Cómo limpiar un sitio de WordPress pirateado

Publicado: 2022-06-15

Un sitio de WordPress pirateado no es un tema en el que la mayoría de los propietarios de sitios de WordPress quieran pensar. Pero son un problema real que afecta a más de 30 000 sitios web todos los días.

Si su sitio web de WordPress es víctima de un pirateo, ¿cuáles son los pasos exactos que debe seguir para limpiarlo a fondo y volver a funcionar de manera normal? ¿Su sitio pirateado ahora es completamente inútil o puede recuperarse? Sumerjámonos.

Presentamos a Kathy Zant, experta en seguridad de WordPress

Recientemente, la experta en seguridad de WordPress Kathy Zant organizó un seminario web en vivo para iThemes, mostrando exactamente cómo limpiar un sitio de WordPress pirateado.

Kathy Zant lleva más de una década trabajando en el mundo de WordPress. Y su experiencia en la seguridad de WordPress, especialmente en lo que se refiere a la limpieza de sitios infectados, es insuperable.

Más allá de su experiencia en la seguridad de WordPress, Kathy también ha trabajado en marketing para varias marcas diferentes en el espacio de WordPress. Además, ha sido organizadora de WordCamp Phoenix y WordCamp US.

Actualmente reside en Texas, donde habitualmente se la puede encontrar pasando el rato con sus caballos y paseando a sus Golden Retrievers.

“De lo que vamos a hablar en primer lugar”, dice Kathy, “es ¿cómo sabes que tu sitio web ha sido pirateado? ¿Cuáles son algunos de los signos? ¿Cuáles son los primeros pasos que debe tomar tan pronto como tenga la sospecha de que ha sido pirateado?

Ella continúa diciendo: “¿Cómo diseñas una estrategia, una forma rápida y fácil de limpiar tu sitio? Y después de limpiarlo, le mostraré cómo proteger su sitio. Y también brinde algunos consejos clave sobre cómo recuperar la reputación de su sitio, que también es extremadamente importante”.

limpieza-hackeado-wordpress-sitio

En esta guía completa, desbloquearemos los puntos clave del seminario web en vivo de Kathy Zant sobre la limpieza de sitios web de WordPress pirateados. Al final, sabrá exactamente lo que debe hacer si alguna vez es víctima de un sitio de WordPress pirateado.

¿Cómo sabe cuándo su sitio de WordPress ha sido pirateado?

En primer lugar, es importante comprender que el hecho de que su sitio esté dañado no significa necesariamente que haya habido un ataque o una intrusión por parte de un actor malicioso. Pero sí necesita identificar si se ha producido un hackeo.

¿Cuál es exactamente el problema con su sitio? ¿Qué está pasando específicamente? ¿Cuáles son los indicios de que tienes un problema en tus manos?

Aquí hay algunas cosas que debe buscar si sospecha que su sitio de WordPress ha sido pirateado:

  • Archivos en su servidor o en su instalación de WordPress que no deberían existir (este requiere una buena cantidad de conocimiento para saberlo con certeza).
  • Archivos que tienen fechas de modificación recientes. Si todos los archivos en su directorio wp-includes tienen una fecha de modificación de 2022-01-12 y uno de ellos tiene una fecha de modificación de 2022-06-02, entonces debe sospechar mucho de ese archivo modificado recientemente.
  • Solicitudes extrañas en sus registros de acceso. Esto podría indicarle el archivo utilizado para modificar los archivos de su sitio.

Los detalles del problema que está viendo comenzarán a informarle automáticamente qué es lo que debe hacer para resolverlo.

Ahora, si tiene una copia de seguridad actual de su sitio, seguramente querrá restaurar su sitio desde la copia de seguridad inmediatamente. El complemento BackupBuddy es la solución perfecta para tener siempre copias de seguridad actualizadas.

En ese caso, su solución será bastante simple.

Pero si no hay copias de seguridad actuales, básicamente se dirige al modo de recuperación sin ser visto, y será su trabajo limpiar el sitio.

Kathy explica: “Imagina que alguien viene a ti. Tienen un sitio pirateado y su desarrollador web no está en acción. Lo primero que debe hacer es hacer una copia de seguridad del sitio pirateado”.

“La razón es que queremos preservar la evidencia del hackeo exactamente como la encontramos. Básicamente, queremos crear una copia de seguridad si puede acceder a WP Admin. Simplemente cargue el complemento BackupBuddy y asegúrese de hacer una copia de seguridad de todo, incluida la base de datos”.

Y querrá guardar la copia de seguridad en una ubicación que esté fuera del servidor actual del sitio web porque querrá alejar todo el sitio del servidor comprometido.

Una vez que esté completo, es hora de diseñar una estrategia. ¿Qué está haciendo exactamente el sitio?

Lo es:

  • ¿Está redirigiendo el tráfico del sitio a un mal vecindario?
  • ¿Infectar los dispositivos de los visitantes del sitio cuando hacen clic en enlaces incrustados en el sitio?
  • ¿Robar números de tarjetas de crédito de clientes con un skimmer de tarjetas en la instalación de WooCommerce?
  • ¿Causa daños generales en Internet?

Si es así, querrá poner fin de inmediato a eso cerrando el sitio por completo. Luego, publique una página de "próximamente".

Después de eso, haga que la cuenta de alojamiento suspenda el sitio. Algunas cuentas de alojamiento suspenderán los sitios automáticamente si notan que hay una indicación de compromiso y que un sitio podría ser pirateado.

Primeros pasos con la limpieza de un sitio de WordPress pirateado

Después de esto, querrá dirigirse al cPanel del sitio y tomar todo lo que se encuentra en la carpeta public_html, comprimirlo y descargarlo en el disco duro de su estación de trabajo local. La razón por la que desea limpiar todos los archivos en public_html es que debe asumir que todo está completamente infectado.

A continuación, vaya al archivo de versión en wp-includes y verá la versión de WordPress que usa el sitio. La versión actual de WordPress es la 6.0. Pero existe la posibilidad de que el sitio no se haya actualizado por un tiempo.

Queremos construir una versión limpia del sitio basada en la versión que está usando actualmente. Entonces, si está usando una versión anterior, descargue el archivo zip para esa versión en particular, luego comience a crear una versión limpia del sitio con esa nueva descarga.

A continuación, deberá determinar qué temas se están utilizando en el sitio pirateado. Digamos que el sitio ejecuta Kadence 2020, 2021 y 2022. Si el sitio aún está activo y funcional, simplemente inicie sesión en wp-admin y verifique qué tema se está ejecutando.

También querrá ver qué versión del tema se está utilizando. Para hacer eso, baje al "léame" y le indicará la versión en uso.

En los archivos de temas, busque la etiqueta estable que desea que vaya con su tema en particular. Luego, vaya al repositorio de versiones del tema, donde encontrará todas las diferentes versiones del tema que están disponibles.

Si el sitio no está usando la versión más actual del tema, descargue la versión exacta que está usando.

La misma regla se aplica a los complementos. Cuando ingrese a cualquier complemento en la lista de complementos de su sitio y navegue a Vista avanzada, simplemente desplácese hacia abajo para encontrar la versión del complemento.

Por supuesto, existe la posibilidad de que su sitio se vea comprometido debido a un complemento vulnerable. Pero incluso si ese es el caso, aún querrá construir el sitio exactamente como es, incluido el complemento vulnerable.

Esto ayudará a mostrarnos exactamente dónde se encuentra el malware en el sitio pirateado.

Lo más importante es que desea comenzar su sitio limpio exactamente donde se encuentra actualmente. Luego, use una herramienta como UltraCompare que le mostrará rápidamente qué salió mal en el sitio. Esta es una gran herramienta y tiene una versión gratuita que puedes usar durante 30 días.

A partir de aquí, construirá un sitio limpio que coincida con su sitio pirateado. La herramienta UltraCompare le mostrará exactamente lo que no coincide, para que el sitio pirateado pueda limpiarse adecuadamente.

Diseña tu plan de ataque

A continuación, deberá adivinar el vector de intrusión. Podría informarle exactamente dónde buscar la existencia de malware:

  • ¿Está ocurriendo una campaña de ataque actual?
  • ¿Cuánto tiempo ha estado infectado el sitio web?
  • ¿Qué temas y complementos necesitan una actualización?

Ahora puede idear su plan de ataque. Asegúrate de quitar primero las piezas más peligrosas, en el siguiente orden:

  1. Cambiar todas las contraseñas
  2. Eliminar todos los enlaces de spam
  3. Eliminar puertas traseras
  4. Parchear todas las vulnerabilidades
  5. Eliminar redireccionamientos maliciosos

Una vez que esté seguro de que se han eliminado todos los peligros del sitio, puede regresar al cPanel de su sitio y cargar los archivos limpios del sitio para restaurar su sitio web.

Ahora es el momento de asegurar el sitio por completo para que cualquier ataque potencial en el futuro se frustre rápidamente.

Para asegurar su sitio:

  • Elimine cualquier usuario administrador irreconocible (o configúrelo como solo para suscriptores)
  • Cambiar todas las contraseñas de administrador/editor
  • Cambiar contraseña FTP
  • Cambiar la contraseña de la cuenta de alojamiento
  • Cambie la contraseña de la base de datos de WordPress y actualice su archivo wp-config.php
  • Cambia las sales de wp-config.php
  • Verifique la configuración para asegurarse de que "cualquiera puede registrarse" solo esté configurado para suscriptor
  • Instale el complemento iThemes Security y active las siguientes configuraciones:
    • Habilite la autenticación de dos factores para todos los usuarios administradores.
    • Habilite iThemes Site Scan para buscar complementos, temas y versiones principales de WordPress vulnerables.
    • Active la gestión de versiones con parches automáticos de vulnerabilidades.
    • Activar la detección de cambio de archivo
  • Asegúrese de que las copias de seguridad se ejecuten según un cronograma
  • Copias de seguridad de prueba

Como explica Kathy, “Definitivamente querrás instalar iThemes Security y activar la configuración que te informará si el sitio alguna vez sufre algún tipo de intrusión, nunca más. Y asegúrese de activar la autorización de dos factores para todos sus usuarios administrativos”.

Ella continúa diciendo: “Vas a querer proteger el sitio de todas las formas posibles. Ejecute un escaneo del sitio en iThemes Security para buscar temas vulnerables, complementos y versiones principales de WordPress. Solo asegúrate de que todo esté bien”.

“Y active la Gestión de versiones. Esta será su primera línea de defensa si vuelve a ocurrir otra intrusión. Luego, asegúrese de tener instalado el complemento BackupBuddy y pruebe sus copias de seguridad. Asegúrese de que sus copias de seguridad se envíen fuera del servidor y pruébelas para asegurarse de que pueda restaurarlas”.

"Asegúrese de que todos los archivos SQL para la base de datos también estén allí y asegúrese de que sus copias de seguridad se realicen según un cronograma".

Recuperar la reputación de su sitio después de un hackeo

Simplemente limpiar y restaurar su sitio de WordPress pirateado no restaurará automáticamente la reputación del sitio. De hecho, hay varias cosas que deberá hacer para asegurarse de que Google y los otros motores de búsqueda no continúen penalizando su sitio después de que haya sido pirateado y limpiado.

A menudo, la primera señal que tendrá de que su sitio ha sido pirateado es que Google le informa de la situación. Para ver cómo Google está viendo su sitio actualmente, diríjase a Google Search Console.

En primer lugar, si encuentra Sitemaps extraños en Search Console que no deberían estar allí, o si parece que están publicando enlaces de spam, querrá eliminarlos de inmediato.

También puede encontrar un archivo de Google en la raíz del directorio de WordPress que le dio acceso al hacker a la consola de búsqueda de su sitio. Cuando navegue a Search Console y vaya a Configuración, mire de cerca los mapas de sitio para ver si se han configurado mapas de sitio ilegítimos en esta área.

Después de esto, querrá echar un vistazo a cualquier problema de seguridad que exista en Search Console. Si actualmente se muestra la gran pantalla roja de pesimismo de Google, verá algunas banderas grandes en la consola de búsqueda en Problemas de seguridad.

Y aquí es donde solicitará que Google revise su sitio web ahora que se ha limpiado.

“Ahora, cuando se trata de Google AdWords”, explica Kathy, “puede tener el sitio más limpio del mundo, pero es posible que Google AdWords aún le esté diciendo que hay un problema. La clave aquí es seguir intentándolo. A veces, están buscando cosas diferentes a las suyas, pero sabe que Search Console solo lo ayudará con las advertencias del sitio a veces engañosas de AdWords".

Es posible que muchos de los usuarios de su sitio también estén ejecutando el software antivirus Norton o McAfee en sus dispositivos. Debido a esto, también es importante que trabaje con esas empresas para borrar cualquier lista negra en la que su sitio pueda haber aterrizado después de que fue pirateado.

Además, si su sitio ha estado enviando spam, deberá limpiar su reputación con Spamhaus. Para hacer esto, necesitará la dirección IP de su sitio para borrar la reputación de esa dirección con Spamhaus.

Cada uno de estos pasos es importante para restaurar la reputación de su sitio después de un ataque.

Lista de verificación de limpieza del sitio web de WordPress pirateado

Profundicemos en la lista de verificación completa de Kathy sobre cómo limpiar un sitio de WordPress pirateado. También puedes descargarlo aquí.

Obtenga el contenido adicional: Lista de verificación de limpieza de sitios web pirateados
Haga clic aquí

Paso 1: Planificación de la limpieza

  • ¿El sitio está realmente infectado? Si no talvez
  • Cree una copia de seguridad del sitio pirateado. (Sí, incluso el malware).
  • Descargue la copia de seguridad de los archivos del sitio y la base de datos y sus archivos de registro a su computadora.
  • Determine si el sitio debe dejar de estar disponible.
    1. ¿Está redirigiendo a los visitantes del sitio o utilizando recursos del servidor? ¿Está bajo ataque activo? Llevarlo hacia abajo.
    2. ¿Solo enlaces de spam y no bajo ataque activo? Es probable que puedas dejarlo
  • Adivina el vector de intrusión; podría informarle dónde buscar malware.
    1. ¿Hay una campaña de ataque actual?
    2. ¿Cuánto tiempo ha estado infectado el sitio?
    3. ¿Qué complementos/temas necesitan una actualización?
  • Diseñe su plan de ataque, en este orden. Retire primero las piezas más peligrosas.
    1. Eliminar redireccionamientos maliciosos
    2. Eliminar puertas traseras
    3. Parchear vulnerabilidades
    4. cambiar contraseñas
    5. Eliminar enlaces de spam
  • Nota:
    • Número de versión del núcleo de WordPress:
    • Tema activo:
    • Temas inactivos:
    • Complementos activos:
    • Complementos inactivos:

Paso 2: Lista de verificación del proceso de limpieza de sitios web pirateados

  • Descargue la versión principal de WP que coincida con el sitio infectado
  • Compare archivos de sitios limpios descargados con archivos de sitios pirateados
    1. Comparar directorios
      • wp-admin
      • Wp-incluye
      • Archivos raíz (excepto wp-config.php y .htaccess)
    2. Cree una copia limpia de wp-content
      • Todos los complementos activos
      • Tema activo (y tema secundario)
    3. Busque cualquier archivo php en wp-content/uploads/ (aparte de los archivos index.php en blanco)
    4. Revise completamente su archivo .htaccess manualmente
    5. Revisa completamente tu archivo wp-config.php
  • Revisa tu base de datos de WordPress. Limpiaremos esto después de limpiar los archivos usando PHPMyAdmin.
    1. tabla wp_posts
    2. tabla wp_options
    3. Compruebe si hay usuarios malintencionados (wp_users)
    4. Si tienes malware en tus wp_posts:
      • Use el complemento WP Optimize para optimizar su base de datos y eliminar cualquier borrador de publicación, publicaciones eliminadas. (Simplemente hace que la cantidad de datos para limpiar sea mucho más fácil)

Vuelva a colocar los archivos del sitio limpios en el servidor e intercámbielos.

  1. Usando el complemento BackupBuddy, cargue el public_html_clean reconstruido al mismo nivel que su directorio public_html
  2. Cambiar el nombre de public_html a public_html_hacked
  3. Cambiar el nombre de public_html_clean a public_html

Paso 3: Lista de verificación del proceso de limpieza de sitios web pirateados

Inmediatamente después de cambiar el sitio pirateado, es hora de asegurar el sitio.

  1. Elimine cualquier usuario administrador irreconocible (o configúrelo solo como suscriptor)
  2. Cambiar todas las contraseñas de administrador/editor
  3. Cambiar contraseña FTP
  4. Cambiar la contraseña de la cuenta de alojamiento
  5. Cambie la contraseña de la base de datos de WordPress y actualice su archivo wp-config.php
  6. Cambia las sales de wp-config.php
  7. Verifique la configuración para asegurarse de que "cualquiera puede registrarse" solo esté configurado para suscriptor
  8. Habilite la autenticación de dos factores para todos los usuarios administradores
  9. Habilite iThemes Site Scan para buscar complementos, temas y versiones principales de WordPress vulnerables
  10. Active la gestión de versiones con parches automáticos de vulnerabilidades
  11. Activar la detección de cambio de archivo
  12. Asegúrese de que las copias de seguridad se ejecuten según un cronograma
  13. Copias de seguridad de prueba

Paso 4: restaurar la reputación de un sitio web pirateado

Una vez que el sitio esté limpio y protegido, restaure la reputación del sitio.

  1. Navegación segura de Google
  2. Desde Google Search Console, solicita revisión. Espere un tiempo de respuesta de 24 horas. Visitar:
    1. https://support.google.com/webmasters/answer/168328?hl=es
    2. https://www.google.com/webmasters/tools/security-issues
  3. Vaya a Google y haga una búsqueda de "sitio: ejemplo.com" para ver lo que ve Google.
  4. McAfee
  5. Norton
  6. Spamhaus si su sitio ha estado enviando spam

Pasos adicionales de limpieza del sitio web

  • Revise los archivos de registro para averiguar cómo entraron.
  • Asegúrese de que su sitio sea la única instalación de WordPress en la cuenta de alojamiento. Si tiene otros sitios, podrían ser un vector de intrusión si no los protege también.
  • Para cualquier persona con acceso de administrador, asegúrese de que el software esté actualizado y las contraseñas estén protegidas
    • Computadoras seguras
    • Cuentas de correo seguras
    • Cuentas de redes sociales seguras
    • Teléfonos móviles seguros

Cómo evitar que su sitio de WordPress sea pirateado

Si bien no existe un sitio seguro 100% garantizado, hay algunas medidas que puede tomar para fortalecer un sitio tanto como sea posible.

1. Tenga mucho cuidado de dónde descarga complementos y temas.

Los complementos y los temas pueden provenir de sitios dudosos que tienen un código en ellos que inició los hacks. Incluso hay virus de complementos y temas que infectarían automáticamente todos los demás complementos y temas del sitio, por lo que incluso si limpiara uno de ellos, se volvería a infectar automáticamente.

2. No ejecute versiones obsoletas de WordPress, temas o complementos.

Asegúrese de que WordPress y todos los temas y complementos de su sitio estén actualizados. Eliminar complementos desactivados. No los dejes en la carpeta wp-content/plugins. Los complementos desactivados son un riesgo potencial para la seguridad, ya que no suelen actualizarse. iThemes Sync Pro es una herramienta que le permite administrar múltiples sitios de WordPress para actualizar WordPress, temas y complementos con un solo clic.

3. No se quede sin una estrategia confiable de copia de seguridad de WordPress.

Haga una copia de seguridad de su sitio de WordPress con frecuencia. Tener una copia de seguridad completa y saludable de su sitio es clave. Mantenga un archivo de varios archivos de respaldo. Si ocurre un desastre, necesitará una copia de seguridad para restaurar su sitio (después de limpiar el servidor). Consejo rápido sobre los archivos de copia de seguridad: ejecute algunas restauraciones de prueba de sus archivos de copia de seguridad de vez en cuando.

Tener una copia de seguridad que no puede restaurar es probablemente lo peor que puede pasar (después de ser pirateado). BackupBuddy le permite configurar copias de seguridad programadas que se ejecutarán sin supervisión y donde los archivos de copia de seguridad se pueden guardar en una ubicación remota. Esto debería ofrecerle la tranquilidad de que siempre tendrá un archivo de copia de seguridad saludable.

4. Use un complemento de seguridad de WordPress de buena reputación.

Puede tomar medidas para hacer que su sitio de WordPress sea más seguro. iThemes Security, un complemento de seguridad de WordPress le permite proteger su sitio de WordPress. Hay varias formas de evitar el acceso a su panel de WordPress, controlar los cambios en los archivos, buscar malware, etc.

5. No utilice contraseñas débiles.

Asegúrese de practicar la seguridad de contraseñas de WordPress utilizando contraseñas largas y complicadas. Active la autenticación de dos factores de WordPress para obtener una capa adicional de seguridad.

6. No olvides revisar tu seguridad de WordPress de vez en cuando.

Acostúmbrese a evaluar regularmente la situación de seguridad de su sitio. Así como revisas periódicamente el nivel de aceite de tu vehículo. El complemento iThemes Security le permite ejecutar un escaneo del sitio para asegurarse de que está ejecutando la configuración de seguridad recomendada. Asegúrese de fortalecer WordPress con estos 10 consejos de seguridad de WordPress.

7. Utilice una empresa de hosting que se especialice en WordPress.

Finalmente, asegúrese de alojar su sitio con un proveedor que comprenda los problemas y los riesgos relacionados con el alojamiento de sitios de WordPress, como el alojamiento administrado de WordPress de Liquid Web. Necesita un proveedor de alojamiento que haga todo lo posible, desde su lado (servidor), para proporcionar un entorno de alojamiento seguro y bien protegido.

Limpiar un sitio web de WordPress pirateado como un experto

Ahora que comprende cómo reconocer, limpiar y restaurar la reputación de un sitio de WordPress pirateado, su próximo objetivo debe ser asegurarse de que esta pesadilla nunca vuelva a suceder.

Después de todo, aunque su sitio esté nuevamente en funcionamiento, tenga en cuenta los ingresos que se perdieron durante el tiempo de inactividad no programado.

No hay mejor paso que pueda tomar para proteger completamente su sitio de WordPress que descargar, instalar y activar todas las funciones clave del complemento iThemes Security Pro. Y para cualquier ataque inesperado, asegúrese de ejecutar sus copias de seguridad en un horario con BackupBuddy.

Cuando estos dos complementos se usan juntos, nunca más tendrá que preocuparse de que un pirateo elimine su sitio web.

Mire la repetición del seminario web: Cómo limpiar un sitio de WordPress pirateado

Descargar lista de verificación
Transcripción del seminario web
Transcripción del chat