Cómo limpiar un WordPress Hackeado Imprimir

  • wordpress, paginaweb, pagina web segura, corta fuergo, antivurus, hack, hackeado, hackeada, proteger
  • 26

Cómo limpiar un hack de WordPress

Pasos para eliminar malware, spam y otros hacks de WordPress

Sucuri ha dedicado años a ayudar a los administradores de WordPress a identificar y solucionar sitios web pirateados. Para continuar con este proceso, hemos elaborado esta guía para ayudar a los propietarios de sitios web a recorrer el proceso de identificación y limpieza de un truco de WordPress. Esto no pretende ser una guía que lo abarque todo, pero si se sigue, debería ayudar a abordar el 70% de las infecciones que vemos.

Paso 1
Identificar Hack

1.1 - Escanee su sitio

Puede usar herramientas que escanean su sitio de forma remota para encontrar cargas maliciosas y ubicaciones de malware. Sucuri tiene un plugin gratuito de WordPress que puedes encontrar en el repositorio oficial de WordPress.

Para escanear WordPress en busca de hacks:

  1. Visite el sitio web SiteCheck .
  2. Haga clic en Escanear sitio web.
  3. Si el sitio está infectado, revise el mensaje de advertencia.
  4. Tenga en cuenta cualquier carga útil y ubicación (si está disponible).
  5. Tenga en cuenta las advertencias de la lista negra.

Si el escáner remoto no puede encontrar una carga útil, continúe con otras pruebas en esta sección. También puede revisar manualmente la pestaña iFrames / Links / Scripts del Análisis de malware para buscar elementos desconocidos o sospechosos.

Si tiene varios sitios web en el mismo servidor, le recomendamos escanearlos todos (también puede usar SiteCheck para hacer esto). La contaminación entre sitios es una de las principales causas de reinfecciones. Alentamos a todos los propietarios de sitios web a aislar sus cuentas web y de hosting.

Ejemplo de resultados de escaneo

captura de pantalla del informe de resultados de la exploración de sitecheck

Nota

Un escáner remoto explorará el sitio para identificar posibles problemas de seguridad. Algunos problemas no se muestran en un navegador, sino que se manifiestan en el servidor (es decir, puertas traseras, phishing y scripts basados ​​en el servidor). El enfoque más completo para el escaneo incluye escáneres remotos y del lado del servidor . Obtenga más información sobre cómo funcionan los escáneres remotos.

Limpie su sitio web de WordPress pirateado y combata las amenazas en línea con nuestra potente plataforma de monitoreo y protección.

1.2 - Verifique la integridad del archivo principal

La mayoría de los archivos principales de WordPress nunca deben modificarse. Debe verificar los problemas de integridad en las carpetas wp-admin, wp-includes y root.

La forma más rápida de confirmar la integridad de sus archivos principales de WordPress es mediante el uso del comando diff en la terminal. Si no se siente cómodo utilizando la línea de comando, puede verificar manualmente sus archivos a través de SFTP.

Si no se ha modificado nada, sus archivos principales están limpios.

Nota

Es posible que desee utilizar un cliente FTP para comprobar rápidamente si hay malware en directorios como wp-content. Recomendamos usar FTPS / SFTP / SSH en lugar de FTP no encriptado.

1.3 - Revisar archivos recientemente modificados

 

Los archivos nuevos o modificados recientemente pueden ser parte del hack.

Puede identificar los archivos pirateados al ver si fueron modificados recientemente.

Para verificar manualmente los archivos recientemente modificados:

  1. Inicie sesión en su servidor usando un cliente FTP o terminal SSH.
  2. Si usa SSH, puede listar todos los archivos modificados en los últimos 15 días usando este comando:
    $ find ./ -type f -mtime -15
  3. Si usa SFTP, revise la columna de la última fecha de modificación para todos los archivos en el servidor.
  4. Tenga en cuenta los archivos que se han modificado recientemente.

Para verificar los archivos recientemente modificados usando comandos de terminal en Linux:

  1. Escriba su terminal:
    $ find /etc -type f -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
  2. Si desea ver los archivos del directorio, escriba su terminal:
    $ find /etc -printf '%TY-%Tm-%Td %TT %p\n' | sort -r .
  3. Las modificaciones desconocidas en los últimos 7-30 días pueden ser sospechosas.

1.4 - Ver páginas de diagnóstico

Si su sitio de WordPress ha sido incluido en una lista negra por parte de Google u otras autoridades de seguridad de sitios web, puede usar sus herramientas de diagnóstico para verificar el estado de seguridad de su sitio web.

Para consultar su Informe de transparencia de Google:

  1. Visite el sitio web de estado del sitio de navegación segura .
  2. Ingrese la URL de su sitio y busque.
  3. En esta página puedes verificar:
    • Detalles de seguridad del sitio: información sobre redirecciones maliciosas, correo no deseado y descargas.
    • Detalles de la prueba: la más reciente exploración de Google que encontró malware.

Si ha agregado su sitio a cualquier herramienta de webmaster gratuita, puede verificar sus calificaciones de seguridad y los informes de su sitio web. Si todavía no tiene cuentas para estas herramientas de monitoreo gratuitas, le recomendamos que se registre, ya que son gratuitas:

Paso 2
Eliminar Hack

Ahora que tiene información sobre ubicaciones de malware, puede eliminar el malware de WordPress y restaurar su sitio web a un estado limpio.

Consejo profesional:

La mejor forma de identificar los archivos pirateados es comparando el estado actual del sitio con una copia de seguridad antigua y limpia. Si hay una copia de seguridad disponible, puede usarla para comparar las dos versiones e identificar qué se ha modificado.

Nota

Algunos de estos pasos requieren acceso al servidor web y a la base de datos. Si no está familiarizado con la manipulación de las tablas de la base de datos o la edición de PHP, solicite ayuda de un miembro profesional del Equipo de respuesta a incidentes que pueda eliminar completamente el malware de WordPress.

2.1 - Limpiar archivos de sitios web pirateados

Si la infección está en sus archivos principales o complementos, puede solucionarlo manualmente, simplemente no sobrescriba su archivo wp-config.php o carpeta wp-content .

Los archivos personalizados se pueden reemplazar con copias recientes o una copia de seguridad reciente (si no está infectada). Aquí hay algunos consejos y trucos adicionales que puede usar con WordPress.

Puede utilizar cualquier carga útil maliciosa o archivos sospechosos encontrados en el primer paso para eliminar el pirateo.

Para eliminar manualmente una infección de malware de los archivos de su sitio web:

  1. Inicie sesión en su servidor a través de SFTP o SSH.
  2. Cree una copia de seguridad del sitio antes de realizar cambios.
  3. Identifica archivos recientemente cambiados.
  4. Confirme la fecha de cambios con el usuario que los cambió.
  5. Restaure los archivos sospechosos con copias del repositorio oficial de WordPress.
  6. Abra cualquier archivo personalizado o premium (no en el repositorio oficial) con un editor de texto.
  7. Elimine cualquier código sospechoso de los archivos personalizados.
  8. Prueba para verificar que el sitio sigue funcionando después de los cambios.

Precaución

Eliminar manualmente el código "malicioso" de los archivos de su sitio web puede ser extremadamente peligroso para la salud de su sitio web. Nunca realice ninguna acción sin una copia de seguridad . Si no está seguro, busque ayuda de un profesional.

2.2 - Limpie tablas de base de datos pirateadas

Para eliminar una infección de malware de la base de datos de su sitio web, use el panel de administración de su base de datos para conectarse a la base de datos. También puede usar herramientas como Search-Replace-DB o Adminer .

Para eliminar manualmente una infección de malware de las tablas de su base de datos:

  1. Inicie sesión en el panel de administración de su base de datos.
  2. Haga una copia de seguridad de la base de datos antes de hacer cambios.
  3. Buscar contenido sospechoso (es decir, palabras clave no deseadas, enlaces).
  4. Abra la tabla que contiene contenido sospechoso.
  5. Eliminar manualmente cualquier contenido sospechoso.
  6. Prueba para verificar que el sitio sigue funcionando después de los cambios.
  7. Elimine todas las herramientas de acceso a la base de datos que haya cargado.

Los principiantes pueden usar la información de carga proporcionada por el explorador de malware. Los usuarios intermedios también pueden buscar manualmente funciones PHP maliciosas comunes, como eval, base64_decode, gzinflate, preg_replace, str_replace, etc.

Ejemplo de escaneo de base

captura de pantalla de revisión de campo de ejemplo

Precaución

Tenga en cuenta que estas funciones también las usan los complementos por motivos legítimos, por lo que debe asegurarse de probar los cambios u obtener ayuda para no romper accidentalmente su sitio .

2.3 - Cuentas de usuario seguras

Si notó a usuarios desconocidos de WordPress, elimínelos para que los piratas informáticos ya no tengan acceso. Recomendamos tener solo un usuario administrador y establecer otras funciones de usuario con la menor cantidad de privilegios necesarios (es decir, colaborador, autor, editor).

Para eliminar manualmente usuarios sospechosos de WordPress:

  1. Haga una copia de seguridad de su sitio y base de datos antes de continuar.
  2. Inicie sesión en WordPress como administrador y haga clic en Usuarios.
  3. Encuentra las nuevas cuentas de usuario sospechosas.
  4. Desplácese sobre el usuario sospechoso y haga clic en Eliminar.

Si cree que alguna de sus cuentas de usuario se vio comprometida, puede restablecer sus contraseñas. Una de las formas de hacerlo es usar el plugin Sucuri.

2.4 - Eliminar puertas traseras ocultas

Los hackers siempre dejan una forma de volver a su sitio. La mayoría de las veces, encontramos múltiples puertas traseras de varios tipos en sitios pirateados de WordPress.

A menudo, las puertas traseras están incrustadas en archivos llamados similares a los archivos principales de WordPress, pero ubicados en los directorios incorrectos. Los atacantes también pueden inyectar puertas traseras en archivos como wp-config.php y directorios como / themes, / plugins y / uploads.

Las puertas traseras comúnmente incluyen las siguientes funciones de PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • ejecutivo
  • sistema
  • afirmar
  • stripslashes
  • preg_replace (con / e /)
  • move_uploaded_file

Estas funciones también se pueden usar legítimamente mediante complementos, por lo tanto, asegúrese de probar cualquier cambio porque podría romper su sitio eliminando funciones benignas.

La mayoría de los códigos maliciosos que vemos utilizan algún tipo de codificación para evitar la detección. Además de los componentes premium que usan codificación para proteger su mecanismo de autenticación, es muy raro ver la codificación en el repositorio oficial de WordPress.

Es fundamental que todas las puertas traseras estén cerradas para limpiar con éxito un truco de WordPress, de lo contrario su sitio se reinfecta rápidamente.

2.5 - Eliminar advertencias de malware

Si Google, Google, McAfee, Yandex (u otras autoridades de spam en la Web) lo incluyeron en la lista negra, puede solicitar una revisión una vez que se haya solucionado el problema.

Para eliminar advertencias de malware en su sitio:

  1. Llame a su empresa de alojamiento y pídales que eliminen la suspensión.
    • Es posible que deba proporcionar detalles sobre cómo eliminó el malware.
  2. Complete un formulario de solicitud de revisión para cada autoridad de la lista negra.
    • es decir. Google Search Console, McAfee SiteAdvisor, Yandex Webmaster.

Nota

Con la plataforma de seguridad del sitio web Sucuri, enviamos solicitudes de revisión de la lista negra en su nombre. Esto ayuda a garantizar que su sitio esté listo para su revisión. Sin embargo, algunas revisiones, como los ataques de spam en la Web como resultado de acciones manuales, pueden demorar hasta dos semanas.

Paso 3
Post-Hack

En este paso final, aprenderá cómo solucionar los problemas que causaron que WordPress sea pirateado en primer lugar. También realizará los pasos esenciales para mejorar la seguridad de su sitio de WordPress.

3.1 - Actualizar y restablecer la configuración

El software desactualizado es una de las principales causas de infecciones. Esto incluye su versión de CMS, complementos, temas y cualquier otro tipo de extensión. Las credenciales potencialmente comprometidas también deben reiniciarse para garantizar que no se vuelvan a infectar.

Actualizar el software de WordPress

Para aplicar actualizaciones manualmente en WordPress:

  1. Inicie sesión en su servidor a través de SFTP o SSH.
  2. Haz una copia de seguridad de tu sitio web y base de datos (especialmente contenido personalizado).
  3. Elimine manualmente los directorios wp-admin y wp-includes.
  4. Reemplace wp-admin y wp-includes utilizando copias del repositorio oficial de WordPress.
  5. Elimine y reemplace manualmente plugins y temas con copias de fuentes oficiales.
  6. Inicie sesión en WordPress como administrador y haga clic en Panel de control> Actualizaciones.
  7. Aplicar las actualizaciones faltantes.
  8. Abra su sitio web para verificar que esté operativo.

Actualice todo el software en su servidor (es decir, Apache, cPanel, PHP) para asegurarse de que no faltan parches de seguridad.

Precaución

  • Recomendamos eliminar y reemplazar manualmente los archivos centrales en lugar de usar la función Actualizar en el panel de wp-admin. Esto garantiza que todos los archivos maliciosos agregados a los directorios principales sean contabilizados. Puede eliminar los directorios principales existentes (wp-admin, wp-includes) y luego agregar manualmente esos mismos directorios principales.
  • ¡Tenga cuidado de no tocar wp-config o wp-content ya que esto romperá su sitio!

Restablecer contraseñas

Es fundamental que cambie las contraseñas de todos los puntos de acceso. Esto incluye cuentas de usuario de WordPress, FTP / SFTP, SSH, cPanel y su base de datos.

Debe reducir la cantidad de cuentas de administrador para todos sus sistemas. Practica el concepto de los menos privilegiados . Solo brinde a las personas el acceso que necesitan para hacer el trabajo que necesitan.

Nota

Todas las cuentas deben usar contraseñas seguras. Una buena contraseña se basa en tres componentes: complejidad, longitud y exclusividad. Algunos dicen que es muy difícil recordar múltiples contraseñas. Esto es verdad. ¡Por eso se crearon los administradores de contraseñas!

Generar nuevas claves secretas

Una vez que las contraseñas se restablecen, puede obligar a todos los usuarios a cerrar la sesión con nuestro complemento. WordPress utiliza cookies del navegador para mantener activas las sesiones de usuario durante dos semanas. Si un atacante tiene una cookie de sesión, conservará el acceso al sitio web incluso después de que se restablezca una contraseña. Para solucionar esto, recomendamos forzar a los usuarios activos a restablecer las claves secretas de WordPress.

Para generar nuevas claves secretas en el archivo wp-config.php:

  1. Abra el archivo wp-config.php de WordPress.
  2. Agregue un valor de más de 60 caracteres únicos para cada clave y sal.
  3. Puede usar una clave secreta generativa .
  4. Guarde el archivo wp-config.php.

Es recomendable volver a instalar todos los complementos después de un truco para garantizar que sean funcionales y estén libres de malware residual. Si tiene complementos desactivados, le recomendamos que los elimine de su servidor web.

  1. Inicie sesión en WordPress como administrador y vaya a Sucuri Security> Post-Hack.
  2. Ve a la pestaña Restablecer Complementos.
  3. Seleccione los complementos que desea reiniciar (se recomienda seleccionarlos todos).
  4. Haga clic en Procesar elementos seleccionados.

Nota

Los complementos Premium deberán reinstalarse manualmente ya que su código no está disponible en el repositorio oficial de WordPress.

3.2 - Harden WordPress

Endurecer un servidor o aplicación significa que usted toma medidas para reducir la superficie de ataque o los puntos de entrada para los atacantes. WordPress y sus complementos pueden ser más difíciles de piratear cuando sigue estos pasos.

Para endurecer WordPress, puedes usar el plugin Sucuri:

  1. Inicie sesión en WordPress como administrador y vaya a Seguridad de Sucuri> Endurecimiento .
  2. Revise las opciones para comprender lo que hacen.
  3. Haga clic en el botón Harden para aplicar recomendaciones.

Hay innumerables maneras de endurecer WordPress dependiendo de sus necesidades. Recomendamos revisar el Codex de WordPress si desea investigar métodos de fortalecimiento adicionales. Consulte la sección Firewall del sitio web a continuación para obtener más información acerca de cómo ofrecemos el parcheo virtual y el fortalecimiento.

Harden WordPress

endurecer la captura de pantalla de acceso de wordpress

3.3 - Establecer copias de seguridad

Las copias de seguridad funcionan como una red de seguridad. Ahora que su sitio está limpio y ha realizado algunos pasos importantes posteriores a la piratería, ¡haga una copia de seguridad! Tener una buena estrategia de respaldo es la base de una buena postura de seguridad.

Aquí hay algunos consejos para ayudarlo con las copias de seguridad del sitio web:

  • Ubicación

    Almacene copias de seguridad de WordPress en una ubicación fuera del sitio. Nunca almacene copias de seguridad (o versiones antiguas) en su servidor; pueden ser pirateados y utilizados para comprometer su sitio real.

  • Automático

    Idealmente, su solución de respaldo debería ejecutarse automáticamente a una frecuencia que se adapte a las necesidades de su sitio web.

  • Redundancia

    Esto significa que su estrategia de copia de seguridad debe incluir redundancia o, en otras palabras, copias de seguridad de sus copias de seguridad.

  • Pruebas

    Pruebe el proceso de restauración para confirmar que las funciones de su sitio web sean correctas.

  • Tipos de archivo

    Algunas soluciones de copia de seguridad excluyen ciertos tipos de archivos, como videos y archivos.

¿Sabías?

Sucuri ofrece a sus clientes un sistema asequible para respaldos de sitios web seguros .

3.4 - Escanea tu computadora

Haga que todos los usuarios de WordPress ejecuten un escaneo con un programa antivirus de buena reputación en sus sistemas operativos.

WordPress puede verse comprometido si un usuario con una computadora infectada tiene acceso al tablero. Algunas infecciones están diseñadas para pasar de una computadora a editores de texto o clientes FTP.

Aquí hay algunos programas antivirus que recomendamos:

Nota

  • Debería tener un solo antivirus que proteja activamente su sistema para evitar conflictos.
  • Si las computadoras de sus usuarios de WordPress Dashboard no están limpias, su sitio puede volver a infectarse fácilmente.

3.5 - Cortafuegos del sitio web

El número de vulnerabilidades explotadas por los atacantes crece día a día. Tratar de mantenerse al día es un reto para los administradores. Los Firewalls de sitios web se inventaron para proporcionar un sistema de defensa perimetral que rodea su sitio web.

Beneficios de usar un firewall de sitio web:

  • 1. Prevenir un hack futuro

    Al detectar y detener los métodos y comportamientos de piratería conocidos, el firewall de un sitio web mantiene su sitio protegido contra infecciones en primer lugar.

  • 2. Actualización de seguridad virtual

    Los hackers explotan rápidamente las vulnerabilidades en complementos y temas, y los desconocidos siempre están surgiendo (llamados días cero). Un buen cortafuegos de sitio web arreglará los agujeros en el software de su sitio web, incluso si no ha aplicado las actualizaciones de seguridad.

  • 3. Bloquear el ataque de fuerza bruta

    El firewall de un sitio web debería evitar que cualquiera acceda a su página wp-admin o wp-login si no se supone que deberían estar allí, asegurándose de que no puedan usar la automatización de fuerza bruta para adivinar su contraseña.

  • 4. Mitigar el ataque DDoS

    Los ataques distribuidos de denegación de servicio intentan sobrecargar el servidor o los recursos de la aplicación. Al detectar y bloquear todo tipo de ataques DDoS, un firewall de sitio web asegura que su sitio esté disponible si lo atacan con un gran volumen de visitas falsas.

  • 5. Optimización del rendimiento

    La mayoría de los WAF ofrecerán caché para una velocidad de página global más rápida. Esto mantiene contentos a los visitantes y está comprobado que reduce las tasas de rebote al tiempo que mejora la participación en el sitio web, las conversiones y los rankings de los motores de búsqueda.


¿Fue útil la respuesta?

« Atrás