Cómo limpiar su sitio de WordPress infectado – 2022

limpiar su sitio web

Esta guía de como limpiar su sitio WordPress esta diseñada para guiar a los propietarios de WordPress a través del proceso de identificación y limpieza de un sitio de WordPress que haya recibido un ataque exitoso. Esta no pretende ser una guía completa, pero si se sigue, debería ayudar a abordar el 70% de las infecciones que vemos.

Encuentre e identifique el problema

Escanee su sitio

Puede usar herramientas que escanean su sitio de forma remota para encontrar cargas maliciosas y malware. Recomendamos este complemento de WordPress gratuito que puede encontrar en el repositorio oficial de WordPress.

Un escáner remoto explorará el sitio para identificar posibles problemas de seguridad en su sitio de WordPress. Es posible que algunos problemas no aparezcan en un navegador. En cambio, se manifiestan en el servidor (es decir, puertas traseras, phishing y scripts basados en servidor). El enfoque más completo para escanear incluye escáneres remotos y del lado del servidor.

Verifique la integridad de los archivos principales de WordPress

La mayoría de los archivos principales de WordPress nunca deben modificarse. Debe verificar si hay problemas de integridad en las carpetas wp-admin, wp-includes y el directorio raíz.

La forma más rápida de confirmar la integridad de los archivos principales de WordPress es usar el comando diff en la terminal. Si no se siente cómodo usando la línea de comando, puede verificar manualmente sus archivos a través de SFTP.

Si no se ha modificado nada, sus archivos principales están limpios.

El complemento de seguridad de WordPress que recomendamos ayuda con la auditoría y el monitoreo del sitio web.

Compruebe archivos modificados recientemente

Los archivos nuevos o modificados recientemente pueden ser parte del truco.

Puede identificar los archivos pirateados al ver si se modificaron recientemente con los siguientes pasos.

Cómo comprobar manualmente los archivos modificados recientemente en WordPress:

  1. Inicie sesión en su servidor utilizando un cliente FTP o terminal SSH.
  2. Si usa SSH, puede enumerar todos los archivos modificados en los últimos 15 días usando este comando:
    $ find ./ -tipo f -mtime -15
  3. Si usa SFTP, revise por la última columna de fecha de modificación para todos los archivos en el servidor.
  4. Tenga en cuenta los archivos que se han modificado recientemente.

Consulte las páginas de diagnóstico de Google

Si su sitio de WordPress ha sido pirateado y bloqueado por Google u otras autoridades de seguridad del sitio web, puede usar sus herramientas de diagnóstico para verificar el estado de seguridad de su sitio web.

Cómo comprobar su Informe de transparencia de Google:

  • Visite el sitio web Estado del sitio de navegación segura.
  • Ingrese la URL de su sitio y busque.
  • En esta página puedes consultar:
    • Detalles de seguridad del sitio: Información sobre redireccionamientos maliciosos, spam y descargas.
    • Detalles de la prueba: El escaneo de Google más reciente que encontró malware.

Si ha agregado su sitio a cualquier herramienta gratuita para webmasters, puede verificar sus calificaciones de seguridad e informes para su sitio web. 

Eliminar malware de su sitio de WordPress

Ahora que tiene información sobre las ubicaciones de malware, puede eliminar el malware de WordPress y restaurar su sitio web a un estado limpio.

Consejo profesional: La mejor manera de identificar archivos pirateados en WordPress es comparar el estado actual del sitio con una copia de seguridad antigua y que se sabe que está limpia. Si hay una copia de seguridad disponible, puede usarla para comparar las dos versiones e identificar qué se ha modificado.

Algunos de estos pasos para limpiar su sitio de WordPress requieren acceso al servidor web y a la base de datos. Si no está familiarizado con la manipulación de tablas de bases de datos o la edición de PHP, busque ayuda de un miembro profesional.

Limpiar archivos de WordPress infectados

Si la infección de malware está en sus archivos principales o complementos, puede solucionarlo manualmente. Simplemente no sobrescriba su archivo wp-config.php o la carpeta wp-content y asegúrese de hacer una copia de seguridad completa de antemano.

Puede eliminar cualquier carga útil maliciosa o archivos sospechosos encontrados en el primer paso para deshacerse del pirateo y limpiar su sitio de WordPress.

Cómo eliminar manualmente una infección de malware de sus archivos de WordPress:

  1. Inicie sesión en su servidor a través de SFTP o SSH.
  2. Cree una copia de seguridad del sitio de WordPress antes de realizar cambios.
  3. Identifique los archivos modificados recientemente.
  4. Confirme la fecha de los cambios con el usuario que los modificó.
  5. Restaure archivos sospechosos con copias del repositorio oficial de WordPress.
  6. Abra cualquier archivo personalizado o premium (no en el repositorio oficial) con un editor de texto.
  7. Elimine cualquier código sospechoso de los archivos personalizados.
  8. Realice una prueba para verificar que el sitio sigue operativo después de los cambios.

Precaución

Eliminar manualmente el código «malicioso» de los archivos de su sitio web puede ser extremadamente peligroso para la salud de su sitio web y su computadora. Nunca realice ninguna acción sin una copia de seguridad. Si no está seguro, busque ayuda de un profesional.

Limpiar tablas infectadas de la base de datos

Para eliminar una infección de malware de su base de datos de WordPress, use el panel de administración de su base de datos para conectarse a la base de datos.

Cómo eliminar manualmente una infección de malware de sus archivos de WordPress:

  1. Inicie sesión en el panel de administración de su base de datos.
  2. Haga una copia de seguridad de la base de datos antes de realizar cambios.
  3. Busque contenido sospechoso (es decir, palabras clave de spam, enlaces).
  4. Abra la tabla que contiene contenido sospechoso.
  5. Elimine manualmente cualquier contenido sospechoso.
  6. Realice una prueba para verificar que el sitio sigue operativo después de los cambios.
  7. Elimine cualquier herramienta de acceso a la base de datos que haya cargado.

Los principiantes pueden usar la información de carga proporcionada por el escáner de malware. Los usuarios intermedios también pueden buscar manualmente funciones PHP maliciosas comunes, como eval, base64_decode, gzinflate, preg_replace, str_replace, etc.

Precaución

Tenga en cuenta que los complementos también utilizan estas funciones por razones legítimas, así que asegúrese de probar los cambios u obtener ayuda para no romper accidentalmente su sitio. Cuando se trata de registros de bases de datos, es posible que los datos no siempre sean fáciles de reemplazar, especialmente si están en la tabla wp_options.

Asegurar sus cuentas de usuario

Si notó algún usuario de WordPress desconocido en su sitio web, elimínelo para que los piratas informáticos ya no tengan acceso a través de él. Recomendamos tener solo un usuario administrador y configurar otros roles de usuario con la menor cantidad de privilegios necesarios para la tarea que debe realizar esa persona (es decir, colaborador, autor, editor).

Cómo eliminar manualmente usuarios sospechosos de WordPress:

  1. Haga una copia de seguridad de su sitio y base de datos antes de continuar.
  2. Inicie sesión en WordPress como administrador y haga clic en Usuarios.
  3. Encuentre las nuevas cuentas de usuario sospechosas.
  4. Pasa el cursor sobre el usuario sospechoso y haz clic en Eliminar.

Si cree que alguna de sus cuentas de usuario se vio comprometida, puede restablecer sus contraseñas. Una de las formas de hacerlo es usando el complemento WordPress recomendado anteriormente.

Eliminar puertas traseras ocultas en su sitio de WordPress

Los piratas informáticos siempre dejan una forma de volver a su sitio. La mayoría de las veces, encontramos múltiples puertas traseras de varios tipos en sitios de WordPress pirateados.

A menudo, las puertas traseras están incrustadas en archivos con nombres similares a los archivos principales de WordPress, pero ubicados en los directorios incorrectos. Los atacantes también pueden inyectar puertas traseras en archivos como wp-config.php y directorios como wp-content/themes, wp-content/plugins y wp-content/uploads.

Las puertas traseras suelen incluir las siguientes funciones de PHP:

  • base64
  • str_rot13
  • gzuncompress
  • eval
  • exec
  • system
  • assert
  • stripslashes
  • preg_replace (con /e/)
  • move_uploaded_file

Estas funciones también pueden ser utilizadas legítimamente por complementos, así que asegúrese de probar cualquier cambio porque podría romper su sitio al eliminar funciones benignas o al no eliminar todo el código malicioso.

La mayoría de los códigos maliciosos que vemos en los sitios de WordPress utilizan algún tipo de codificación para evitar la detección. Aparte de los componentes premium que utilizan la codificación para proteger su mecanismo de autenticación, es muy raro ver la codificación en el repositorio oficial de WordPress.

Es fundamental que todas las puertas traseras estén cerradas para detener con éxito un hackeo de WordPress; de lo contrario, su sitio se volverá a infectar rápidamente.

Eliminar advertencias de malware

Si Google, McAfee, Yandex (o cualquier otra autoridad contra el spam web) lo incluyeron en la lista de bloqueo, puede solicitar una revisión después de que se haya limpiado su sitio de WordPress y se haya solucionado el hackeo.

Cómo eliminar las advertencias de malware en su sitio:

  • Llame a su empresa de alojamiento y pídales que eliminen la suspensión si su sitio web ha sido suspendido por su proveedor de alojamiento.
    • Es posible que deba proporcionar detalles sobre cómo eliminó el malware.
  • Complete un formulario de solicitud de revisión para cada autoridad de bloqueo.
    • Es decir. Google Search Console, McAfee SiteAdvisor, Yandex Webmaster.

En conclusión

Esperamos que esta guía le haya sido de ayuda, recuerde tomar medidas preventivas, después de todo es mejor prevenir una infección que luego tener que lidiar con ella, en SISBolivia ofrecemos variedad de servicios que en conjunto garantizar una seguridad férrea para su sitio web https://www.sisbolivia.com/store/ciberseguridad

Servicios de seguridad de la información, Contamos con varios

Información de Contacto