Cómo limpiar un sitio WordPress hackeado usando Wordfence

Si su sitio ha sido hackeado, no entre en pánico.

Este artículo describirá cómo limpiar su sitio si ha sido hackeado e infectado con código malicioso, puertas traseras, spam, malware u otras cosas desagradables. Este artículo fue actualizado el 27 de agosto de 2019 con recursos adicionales para ayudar a limpiar tipos de infección específicos. Este artículo está escrito por Mark Maunder, el fundador de Wordfence. También soy un investigador de seguridad acreditado, desarrollador de WordPress y poseo y opero muchos de mis propios sitios web impulsados por WordPress, incluido este. Incluso si usted no está ejecutando WordPress, este artículo incluye varias herramientas que puede utilizar para ayudar a limpiar su sitio de una infección.

Si está ejecutando WordPress y ha sido hackeado, puede utilizar Wordfence para limpiar gran parte del código malicioso de su sitio. Wordfence le permite comparar sus archivos hackeados contra los archivos originales del núcleo de WordPress, y las copias originales de los temas y plugins de WordPress en el repositorio. Wordfence le permite ver lo que ha cambiado y le da la opción de reparar los archivos con un solo clic y tomar otras acciones.

Si sospecha que ha sido hackeado, primero asegúrese de que realmente ha sido hackeado. A veces recibimos administradores de sitios en pánico que se ponen en contacto con nosotros pensando que han sido hackeados cuando su sitio sólo se está comportando mal, una actualización salió mal, o algún otro problema está sucediendo. A veces los propietarios de sitios pueden ver comentarios de spam y no pueden distinguir entre eso y un hackeo.

Su sitio ha sido hackeado si:

• Ve que aparece spam en la cabecera o el pie de página de su sitio que contiene anuncios de cosas como pornografía, drogas, servicios ilegales, etc. A menudo se inyecta en el contenido de su página sin ningún tipo de presentación, por lo que puede aparecer como texto oscuro sobre un fondo oscuro y no ser muy visible para los ojos humanos (pero los motores de búsqueda pueden verlo).
• Hace una búsqueda site:example.com (sustituya example.com por su sitio) en Google y ve páginas o contenido que no reconoce y que parece malicioso.
• Recibe informes de sus usuarios de que están siendo redirigidos a un sitio web malicioso o de spam. Preste especial atención a estos porque muchos hacks detectarán que usted es el administrador del sitio y no le mostrarán nada de spam sino que sólo mostrarán spam a sus visitantes o a los rastreadores de los motores de búsqueda.
• Recibe un informe de su proveedor de alojamiento de que su sitio web está haciendo algo malicioso o de spam. Por ejemplo, si su anfitrión le dice que están recibiendo informes de correo electrónico de spam que contiene un enlace a su sitio web, esto puede significar que usted ha sido hackeado. Lo que los hackers están haciendo en este caso es enviar spam desde algún lugar y utilizar su sitio web como un enlace para redirigir a la gente a un sitio web de su propiedad. Hacen esto porque incluir un enlace a su sitio web evitará los filtros de spam mientras que incluir un enlace a su propio sitio web quedará atrapado en los filtros de spam.
• Wordfence detecta muchos de estos problemas y otros que no he mencionado aquí, así que preste atención a nuestras alertas y responda en consecuencia.

Haga una copia de seguridad de su sitio ahora mismo. He aquí por qué:

Una vez que haya comprobado que ha sido hackeado, haga una copia de seguridad de su sitio inmediatamente. Utilice FTP, el sistema de copia de seguridad de su proveedor de alojamiento o un plugin de copia de seguridad para descargar una copia de todo su sitio web. La razón por la que necesitas hacer esto es porque muchos proveedores de alojamiento borrarán inmediatamente todo tu sitio si informas de que ha sido hackeado o si detectan contenido malicioso. Parece una locura, pero este es un procedimiento estándar en algunos casos para evitar que otros sistemas de su red se infecten.

Asegúrese de hacer también una copia de seguridad de la base de datos de su sitio web. Hacer una copia de seguridad de sus archivos y de la base de datos debe ser su primera prioridad. Haga esto, entonces usted puede pasar con seguridad al siguiente paso de la limpieza de su sitio cómodo con el conocimiento de que al menos usted tiene una copia de su sitio hackeado y no va a perder todo.

Cosas que debe saber antes de limpiar un sitio de WordPress que ha sido hackeado:

Estas son las reglas del camino al limpiar su sitio:

• Por lo general, puede eliminar cualquier cosa en el directorio wp-content/plugins/ y no perderá datos o romperá su sitio. La razón es que estos son archivos de plugins que puedes reinstalar y WordPress detectará automáticamente si has eliminado un plugin y lo desactivará. Sólo asegúrese de borrar directorios enteros en wp-content/plugins y no sólo archivos individuales. Por ejemplo, si quiere eliminar el plugin Wordfence, debe eliminar wp-content/plugins/wordfence y todo lo que haya en ese directorio, incluyendo el propio directorio. Si sólo elimina unos pocos archivos de un plugin puede dejar su sitio inoperable.
• Por lo general, sólo tiene un directorio de temas que se utiliza para su sitio en el directorio wp-content/themes. Si sabes cuál es éste puedes eliminar todos los demás directorios de temas. Tenga cuidado si usted tiene un «tema infantil» puede estar utilizando dos directorios en wp-content/themes.
• Los directorios wp-admin y wp-includes muy raramente tienen nuevos archivos añadidos a ellos. Así que si encuentras algo nuevo en esos directorios tiene una alta probabilidad de ser malicioso.
• Cuidado con las instalaciones y copias de seguridad antiguas de WordPress. A menudo vemos sitios infectados en los que alguien dice: «Pero yo mantenía mi sitio actualizado y tenía un plugin de seguridad instalado, así que ¿por qué me hackearon?» Lo que sucede a veces es que usted o un desarrollador hace una copia de seguridad de todos los archivos de su sitio en un subdirectorio como /old/ que es accesible desde la web. Esta copia de seguridad no se mantiene y aunque su sitio principal sea seguro, un hacker puede entrar ahí, infectarlo y acceder a su sitio principal desde la puerta trasera que plantó. Así que nunca deje instalaciones antiguas de WordPress por ahí y si le hackean, revise esas primero porque es probable que estén llenas de malware.

Algunas herramientas útiles:

Si tiene acceso SSH a su servidor, inicie sesión y ejecute el siguiente comando para ver todos los archivos que fueron modificados durante los últimos 2 días. Tenga en cuenta que el punto indica el directorio actual. Esto hará que el comando siguiente busque en el directorio actual y en todos los subdirectorios los archivos modificados recientemente. (Para saber cuál es su directorio actual en SSH, escriba ‘pwd’ sin comillas).

find . -mtime -2 -ls

O puede especificar un directorio concreto:

find /home/yourdirectory/yoursite/ -mtime -2 -ls

O puede cambiar la búsqueda para que muestre los archivos modificados en los últimos 10 días:

find /home/yourdirectory/yoursite/ -mtime -10 -ls

Le sugerimos que haga la búsqueda anterior y que vaya aumentando gradualmente el número de días hasta que empiece a ver los archivos modificados. Si no has cambiado nada desde que te hackearon, es muy probable que veas los archivos que el hacker cambió. Entonces puede editarlos usted mismo para limpiar el hackeo. Esta es, con mucho, la forma más eficaz y sencilla de averiguar qué archivos fueron infectados y es utilizada por todos los servicios profesionales de limpieza de sitios.

Otra herramienta útil en SSH es ‘grep’. Por ejemplo, para buscar archivos que contengan base64 (comúnmente utilizado por los hackers) puede ejecutar el siguiente comando:

grep -ril base64 *

Esto sólo listará los nombres de los archivos. Puede omitir la opción ‘l’ para ver el contenido real del archivo donde aparece la cadena base64:

grep -ri base64 *

Tenga en cuenta que «base64» también puede aparecer en código legítimo. Antes de eliminar cualquier cosa, querrá asegurarse de que no está eliminando un archivo que está siendo utilizado por un tema o plugin en su sitio. Una búsqueda más refinada podría ser la siguiente:

grep --include=*.php -rn . -e "base64_decode"

Este comando busca recursivamente en todos los archivos que terminan con .php la cadena «base64_decode» e imprime el número de línea para que puedas encontrar más fácilmente el contexto en el que aparece la cadena.

Ahora que sabes cómo usar ‘grep’, te recomendamos que uses grep en combinación con ‘find’. Lo que debe hacer es encontrar los archivos que fueron modificados recientemente, ver lo que se modificó en el archivo y si encuentra una cadena de texto común como «el hacker malo estuvo aquí», entonces puede grep todos sus archivos para ese texto así:

grep -irl "bad hacker was here" *

y eso le mostrará todos los archivos infectados que contengan el texto «el hacker malo estuvo aquí».

Si limpia muchos sitios infectados comenzará a notar patrones en donde el código malicioso se encuentra comúnmente. Uno de esos lugares es el directorio uploads en las instalaciones de WordPress. El siguiente comando muestra cómo encontrar todos los archivos en el directorio uploads que NO son archivos de imagen. El resultado se guarda en un archivo de registro llamado «uploads-non-binary.log» en su directorio actual.

find public_html/wp-content/uploads/ -type f -not -name "*.jpg" -not -name "*.png" -not -name "*.gif" -not -name "*.jpeg" >uploads-non-binary.log

Usando las dos sencillas herramientas de línea de comandos «grep» y «find» puede limpiar todo un sitio web infectado. ¡Qué fácil es eso! Apuesto a que estás listo para comenzar tu propio negocio de limpieza de sitios en este punto.

Cómo limpiar tu sitio WordPress hackeado con Wordfence:

Ahora que tienes algunas herramientas poderosas en tu arsenal y ya has hecho una limpieza básica, vamos a lanzar Wordfence y ejecutar un análisis completo para limpiar tu sitio. Este paso es importante porque Wordfence realiza una búsqueda muy avanzada de infecciones. Por ejemplo:

• Sabemos cómo deben ser todos los archivos del núcleo de WordPress, los temas de código abierto y los plugins de código abierto, por lo que Wordfence puede saber si uno de sus archivos de origen está infectado, incluso si se trata de una nueva infección que nadie ha visto antes.
• Buscamos mediante complejas expresiones regulares las firmas de infección y nuestra base de datos de infecciones conocidas se actualiza continuamente. Usted no puede hacer esto con simples herramientas de línea de comandos unix o cPanel.
• Buscamos URLs de malware utilizando la lista de Google Safe Browsing.
• Utilizamos muchas otras fuentes de datos como SpamHaus para encontrar malware e infecciones en su sistema.

Cómo limpiar su sitio hackeado utilizando Wordfence:

1. Actualice su sitio a la versión más reciente de WordPress. Si está ejecutando una versión de WordPress anterior a WordPress 5.x.x entonces le recomendamos que lea este artículo aquí antes de actualizar a la última versión de WordPress.
2. Actualice todos sus temas y plugins a sus versiones más recientes.
3. Cambie todas las contraseñas del sitio, especialmente las contraseñas administrativas.
4. Haga otra copia de seguridad y guárdela por separado de la copia de seguridad que le recomendamos hacer arriba. Ahora tiene un sitio infectado, pero ese sitio está ejecutando la versión más reciente de todo. Si rompes algo mientras limpias tu sitio usando Wordfence puedes volver a esta copia de seguridad y no tienes que volver a hacer todos los pasos anteriores.
5. Ve a la página de escaneo de Wordfence. Haga clic en el enlace «Opciones de escaneo y programación». Habilite la opción de escaneo de «Alta sensibilidad». Si el escaneo tarda demasiado o no se completa, amplíe la sección «Opciones generales». Desactive las opciones «Escanear archivos fuera de su instalación de WordPress» y «Escanear imágenes, binarios y otros archivos como si fueran ejecutables». Guarde los cambios e intente un nuevo escaneo.
6. Cuando aparezcan los resultados puede ver una lista muy larga de archivos infectados. Tómese su tiempo y trabaje lentamente a través de la lista.
7. Examine cualquier archivo sospechoso y edite esos archivos a mano para limpiarlos o elimine el archivo. Recuerda que no puedes deshacer los borrados. Pero siempre y cuando usted tomó la copia de seguridad que recomendamos anteriormente, siempre se puede restaurar el archivo si se elimina la cosa equivocada.
8. Mira a cualquier núcleo cambiado, tema y archivos de plugin. Utilice la opción que Wordfence proporciona para ver lo que ha cambiado entre el archivo original y su archivo. Si los cambios parecen maliciosos, utilice la opción de Wordfence para reparar el archivo.
9. Trabaje lentamente en la lista hasta que esté vacía.
10. Ejecute otro escaneo y confirme que su sitio está limpio.
11. Si todavía necesita ayuda, ofrecemos un servicio comercial de limpieza de sitios. Puede obtener más información enviando un correo electrónico a [email protected] con el asunto «Servicio de limpieza de sitios de pago».

Tengo un archivo que parece sospechoso, pero no estoy seguro de que lo sea. ¿Cómo puedo saberlo?

Envíanoslo por correo electrónico a [email protected] y te lo diremos. Si su archivo de configuración wp-config.php de WordPress está infectado, no nos envíe una copia de ese archivo sin eliminar primero sus credenciales de acceso a la base de datos y las claves y sales únicas de autenticación.

Si no recibe respuesta, es posible que su sistema de correo o el nuestro hayan descartado el mensaje pensando que era malicioso debido a su archivo adjunto. Así que, por favor, envíenos un mensaje sin el archivo adjunto haciéndonos saber que está intentando enviarnos algo y trataremos de ayudarle a conseguirlo.

¿Dónde puedo encontrar ayuda para limpiar un tipo específico de infección?

El Centro de Aprendizaje de Wordfence tiene una serie de artículos que le ayudarán. Aquí hay una lista de artículos que le ayudarán con tipos de infección específicos:

• Eliminar redirecciones maliciosas de su sitio
• Encontrar y eliminar puertas traseras
• Eliminar páginas de spam de sitios de WordPress
• Encontrar y eliminar enlaces de spam
• Eliminar páginas de phishing de sitios de WordPress
• Eliminar correo malicioso Código de su sitio
• Búsqueda y eliminación de cargadores de archivos maliciosos
• Eliminación de páginas de desfiguración de WordPress
• Cómo eliminar código sospechoso de sitios de WordPress

He limpiado mi sitio de WordPress hackeado pero Google Chrome sigue dándome la advertencia de malware. ¿Qué debo hacer?

Debes eliminar tu sitio de la lista de navegación segura de Google. Lee este documento de Google sobre cómo limpiar tu sitio. Estos son los pasos:

1. Primero accede a las Herramientas para webmasters de Google.
2. Añade tu sitio si aún no lo has hecho.
3. Verifica tu sitio, siguiendo las instrucciones de Google.
4. En la página principal de las Herramientas para webmasters de Google, selecciona tu sitio.
5. Haga clic en Estado del sitio y, a continuación, en Malware.
6. Haga clic en Solicitar una revisión.

Los visitantes de mi sitio reciben advertencias de otros productos de seguridad y sistemas antivirus. ¿Qué debo hacer?

Salir de la lista de Google Safe Browsing es un gran paso, pero puede que tenga algo de trabajo por delante. Debe mantener una lista de todos los productos antivirus que digan que su sitio está infectado. Esto puede incluir productos como el antivirus ESET, el Site Advisor de McAfee y otros. Visite el sitio web de cada fabricante de antivirus y busque sus instrucciones para eliminar su sitio de su lista de sitios peligrosos. Los fabricantes de antivirus suelen llamar a esto «listas blancas», por lo que buscar en Google términos como «listas blancas», «eliminación de sitios», «falsos positivos» y el nombre del producto suele llevarle al lugar donde puede eliminar su sitio.

¿Cómo puedo comprobar manualmente si mi sitio está incluido en la lista de navegación segura de Google?

Visite la siguiente URL y sustituya example.com por la dirección de su propio sitio.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Puede incluir un subdirectorio si su sitio tiene uno. La página que aparece es muy sencilla, pero contiene información detallada sobre el estado actual de su sitio, por qué aparece en la lista de malware o phishing de Google (La lista de navegación segura de Google es en realidad dos listas) y qué hacer a continuación.

Qué hacer una vez que su sitio esté limpio:

Enhorabuena si ha conseguido limpiar su sitio. Ahora tienes que asegurarte de que no vuelva a ser hackeado. He aquí cómo:

• Instala Wordfence y realiza escaneos regulares en tu sitio de WordPress.
• Asegúrate de que WordPress y todos los plugins y temas se mantienen actualizados. Esto es lo más importante que puede hacer para asegurar su sitio.
• Asegúrese de utilizar contraseñas fuertes que sean difíciles de adivinar.
• Deshágase de todas las instalaciones antiguas de WordPress que haya en su servidor.
• Inscríbase en nuestra lista de correo de alertas de seguridad para recibir avisos de actualizaciones de seguridad importantes relacionadas con WordPress.
• Autenticé su sitio en Wordfence Central para que la gestión de la seguridad de su sitio sea mucho más fácil.