress o sube una copia si es premium para que wp-cerber pueda contrastar el instalado contra el original.

Si el tema no tiene nada de especial, cambia el tema, borro el tema que esta en duda y lo vuelves a instalar y activar.

#6 Revisa el Resto de Archivos

Esto toma algo de tiempo porque debes revisar el resto de carpetas que esten en wp-content que no sea la carpeta de wp-plugins y wp-themes.

Esto requiere algo de experiencia ya que hay que ver si hay cosas que no deberían estar ahí.

En ocasiones hay carpetas de plugins que ya fueron desinstalados, enfocate en los archivos .php que esten en estos.

#7 Revisa y Limpia la Base de Datos

Ahora debes revisar la base de datos en busca de algo anómalo, este proceso requiere algo de experiencia.

Aprovecha para borrar tablas de plugins no usados en el sitio.

#8 Monitorea y Refuerza la Seguridad del Sitio

Instala algunos plugins para detectar Malware, haz respaldos y observa el comportamiento del sitio.

¿Necesitas Ayuda?

Si crees que esto se sale de las manos, mándame un mensaje por el messenger de WP.

Yo podría valorar el problema y limpiarlo.