Si su sitio de WordPress ha sido pirateado, ¡no entre en pánico! Al igual que todo lo demás relacionado con TI, resolver esto es simplemente cuestión de seguir los pasos correctos. La siguiente guía lo ayudará a reparar su sitio web de WordPress pirateado.
Acerca de los trucos de WordPress
Es importante tener en cuenta que la mayoría de los hacks de WordPress no dirigido:es muy poco probable que haya sido atacado y atacado específicamente. El escenario más probable es que alguna botnet grande (a menudo miles de computadoras bajo el control de una persona o un grupo de hackers) tenga una herramienta automatizada que busque vulnerabilidades en los sitios de WordPress e intente explotarlas de manera automática.
¿Por qué hacen esto? Algunas razones posibles:
- Para una mayor replicación (difusión) mediante el uso de su sitio web para infectar también otros sitios web.
- Para enviar cantidades masivas de spam desde el servidor de su sitio web
- Para configurar un sitio de phishing, como una imitación del sitio web de un banco para tratar de atraer a las personas para que proporcionen a estos piratas informáticos sus credenciales de inicio de sesión bancarias.
- Para obtener una lista de direcciones de correo electrónico para agregar a sus bases de datos de spam (de sus usuarios de WordPress, particularmente con sitios de suscripción o comercio electrónico)
Si bien es posible que estén buscando datos de tarjetas de crédito, es muy poco probable ya que casi todas (si no todas) las soluciones de comercio electrónico que usan WordPress tienden a usar procesadores de tarjetas de crédito que no almacenan los detalles de la tarjeta de crédito en su base de datos de WordPress. Los piratas informáticos lo saben y tienden a evitar molestarse en intentar recopilar automáticamente este tipo de datos.
Si no se siente cómodo completando este proceso de reparación de 6 pasos, es totalmente comprensible. Tenemos un servicio de "lo arreglaremos por ti" que oscila entre $79 y $149 CAD, según el alcance del ataque. Incluso adaptaremos el precio en función de la cantidad de reparaciones que haya realizado usted mismo, así que siéntase libre de comenzar y dejar que nos hagamos cargo parcialmente, solo asegúrese de decirnos todo lo que ya ha hecho. ¡Ponte en contacto con nosotros para saber más!
1. Desactivar sitio para proteger su reputación
Si no puede resolver este problema de inmediato, es imperativo que desactive su sitio en Plesk ahora. Como se indicó anteriormente, muchos hacks intentan activamente difundir copias de sí mismos o atacar a otros, y querrá cerrar esto de inmediato hasta que pueda llegar a las reparaciones.
A veces puede ser difícil saber si el hack está atacando activamente a otros. En el caso de que lo sea, y no detenga ese comportamiento de inmediato, puede dañar la reputación de su sitio web durante semanas o incluso meses. Los motores de búsqueda (como Google) y el software antivirus como TrendMicro y McAfee bloquearán su sitio web, lo que provocará una caída masiva de visitantes y, potencialmente, también una caída en la clasificación de los motores de búsqueda. Esto es muy malo , y es exactamente por eso que no debe permitir que su sitio continúe funcionando hasta que se limpie el hackeo.
2. Haz una copia de seguridad
Comience siempre por hacer una copia de seguridad de su sitio web usando su método favorito. ¿Por qué desea hacer una copia de seguridad si va a incluir los archivos pirateados? Dado que ajustará y eliminará archivos de forma manual (y automática usando herramientas como WordFence), es importante tener una copia de seguridad de todo en caso de que necesite restaurar uno o dos archivos.
Asegúrese de que cuando cree la copia de seguridad, la etiquete claramente como "pirateada" para no restaurarla en el futuro, pensando que es un punto de restauración correcto. O simplemente elimine la copia de seguridad cuando esté seguro de que el sitio funciona bien.
3. Reparar el acceso del administrador del sitio web
El primer paso es ver si puede acceder al front-end del sitio y al administrador de WordPress con sus credenciales habituales. Si no es así, averigüe qué impide el acceso. Los siguientes son un par de posibles escenarios que podrían impedirle acceder al administrador de su sitio web. Si *puede* acceder a su administrador, puede omitir este paso.
¿Tienes una pantalla blanca de la muerte?
Este es el nombre de lo que sucede cuando intenta acceder a su sitio web o al administrador del sitio web y obtiene una pantalla completamente blanca sin nada, en lugar de su página de inicio o la página de inicio de sesión del administrador. La pantalla blanca de la muerte ocurre cuando en realidad se está produciendo un error subyacente, pero solo se registra, no se muestra en la pantalla. En realidad, este es un buen comportamiento, a pesar de lo que pueda parecer en este momento, ya que muchos complementos y temas registrarán advertencias y avisos que no desea que sus usuarios vean. Sin embargo, cuando se trata de un error crítico, no aparece nada en la pantalla:¡de ahí la pantalla blanca!
Consulte nuestro artículo sobre la reparación de la pantalla blanca de la muerte para saber cómo solucionarlo, luego regrese aquí para continuar limpiando el truco.
Un truco que vimos recientemente, manipulado con el archivo central de WordPress index.php agregando una línea "incluir" para incluir otro archivo. Desafortunadamente (o afortunadamente) faltaba el archivo que intentaba incluir, lo que provocaba un error. El registro de errores indicó algo como "no se puede encontrar el archivo". Por lo tanto, eliminar la línea 'incluir' de index.php solucionó el problema y volvió a poner el sitio web en línea. Dicho esto, no solucionó todo el truco, así que asegúrate de no arreglar esto y decir "¡Terminé!" — es probable que haya mucho más.
Una vez que solucione ese problema, intente visitar el sitio y/o iniciar sesión en el administrador nuevamente. Si aún no puede acceder a la página de inicio o la página de inicio de sesión, después de corregir el error encontrado en los registros, probablemente haya encontrado otro error diferente. A menudo, será necesario repetir este proceso varias veces, ajustando diferentes archivos cada vez según el error proporcionado en los registros, antes de que pueda recuperar el acceso completo.
¿La contraseña no funciona?
Si su contraseña de administrador no funciona, el pirata informático (o más probablemente la herramienta de piratería automática) cambió la contraseña de administrador. ¡El siguiente paso es restablecer su contraseña de administrador! Aquí le mostramos cómo restablecer su contraseña de administrador de WordPress para recuperar el acceso.
4. Medidas de administración de WordPress
- Análisis de malware de WordFence: Instale WordFence y ejecute un escaneo. Es posible que WordFence no siempre sea el mejor para prevenir un ataque, pero puede ser decente para ayudar a limpiar uno.
- Contraseñas de administrador: Cambie todas las contraseñas de usuario de "administrador" de WordPress a seguras valores. Esto significa que se prefieren al menos 20 caracteres y generados aleatoriamente. Si estás preguntando "¿cómo voy a recordar eso?" entonces probablemente no esté utilizando un administrador de contraseñas como LastPass, y absolutamente debería hacerlo. No pase por alto esto; las contraseñas débiles son probablemente la principal razón por la que se piratean los sitios.
- Actualizar todos los complementos y temas: Si tiene complementos y temas comerciales que no se actualizan con el actualizador de WordPress incorporado (eso no es bueno), asegúrese de actualizarlos manualmente, luego establezca una tarea recurrente para actualizarlos todos los meses y solicite al desarrollador la funcionalidad de actualización automática. ! Si no desea el trabajo adicional de actualizar manualmente, cambie el tema o complemento a uno que se actualice automáticamente.
- Inspección visual: Mire a través de las páginas en el administrador de WordPress para ver si detecta algo mal. Busque temas y complementos que puedan haberse cargado inesperadamente. Busque cosas que no recuerde que existieron anteriormente; pueden darte una pista sobre dónde se encuentra la vulnerabilidad o qué cambió con el hackeo. Si, por ejemplo, ve un comportamiento extraño de un complemento en particular, sea agresivo y elimine el complemento por completo, luego vuelva a instalar una copia nueva desde Complementos> Agregar nuevo. Esto asegura que si los archivos del complemento también estuvieran infectados, serán reemplazados por archivos limpios.
5. Restablecer archivos principales
Primero, descargue una copia nueva de WordPress en su computadora y extráigala, si su sistema no lo hizo automáticamente. Luego, inicie sesión en Plesk y navegue hasta "Archivos" O conéctese a través de FTP para obtener una lista de archivos en vivo de su sitio web. (El administrador de archivos Plesk es más fácil a menos que ya esté familiarizado con el uso de FTP).
Opción A:Inspección visual / Encuentra la diferencia
Compare la lista de archivos en vivo a través de FTP o en el administrador de archivos Plesk con lo que ve en el conjunto de archivos de WordPress recién descargado en su computadora. (Estos archivos se verán como wp-config.php, wp-settings.php, etc.).
Tenga en cuenta que no necesita abrir los archivos; solo estamos comprobando si hay archivos adicionales que el hack podría haber colocado y que no necesitan estar ahí.
Si detecta algo diferente, descárguelo a su computadora* (en caso de que no sea realmente malicioso, tendrá una copia guardada que puede restaurar) y elimínelo del servidor. Repita esto hasta que esté seguro de que la instalación de WordPress no tiene ningún archivo extraño no esencial.
Opción B:Reemplazo de archivos (más rápido)
Una táctica extremadamente efectiva es simplemente eliminar todos los archivos y carpetas que comiencen con "wp-" excepto
Hacer esto asegura que si alguno de los archivos principales de WordPress se infectaron, seguro que ya no lo estarán.
Luego, se recomienda repetir este proceso con cada carpeta de complementos que se encuentra en wp-content/plugins/ y cada carpeta de tema que se encuentra en wp-content/themes (nota:probablemente no encontrará una para *cada* tema) también, simplemente asegúrese de hacer una copia de seguridad primero, en caso de que necesite restaurarlos. Si su desarrollador ha hecho bien su trabajo, cualquier personalización que haya implementado está en temas secundarios y, por lo tanto, no se verá afectada por una actualización de tema central o una actualización de complemento.
Una vez que haya hecho esto con los archivos principales de WordPress y cada complemento y carpeta de temas, las cosas se vuelven un poco más complicadas. No podemos simplemente reemplazar el resto de los archivos con copias nuevas, ya que no hay copias nuevas:¡lo que queda es el contenido único y los elementos de diseño que conforman su sitio!
Lo mejor que puede hacer desde aquí es mirar manualmente el resto de las carpetas de contenido de wp para ver si detecta algo que no debería estar allí. Estos son algunos consejos:
- wp-content/uploads debe contener solo carpetas, imágenes y documentos. No debería encontrar ningún archivo .php o .js ni ningún otro tipo de archivo de código allí, excepto quizás HTML sin formato.
- Si usted o su desarrollador utilizaron un tema secundario en wp-content/themes/
al crear su sitio, deberá (o su desarrollador deberá) inspeccionar cada uno de los archivos dentro del elemento secundario carpeta de temas para ver si hay algún código malicioso insertado en ellos.
Como una versión no concluyente, pero rápida de esto... la mayoría de los hacks tienden a inyectar código en la parte superior o inferior de los archivos, por lo que el 99 % de las veces, será seguro simplemente verificar al principio y al final de cada archivo en el tema hijo.
*En todos los casos de sitios web pirateados que hemos visto, no debe preocuparse por los archivos pirateados que infectan su computadora. Estos archivos infectados casi siempre deben ejecutarse en un servidor web para que sean efectivos. Dicho esto, ¡asegúrate de no hacer doble clic/ejecutarlos por si acaso!
6. Mantenimiento final
Ahora que has limpiado el truco
- Cambie las claves de seguridad en wp-config.php para forzar la finalización de todas las sesiones iniciadas
- Restablezca su contraseña de FTP en Plesk, por si acaso.
- Cambie la contraseña de su base de datos. Comience cambiándolo en su panel de control. Aquí le mostramos cómo hacerlo en Plesk. Luego, una vez que tenga su nueva contraseña de la base de datos, debe informar a WordPress del cambio actualizándolo en wp-config.php.
- Elimine cualquier complemento que permita un fácil acceso directo a archivos desde WordPress, como el complemento "wp-file-uploader" que hemos visto utilizado en muchos trucos.
- Siga los pasos aquí para fortalecer su instalación de WordPress, que si se mantiene al tanto de todo lo descrito en ese artículo, evitará que su sitio sea pirateado nuevamente.
- Pídale a su servidor web de WordPress que realice un análisis de malware en busca de archivos infectados adicionales que pueda haber pasado por alto. Si está alojado con Websavers, ¡puede revisar nuestros análisis semanales de malware en Plesk! Simplemente inicie sesión en Plesk, en la pestaña predeterminada Sitios web y dominios, busque Imunify360 en la esquina superior derecha y haga clic en él para revisar todo el malware detectado.
- ¡Asegúrese de hacer una copia de seguridad de su sitio recién limpiado!
- Consulte las listas negras comunes de sitios web para asegurarse de que no terminó atrapado en una de ellas. Si lo hiciste, sigue sus instrucciones para que te eliminen. Consulte la sección "Tenga en cuenta las listas negras de sitios web" en las preguntas frecuentes sobre WordPress pirateado aquí para obtener más detalles.
Recursos
- Preguntas frecuentes de WordPress:"Mi sitio fue pirateado"