¿Necesitas ayuda? Llámanos +34 982 77 60 81 | info@raiolanetworks.es

Como desinfectar un sitio web Wordpress hackeado

Categoría: WordPress, Seguridad web, Seguridad para WordPress

Fecha: 16/11/2014

[elementor-template id="80835"] El malware o virus informáticos afectan a todo el mundo, desde ordenadores de sobremesa y smartphones hasta sitios web completos. El malware puede provocar daños importantes en el proyecto o robar datos importantes y sensibles que pueden provocar accesos indeseados por parte de intrusos desconocidos. La parte más importante de la protección contra malware es la prevención, esto significa que debemos tener en cuenta algunas buenas prácticas que pueden asegurarnos la mayor parte de la protección. desinfectar malware

Cuando un malware entra y afecta a un sitio web, los resultados pueden ser variados, pero en ninguno de los casos el resultado es bueno, ya que un malware en un sitio web desarrollado en PHP con un CMS como Wordpress puede generar los siguientes problemas:

Un excesivo consumo de recursos en el servidor web y servidor MySQL.

Robo de datos personales de los usuarios o clientes del sitio web.

Penalización por parte de Google con impacto en los resultados de Google.

Mensajes de alerta a los usuarios y visitantes que acceden al sitio web.

Puede dañar la reputación de un sitio web y hacer que sus usuarios no confíen en él.

Aparición de publicidad no deseada en algunas partes del sitio web, en algunos casos publicidad de mal gusto.

Infección de todo el servidor y envió de spam de forma masiva mediante correo electrónico.

Pueden existir muchos más problemas causados por el malware en un sitio web desarrollado en PHP, pero estos son los más comunes. En este artículo vamos a describir y explicar detectar una amenaza de malware en un sitio web Wordpress y como eliminar el malware para volver a hacer que el sitio sea seguro.

El sitio al que vas a acceder contiene software malicioso

Muchos webmaster se han dado cuenta alguna vez que al acceder a su sitio web aparecía un mensaje como este: desinfectar wordpress

Es un mensaje bastante “alarmante” ya que Google normalmente penaliza a los sitios web con malware, aunque en muchas ocasiones también puede ser un error producido por un plugin con malware o por un error al utilizar un ad network. En la mayoría de los casos es el propio Google el encargado de bloquear sitios infectados por malware, utilizando Google Chrome o utilizando su propio algoritmo de detección implementado en el bot del buscador, de hecho en la mayoría de los casos el problema aparece reflejado en Google Webmaster Tools como alerta importante.

Como detectar el malware y los archivos infectados

Después de saber que efectivamente nuestro sitio web está infectado por malware, el primer paso es detectar que tipo de malware nos ha infectado y que archivos o partes del sitio web se encuentran infectados, para ello podemos utilizar distintos métodos y varias opciones:

Antivirus instalados en el servidor como Maldet (LMD), DrWeb o ClamAV.
Antivirus en forma de plugin para el CMS, en este caso Wordpress.
Aplicaciones online normalmente propiedad de los principales desarrolladores de antivirus.
Aplicaciones online para analizar archivos, subiendo todos los archivos del sitio web comprimidos al servicio.
Analizar los archivos con un antivirus de escritorio para Windows (solo en algunas ocasiones).

Posiblemente algún método se me olvide, pero estos son algunos de los que mejor resultado me han dado a mí.

Análisis de malware con Sucuri SiteCheck

La empresa estadounidense Sucuri tiene una herramienta online que permite escanear de forma gratuita un sitio web y conocer que archivos son los infectados y con qué virus han sido infectados, la URL al servicio es esta: https://sitecheck.sucuri.net/ Este es un ejemplo de resultados obtenidos en un sitio infectado, muestra algunos archivos infectados, el tipo de malware y el código exacto que es considerado malware (en este caso, un iframe): desinfectar wordpress

La propia compañía Sucuri te ofrece desinfectar el sitio web por una suma de dinero, pero en este caso solo vamos a utilizar el SiteCheck de Securi para detectar el malware y saber contra que peleamos.

Análisis de malware con virus total

VirusTotal es uno de los servicios de análisis de malware en la nube más conocidos, ya que además de poder analizar sitios web, también podemos analizar archivos, por lo que podremos comprimir los archivos del sitio web y posteriormente subirlos a VirusTotal para ser analizados. desinfectar wordpress

En este caso vamos a utilizar solo la parte de análisis de URL. desinfectar wordpress 5

Lo que hace VirusTotal es analizar el sitio web cargado utilizando distintos motores de detección y la única información que muestra es cuantos motores de detección han dado positiva. Puedes acceder a VirusTotal a través de la siguiente dirección URL: https://www.virustotal.com/gui/

Análisis de malware con Quttera

Se trata de otro servicio de análisis y desinfección de malware, y bastante eficiente. Quttera ofrece más información, de hecho muestra todos los archivos infectados y muestra el código malicioso incluido en ellos. Este es un ejemplo de lo que muestra de un archivo infectado del theme de un Wordpress: desinfectar wordpress

Quttera además de ofrecer mucha información sobre el malware, también tiene una buena base de datos por lo que puede detectar dominios que se encuentran en la blacklist, aunque como puedes ver en la siguiente captura, a veces tiene algunos falsos positivos: desinfectrar wordpress

Puedes acceder a Quttera a través de la siguiente URL: https://quttera.com/

Sustituir archivos genéricos de Wordpress, theme y plugins

Cuando los archivos están infectados tenemos dos formas de resolver el problema:

Sustituyendo los archivos dañados o infectados por archivos nuevos genéricos.
Eliminando el código malicioso de todos los archivos infectados.

A veces la segunda opción no es posible, y solo la primera opción puede ser usada, en este caso vamos a hacerlo sustituyendo los archivos. Vamos a realizar las siguientes acciones en el siguiente orden, de forma organizada y sin dejarnos ningún paso a medio hacer para que quede ni rastro del malware:

Sustituir los archivos de Wordpress del sitio web por los archivos de Wordpress descargados directamente desde el sitio web oficial: https://es.wordpress.org/
Sustituir las carpetas de todos los plugins por los archivos descargados en archivos .zip desde el repositorio de Wordpress o desde las fuentes oficiales de cada plugin. Este es el repositorio de plugins de Wordpress: https://wordpress.org/plugins/
Sustituir los archivos del theme por los archivos del theme descargados de la fuente oficial.

Es recomendable, en lugar de sustituir, borrar y volver a pegar los nuevos archivos para asegurar una correcta limpieza. Una vez hecho esto, es posible que nuestro sitio web este ya más o menos seguro y que ya podamos acceder a el de forma normal a través del navegador web. Debes tener en cuenta que si has hecho modificaciones importantes en el código del theme o el código de los plugins en relación a los originales descargados desde fuentes oficiales, vas a perderlos y debes volver a hacerlos.

Mejorar la seguridad de Wordpress

Una vez que tenemos más o menos todo limpio vamos a entrar al panel de administración de Wordpress y vamos a instalar algunos plugins que nos ayudaran a asegurar la instalación y a asegurarnos de que no queda ni rastro del malware:

WordFence: Se trata de uno de los mejores plugins de seguridad para Wordpress, es una suite completa con antivirus, firewall y capacidades de detección en tiempo real. A veces WordFence puede fallar, ya que su poder de detección es limitado y solo busca patrones de cambios en los archivos del núcleo de Wordpress.
Securi Security: Es otra suite de seguridad pero orientada sobre todo al análisis de malware, una buena forma de detectar y eliminar amenazas. El único problema que tiene es que es demasiado estricto y a veces indica falsas amenazas, además consume bastantes recursos del servidor.
Antivirus: Nos permite analizar todos los archivos PHP del theme de Wordpress, además de programar revisiones periódicas para asegurar que los archivos del theme están siempre limpios de virus. El problema es que no afecta a los archivos CSS y JS del theme, además detecta bastantes falsos positivos.
Kyplex Anti-Malware Service: Analiza la instalación de Wordpress entera en busca de malware, se trata de un motor de detección muy exhaustivo capaz de detectar bastantes tipos de amenazas.
Wemahu: Es diferente a todos los plugins que hemos mencionado hasta el momento, pero no por eso es menos efectivo. Analiza todos los archivos del sitio web en busca de inyecciones de código malicioso, tanto en archivos que se puedan leer como en imágenes.

Pedir revisión del sitio a Google

Para finalizar, una vez que nuestro sitio web se encuentra completamente limpio y sin rastros de malware debemos pedirle a Google una revisión. Esto podemos hacerlo desde Google Webmaster Tools, si no sabes como puedes visitar la siguiente página de Google: https://web.dev/request-a-review/

Conclusiones finales sobre la desinfección

En este caso analizado en este artículo, la infección entro en Wordpress a través de un plugin “nulled” que traía un “regalo” y coloco imágenes falsas que realmente eran archivos PHP en wp-includes. Evidentemente fue necesario borrar completamente el plugin causante, ya que era imposible distinguir a simple vista el código malicioso del código real. Vuelvo a repetir, la seguridad de los datos de un sitio web es la parte más importante de un sitio web, ya que sin datos no hay nada, por esa razón es necesario prestarle especial atención a la seguridad y no cometer errores como este: utilizar plugins “nulled” o plantillas “nulled” con “regalos”. Finalmente, si necesitas ayuda para desinfectar tu sitio web Wordpress, puedes recurrir a nuestro servicios de desinfectar Wordpress y nosotros dejaremos tu Wordpress listo para funcionar.

Alvaro Fontela

Mi nombre es Alvaro Fontela, soy consultor Wordpress y blogger activo desde hace años. CEO y co-Fundador de Raiola Networks, escribiendo sobre WordPress, hosting y WPO en este blog desde 2014.

Artículos relacionados

Si te ha gustado este post, aquí tienes otros que pueden ser de tu interés. ¡No dejes de aprender!

Google reCaptcha: Qué es, para qué sirve y cómo utilizarlo

Cambiar el dominio o URL de un sitio web WordPress

Qué plugin de cookies usar en WordPress

Cómo usar Google Fonts en tu web: a mano y con plugins

Tenemos 15 comentarios en "Como desinfectar un sitio web Wordpress hackeado"

Marcelo Ferro

01/09/2015 a las 02:34

Eso pasa por usar themes y plugins piratas ademas de perder posiciones , lista de spam etc.

Responder

Alvaro Fontela

01/09/2015 a las 09:58

Estoy de acuerdo contigo al 100%, normalmente es por que la gente instala themes y plugins nulled...

Un saludo.

Responder

Bienvenido Futbol

08/02/2016 a las 15:52

yo compre el theme y los plugin sin gratis de la tienda de worpress y me aparece lo mismo que a los demas

Responder

Alvaro Fontela

08/02/2016 a las 16:45

Influyen muchos mas aspectos, como por ejemplo los tiempos de actualización y los agujeros de seguridad.

Un saludo.

Responder

luis

02/02/2016 a las 21:41

buenas, pues yo tengo un blog en wordpress y me aparece la pantalla en rojo de advertencia y no tengo la mas remota idea de que hacer, me puede usted ayudar?

Responder

Alvaro Fontela

03/02/2016 a las 02:20

Hola Luis, precisamente tenemos un servicio para eso: enlacePuedes obtener mas información en info@raiolanetworks.esUn saludo.

Responder

Elena GC

22/03/2016 a las 12:53

Hola, muy a menudo al poner la web en cualquier navegador aparece este mensaje:
blocked because of ips attack
an attack was detected, originating from your system.
please contact the system administrator.

¿Sabes qué significa y cómo se puede arreglar? En principio se ha limpiado el Wordpress y no hay malware ni nada raro.
Gracias!

Responder

Alvaro Fontela

04/04/2016 a las 02:13

Hola Elena, perdona la tardanza en contestar, tengo bastantes comentarios acumulados.

En principio, tras una limpieza debes "deslistar" la web de las blacklist, incluyendo la de Google, que se puede deslistar a través de Google Webmaster Tools.
Aparte de esto, cada antivirus tiene su propia lista, dependiendo del antivirus o antimalware correspondiente, tendrás que realizar unas acciones u otras.

Un saludo.

Responder

Rick

08/07/2016 a las 20:28

Hola, una duda, he usado Quttera y VirusTotal para analizar un sitio que todavía no he hecho público, Quttera dice que se encontraron 3 archivos indeseados (te maldigo Wordfence), y obviamente, VirusTotal basado en los resultados de Quttera dice lo mismo. Pues bien, ya limpié mi sitio y efectivamente Quttera dice que estoy limpio, pero VirusTotal insiste en que tengo archivos indeseados en mi sitio según "los resultados de Quttera". Incluso he eliminado todos los archivos de mi sitio y continúa diciendo que tengo "archivos indeseados".

¿Te ha pasado esto? ¿Sabes cómo solucionarlo?

Dato curioso: los resultados de los analizadores web varía dependiendo de la URL que usemos:

Responder

Alvaro Fontela

21/07/2016 a las 17:31

Hola, posiblemente el problema sea que Virustotal tiene un cache donde se almacenan los resultados de Quttera, entonces hasta que se renueve ese cache va a seguir dando los mismos resultados.
Si Quttera te muestra limpio, yo no le haría demasiado caso.

La variación de resultados es por lo mismo, Virustotal guarda cache y para una URL igual tiene cache de una fecha, y para otra variación del mismo dominio, tiene cache de otra fecha.

Un saludo.

Responder

Rick

23/07/2016 a las 03:33

Sí, me puse en contacto con ellos y me dijeron algo parecido. Su base de datos suele actualizarse en uno o dos meses, en caso de que persista por más tiempo me recomendaron ponerme en contacto con ellos nuevamente, pero tienes razón, si Quttera me muestra limpio no debo preocuparme mucho.

Gracias por la información, saludos.

Responder

Noé

10/05/2017 a las 15:26

Hola Alvaro, muy buen post ;) ya me he guradado las herramientas de scanner. Actualmente tengo Ithemes Security en mi sitio pero también he usado Wordfence ¿recomiendas usar mas de un plugin de seguridad a la vez? en éste caso Ithemes Security & Wordfence

Responder

Alvaro Fontela

12/05/2017 a las 19:28

Hola Noé, tener varios a la vez puede darte problemas.

Te recomiendo solo usar uno, ya que dos pueden dar conflictos ademas de que van a consumir muchísimos recursos.

Un saludo.

Responder

Annunaki “Brokhael” Skywalker

12/12/2017 a las 17:43

Personalmente no me sirvió. Mis webs han sido hackeadas, y hay archivos en ellas que son de los "hackers" no son maliciosos en sí, porque no contienen código que haga cosas raras (al menos los archivos que he detectado). He escanado todas las webs con WordFence, y he escaneado el servidor con ClamAV, ClamAv no ha detectado estos archivos, pues no son maliciosos pero ahí están. Cómo hago para detectar estos archivos ilegitimos, aunque inofensivos aparentement?

Responder

Héctor Luaces

16/04/2018 a las 12:06

Hola, Annunaki:

No existe antivirus 100% efectivo y menos en casos de intrusiones web.

Precisamente por eso explicamos en el artículo que has de reemplazar todos los archivos del core de WordPress, sus temas y sus plugins por archivos originales de tu misma versión.

Con esto eliminarás el excedente de archivos maliciosos y sobreescribirás aquellos que tengan código inyectado, asegurando un sitio limpio.

Con eso solo quedaría revisar el archivo wp-config y los contenidos de wp-content/uploads.

Un saludo.

Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¿Vienes desde otro proveedor?

¡Sin problema! Te migramos gratis y sin cortes

Elige tú nuevo plan

Avenida de Magoi, nº66, Semisótano Derecha, 27002, Lugo,España
+34 982 77 60 81
info@raiolanetworks.es
CIF: B27453489 VAT: ESB27453489

Acerca de

Información

Subscribete a la newsletter

Recibe ofertas, novedades y mucho más:
Campo obligatorio.
+ Información básica sobre protección de datos:

Responsable:

RAIOLA NETWORKS, S.L.

CIF: B27453489

Avda de Magoi, 66, Semisótano, Dcha., 27002 Lugo (Lugo)

Telefono: +34 982776081

e-mail: info@raiolanetworks.es

Finalidad:

Atender solicitudes de información, ejecución de la contratación de servicios y remisión de comunicaciones comerciales.

Legitimación:

Consentimiento del interesado y contratación de productos y/o servicios del Responsable.

Destinatarios:

No se ceden datos a terceros, salvo obligación legal.

Personas físicas o jurídicas directamente relacionadas con el Responsable

Encargados de Tratamiento adheridos al Privacy Shield.

Derechos:

Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, derecho a no ser objeto de decisiones automatizadas, así como a obtener información clara y transparente sobre el tratamiento de sus datos.

Información adiccional:

Se puede consultar la política de privacidad de forma más detallada aquí.
He leido y acepto la política de privicidad *