El malware puede arruinar su sitio web. No solo puede insertar anuncios o redirigir a los usuarios a un sitio diferente, sino que también puede poner su sitio en la lista negra de los motores de búsqueda y otros servicios en línea. Afortunadamente, el malware generalmente se codifica en un archivo como dentro de una base de datos, en un complemento o en un tema que se puede eliminar fácilmente. En este artículo, veremos cómo limpiar un sitio web de WordPress pirateado o infectado. Sigue leyendo:

Ejemplo de malware: redireccionamiento

Ejemplo de redirección de malware

Aquí hay un ejemplo de un sitio web infectado por malware. Este tipo de malware se llama redireccionamiento. Cuando el visitante intenta visitar el sitio, es redirigido a un sitio web diferente que le informa que tiene spyware, virus, etc., en un intento de venderle un software que supuestamente limpiará el malware de su computadora. Parece una advertencia oficial de Microsoft o de una compañía confiable, pero es falsa.

Ejemplo de malware redirigir 2

Aquí está el sitio real. En este caso, solo tiene que visitar la URL nuevamente y le permitirá acceder al sitio web real (aunque infectado). Este malware en particular no es una amenaza para su computadora, el sitio al que lo redirigió solo está tratando de asustarlo para que instale algún malware, bajo la apariencia de anti-malware, que podría ser un problema real si lo descarga e instala.

Cómo limpiar un sitio web de WordPress pirateado o infectado

Estos son los pasos para verificar y limpiar el sitio de malware.

1. Identificar el tipo de infección

Identificar el tipo de infección.

Use un escáner, como Sucuri Site Check , para obtener información sobre el sitio. Muestra que el sitio tiene malware y que está en la lista negra. Muestra las carpetas donde se encuentra el malware. Haga clic en los enlaces para ver más información. En este ejemplo, la entrada de malware es una redirección.

Identificar el tipo de infección 2

Haga clic en Más detalles para ver el guión. Esto proporciona información que puede usar para solucionar problemas. Por ejemplo, puede usar la URL de la secuencia de comandos y buscar en la base de datos para encontrar la secuencia de comandos y eliminarla.

Abra cada uno de los detalles para obtener tanta información como sea posible. Este ejemplo muestra una cookie que agrega otra URL para verificar.

La información de la lista negra muestra qué sitios han incluido en la lista negra su sitio web. En este ejemplo, está en las listas Norton y Yandex. Una vez que haya limpiado su sitio de todo el malware, puede hacer clic en Solicitar eliminación de lista negra si desea pagarle a Sucuri para que se lo envíe para su reevaluación. De lo contrario, cada sitio tiene su propio método que puede encontrar para enviar su sitio para una reevaluación gratuita.

2. Evaluar la situación de seguridad actual de WordPress

Evaluar la situación de seguridad actual de WordPress

Inicie sesión en el sitio web de WordPress. En este caso, hay muchas actualizaciones disponibles. WordPress no resalta la versión actual, por lo que puede ser difícil saber qué tan desactualizada está. Encontrará la versión actual en el panel de control en la ventana Resumen .

En este caso, el sitio ejecutaba un complemento de seguridad, pero es posible que no se haya configurado o actualizado. Incluso los complementos de seguridad pueden tener vulnerabilidades y los hackers pueden explotarlos si los complementos no se actualizan.

3. Determine cómo se configura WordPress

Inicie sesión en el cPanel de su host o en su cuenta FTP y vea los archivos. Este es el cPanel para HostMonster. La mayoría de los hosts tienen su propio diseño para cPanel, pero las herramientas y características funcionarán de la misma manera. En cPanel, seleccione Administrador de archivos .

Determine cómo se configura wordpress

A continuación, determine dónde se almacenan los archivos para este sitio web en particular. En este caso, hay tres posibles sitios web para este dominio.

Si hay varios sitios WP, busque la carpeta y la base de datos correctas

Para determinar a qué carpeta en cPanel pertenece este sitio, vaya a phpMyAdmin en cPanel. Lo encontrará en Herramientas de base de datos o puede buscarlo.

Determine cómo se configura WordPress 2

La lista de bases de datos aparece en la ventana izquierda. Abra una de las bases de datos y luego abra la tabla wp_options . Esto abre los archivos para que pueda verificar el dominio asociado con los archivos. Este tiene el dominio y el nombre del sitio correctos, pero puede que no sea el sitio activo. Verifique el resto de las bases de datos e identifique todas las bases de datos asociadas con el sitio.

Determine cómo se configura WordPress 3

Para ayudar a localizar la base de datos correcta, vaya al sitio de WordPress y busque cosas que coincidan entre el sitio y la base de datos. Por ejemplo, vea si el eslogan coincide con el sitio en vivo.

Determine cómo se configura WordPress 4

Regrese a cPanel (o FTP y navegue a los mismos archivos). Compruebe el sitio en la ubicación public_html primero. Seleccione y edite el archivo wp_config.php. Busque el nombre de la base de datos. En este ejemplo, coincide con la base de datos que ya hemos determinado que no es el sitio en vivo. Esta versión del sitio es una responsabilidad ya que no se ha actualizado y, por lo tanto, es probable que sea vulnerable. Debe eliminarse del servidor.

Si aún no está seguro de tener la base de datos correcta, cambie el eslogan en el sitio en vivo. Esto se escribirá en la base de datos y la base de datos en vivo se identificará fácilmente. Todas las demás bases de datos y carpetas asociadas deben eliminarse.

En este punto, no sabemos qué archivos deberían estar aquí y cuáles no. En nuestro ejemplo, este archivo de WordFence podría no ser un archivo legítimo. Cada archivo deberá analizarse o eliminarse. Es mejor eliminarlos e instalar versiones nuevas de los complementos.

Usando FTP

Alternativamente, puede usar FTP para acceder a los archivos. En su cPanel, seleccione FTP y configure una nueva cuenta FTP.

Usando ftp

Luego, use un cliente FTP como Transmitir para Mac, como se ve arriba. Esto muestra la misma estructura de archivos que verá usando cPanel. Para ver todo lo que necesita, encienda los archivos ocultos.

4. Reemplace los complementos con una copia limpia o alternativa

Comience eliminando los complementos antiguos y obteniendo nuevas copias. Los complementos antiguos pueden tener agujeros de seguridad que proporcionan puertas traseras para los hackers. Al eliminarlos, se elimina la carpeta en sí, incluido cualquier malware que pueda estar en la carpeta. Vuelva a instalar los que el sitio necesita. Además, busque mejores complementos. Asegúrese de verificar los complementos para detectar vulnerabilidades conocidas.

Reemplace los complementos con una copia limpia o alternativa

Haga clic en el enlace Ver detalles para cada complemento en su lista de complementos para ver cuándo se actualizaron por última vez. En este caso, este complemento se actualizó hace 7 años. Es mejor no usar complementos que no se hayan actualizado en más de un año o dos. Eliminar todos los complementos anteriores. Esto eliminará parte de la funcionalidad del sitio, pero es mejor reemplazar esas características con complementos más nuevos.

Incluso para los complementos actualizados recientemente, la mejor práctica es actualizarlos para que se realicen los cambios en la base de datos que forman parte de la actualización. Luego descargue una copia nueva de WordPress.org o de donde provenga el complemento. Ahora vaya al administrador de archivos de su host o su cliente FTP y elimine la carpeta de complementos. Luego cargue la copia nueva del complemento para reemplazarlo.

5. Reemplazar temas de WordPress con copias limpias

Los temas desactualizados también pueden contener puertas traseras que los hackers pueden usar. Verifique si el tema actual se ha actualizado. Elimine todos los temas que el sitio no esté utilizando. Elimine el tema que usa el sitio y cargue una copia nueva para asegurarse de que no haya archivos infectados ocultos en la carpeta del tema. Asegúrese de hacer una copia de seguridad de todos los archivos de temas, diseños, personalizaciones, etc. antes de eliminar el tema.

Reemplazar temas de wordpress con copias limpias

Haga clic en el enlace dentro de los detalles del tema para ver cuándo se actualizó por última vez. En este caso, el sitio web para el desarrollador del tema ya no existe. Eliminar todos los temas antiguos. Si el tema actual no tiene una actualización, reemplácelo con uno de los temas predeterminados más recientes en el repositorio de WordPress.

Para cualquier tema que conserve, es mejor descargar una copia limpia de la última versión. Luego, al igual que con los complementos, elimine la carpeta a través del Administrador de archivos o FTP y cargue la nueva copia limpia en su lugar. De esta manera, sabrá que todos los archivos están limpios para ese tema y no han sido inyectados con malware.

6. Reemplace WordPress Core con una copia limpia y limpie otros archivos

Reemplace el núcleo de WordPress con una copia limpia, limpie otros archivos

Abra cada uno de los archivos para asegurarse de que realmente los necesita. Elimina todo lo que no necesites. Abra el archivo .htaccess y asegúrese de que el archivo esté limpio. El malware generalmente no escribe en el archivo .htaccess, pero es posible y puede causar mucho daño al sitio. Puede obtener un código limpio de WordPress.org para volver a pegarlo en el archivo de su sitio. Deje la carpeta wp-content intacta ya que no desea eliminar todos sus complementos, temas y archivos multimedia.

Revise cada una de las carpetas de WordPress para ver si hay algún archivo que no debería estar allí. Verifique las carpetas de contenido de wp, como complementos, temas y cargas, para archivos PHP, JS, .htaccess, etc. La mayoría de los hosts tienen carpetas como conocidas, cuarentena y cgi-bin. Si no está seguro de si estas carpetas deberían estar allí, consulte con su host para ver si son normales.

Reemplace el núcleo de WordPress con una copia limpia, limpie otros archivos 2

Abra una copia nueva del archivo wp-config.php en un editor de texto. Esto puede ser desde una copia de seguridad o desde la versión descargada de WordPress. Copie la configuración de conexión de la base de datos y el prefijo de la tabla y péguelo en un nuevo archivo wp-config para cargar.

Si ha confirmado que el archivo está limpio, puede cargar todo el archivo y realizar los cambios que necesita para las claves de autorización. Una vez que se cargan todos los archivos, el sitio debería funcionar.

7. Limpiar la base de datos

Limpiar la base de datos

Verifique la base de datos en busca de archivos infectados. Puede hacerlo manualmente o instalando un escáner como WordFence . Es una buena idea usar ambos, solo para asegurarse de que la base de datos esté limpia. Un método puede atrapar algo que el otro pierde. El método manual se realiza en cPanel.

Primero, haz una copia de seguridad. En el Administrador de archivos , seleccione la pestaña Exportar . Elija el método y el formato de exportación. La configuración predeterminada debería estar bien. Si tiene problemas con su base de datos, puede importar el archivo y recuperar su configuración original.

Limpiar la base de datos 2

Vaya a la pestaña Estructura . Explore el resultado para ver qué se puede eliminar. Elimine cualquier archivo perteneciente a complementos que haya eliminado. Seleccione los archivos, haga clic en el cuadro desplegable Con seleccionados debajo de los archivos y elija Soltar . Aprobar la eliminación cuando se le solicite. Asegúrese de dejar todos los archivos normales de WordPress.

Limpiar la base de datos 3

Luego, seleccione la pestaña Buscar y ejecute una búsqueda de los archivos que vio en Sucuri Site Check o en los mensajes que WordPress pudo haber mostrado después de eliminar archivos.

Limpiar la base de datos 4

Seleccione Examinar para abrir el resultado en una nueva pestaña. El archivo wp_options es el más probable de los resultados de tener malware, ya que aquí es donde se almacenan los archivos de complementos.

Limpiar la base de datos 5

Revise cada uno de los archivos para ver qué se debe eliminar. Haga doble clic en el resultado para ver los detalles.

Si elimina el archivo incorrecto, es posible perder la configuración de un complemento. Asegúrese de buscar transitorios asociados con los archivos que ha eliminado. Por lo general, es seguro eliminar los transitorios, ya que son archivos temporales, pero asegúrese de que no formen parte de un proceso programado como con WooCommerce u otros complementos.

Revisa el sitio

Ahora es el momento de revisar el sitio nuevamente. Aquí están las cosas para verificar.

1. Recargar WordPress

Recargar wordpress

Vuelva a cargar el sitio web y verifique su versión de WordPress.

Recargar wordpress 2

La interfaz mostrará su nuevo tema (si lo cambió como lo hicimos aquí) y todo el contenido debería aparecer como se esperaba. Asegúrese de que no redirija a una página de advertencia. Además, cargue el sitio en modo de incógnito para que no esté usando caché e intente varios navegadores para asegurarse de que el sitio funciona como se esperaba.

2. Pruebe el sitio con Sucuri Site Check

Probar el sitio con la verificación del sitio sucuri

Verifique el sitio con el Sucuri Site Check . Debería mostrar No se encontró malware. Seguirá en la lista negra hasta que vuelva a enviar el sitio y se evalúe.

Inocula tu sitio contra futuras infecciones

Aquí hay algunos pasos más a seguir para garantizar que su sitio permanezca libre de malware.

Actualizar PHP

En su cPanel, verifique si el host está ejecutando una versión segura de php. Este host está ejecutando 5.6.40. Al momento de escribir esto, es seguro, pero deberá actualizarse a php 7.2. La versión actual puede romper algunos complementos antiguos, pero de todos modos debe actualizar a complementos nuevos.

Eliminar o limpiar otros sitios web

Realice copias de seguridad y elimine cualquier sitio web que no esté en uso. Estos sitios pueden infectarse con malware y el problema volverá. Si necesita conservar los sitios, realice el proceso de limpieza de cada sitio del servidor.

Instalar y configurar un complemento de seguridad

Instalar, configurar un complemento de seguridad

Asegúrese de instalar un complemento de seguridad de buena calidad. iThemes Security es una excelente opción. Es mejor configurar el complemento manualmente. Instálelo desde el depósito de WordPress y luego haga clic en Todos para ver las funciones. Aquí hay algunas configuraciones recomendadas.

Configuración global de seguridad de iThemes

  • Permita que iThemes Security escriba en los archivos wp-config y .htaccess.
  • Agregue su propia dirección IP a la lista blanca de bloqueo para asegurarse de que no se bloquee accidentalmente de su propio sitio.
  • Seleccione Solo archivo para el tipo de registro. Esto le permite escribir en un archivo en el servidor en lugar de agregarlo a la base de datos, lo que hace que la base de datos sea más rápida y funcione sin problemas.
  • Reduzca los días para mantener registros de archivos de 180 a 30 o 60 días.
  • Decida si desea permitir el seguimiento de datos anónimos.
  • Establezca Proxy Protection en Automatic.
  • Seleccione para ocultar el menú de seguridad en la barra de administración.

Centro de notificaciones

  • Desactiva las notificaciones por correo electrónico.
  • Establecer los destinatarios predeterminados.

Está bien deshabilitar la mayoría de las notificaciones ya que iThemes Security se encarga de la seguridad por usted. Aquí están el resto de las configuraciones que nos gusta usar:

  • Detección 404 : habilite la detección 404. Esto le permite prohibir a los usuarios que hayan intentado acceder a archivos que no están allí en un determinado número de minutos. Evita que los hackers intenten seguir intentando iniciar sesión o buscar vulnerabilidades en su sitio.
  • Usuario administrador : esto le permite cambiar el nombre de usuario administrador predeterminado, lo que hace que sea más difícil para los piratas informáticos y los bots que intentan iniciar sesión en el sitio porque no es el nombre de usuario predeterminado que ya conocen.
  • Modo ausente: el modo ausente le permite bloquear a los usuarios fuera del sitio durante ciertos momentos del día. Esto no se recomienda porque puede haber ocasiones en las que deba iniciar sesión durante esas horas y no pueda hacerlo.
  • Usuarios prohibidos : habilite la lista negra predeterminada.
  • Cambiar directorio de contenido : esto no se recomienda porque en realidad no es útil.
  • Cambiar el prefijo de la tabla de la base de datos: cambiar el prefijo de la tabla de la base de datos dificulta que los piratas informáticos y los robots tengan acceso a la base de datos.
  • Copias de seguridad de la base de datos : está bien deshabilitar las copias de seguridad de la base de datos si las está ejecutando en el nivel del servidor o si las está creando en otro lugar.
  • Detección de cambio de archivo : incluye una lista de archivos y detecta si esos archivos se han cambiado. También le permite agregar archivos a la lista.
  • Permisos de archivo : muestra el estado de los archivos y sugiere valores. Puede cambiar los valores de los archivos en cPanel o FTP.
  • Ocultar backend : esto le permite cambiar su ubicación de inicio de sesión para que no sea tan fácil de encontrar. Puede causar problemas con los complementos, por lo que deberá probarlo.
  • Protección de fuerza bruta local : esto prohíbe a cualquiera que realice múltiples intentos fallidos de iniciar sesión. Evita que alguien pruebe miles de contraseñas hasta que obtenga la correcta.
  • Protección de la fuerza bruta de la red : esto también protege contra múltiples intentos fallidos de iniciar sesión, pero envía la información a iThemes para crear una base de datos de qué usuarios bloquear en todos los sitios.
  • Requisitos de contraseña : aplica ciertos requisitos para garantizar que los usuarios tengan contraseñas seguras.
  • SSL : esto obliga a SSL a que las comunicaciones entre su servidor y el navegador del visitante sean seguras. Habilítelo si tiene un certificado SSL instalado y su host no fuerza el SSL.
  • Ajustes del sistema : son ajustes avanzados para proteger los archivos del sistema, deshabilitar la exploración de directorios, deshabilitar PHP en la carpeta de cargas y mucho más. Pruebe cada uno para asegurarse de que no está rompiendo algo en su sitio.
  • Ajustes de WordPress : esto le permite deshabilitar las funciones de WordPress que no está utilizando. Puede eliminar el encabezado de Windows Live Writer, eliminar el encabezado RDS, reducir el spam de comentarios, deshabilitar el XML-RPC, etc.
  • Sales de WordPress : esto cambia automáticamente las sales de WordPress. Estas son las claves en su archivo wp-config. Alternativamente, puede crear sus propias sales de WordPress para agregar al archivo wp-config manualmente. Vaya al generador de sal de WordPress.org y copie y pegue las claves en su archivo.

Nombre de usuario y contraseña de la base de datos

Agregue un nuevo usuario para que tenga un nuevo nombre de usuario y contraseña. Vaya a su base de datos MySQL en el cPanel y encuentre su base de datos.

Nombre de usuario y contraseña de la base de datos

Cree un nuevo usuario y agréguelo a la base de datos.

Nombre de usuario y contraseña de la base de datos 2

Dales todos los privilegios.

Nombre de usuario y contraseña de la base de datos 3

En el archivo wp-config, cambie el nombre de usuario y la contraseña.

Nombre de usuario y contraseña de la base de datos 4

La base de datos ahora tiene dos usuarios. Revocar los privilegios del antiguo nombre de usuario. Eliminar el antiguo nombre de usuario.

Pensamientos finales

Esa es nuestra mirada sobre cómo limpiar un sitio web de WordPress pirateado o infectado. Esto corrige la mayoría de los hacks que verás con los sitios web de WordPress. No es tan difícil, pero lleva tiempo seguir los pasos.

Esto no pretende ser un tutorial exhaustivo, por lo que es posible infectarse en un nivel más profundo dentro del servidor que lo que se cubre aquí. Esto limpia todo a nivel de WordPress. Todavía es posible tener código malicioso dentro de la pila de software del servidor. Aunque eso es menos común en estos días porque WordPress es muy popular y cada vez más hosts utilizan diferentes paquetes de software y medidas de seguridad para proteger el servidor.

También podría considerar usar algo que escanee la base de datos como WordFence. Si esto no resuelve su problema de piratería, deberá trabajar con su host para profundizar. Deben poder escanear la base de datos y el servidor por usted.

Randy Brown

Randy A. Brown es un escritor independiente del este de TN que se especializa en WordPress y comercio electrónico.

0 comentarios “¿Cómo limpiar un sitio web de WordPress pirateado o infectado por malware?”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Related Posts

Crear Tienda Web

Cómo las tarifas publicitarias varían según la categoría en Amazon

Cómo las tarifas publicitarias varían según la categoría en Amazon Debe obtener una comprensión profunda de los términos de búsqueda de Productos Patrocinados y Marcas Patrocinadas desde una perspectiva de volumen y margen para ofertar Leer Más...

BigData

Los nuevos KPI que un gerente de retail debe conocer en el mundo post COVID-19

Antes que nada quiero disculparme con mis lectores porque he estado sin escribir mucho tiempo involucrado en diversos proyectos, prometo mantener la regularidad de ahora en adelante. Para empezar el artículo creo que ya se Leer Más...

Crear Tienda Web

Impacto de COVID-19 en el comercio electrónico: 4 formas de adaptar su estrategia digital

COVID-19 ciertamente ha tenido un impacto en el comercio electrónico en las últimas semanas, ahora que se han implementado medidas de aislamiento y distanciamiento social. Se ha pedido a los trabajadores de muchos países infectados Leer Más...