Cómo restaurar un WordPress infectado por virus

wordpress-infectado-cabeceras-posts

Encontrarte uno de tus sitios web WordPress infectado por virus no es tan difícil como piensas. De hecho, teniendo en cuenta que más del 30% de las webs que existen en Internet están creadas con este famoso CMS, es lógico que millones de ellos sean atacados cada día.

No te olvides de que los sitios webs pequeños y con poco tráfico también sufren ataques habitualmente.

En este artículo queremos contarte cómo puedes actuar en caso de que tu sitio sea atacado.

WordPress no es 100% seguro

Siempre que hablamos de seguridad informática, repetimos la misma frase: la seguridad total no existe.

Se pueden adoptar medidas preventivas y reaccionar con rapidez para desarrollar parches que cubran nuevas vulnerabilidades. Pero los piratas informáticos siempre están buscando nuevas formas para acceder a los sitios.

La comunidad de WordPress siempre está trabajando en nuevas versiones que, en la mayoría de los casos, sirven para adoptar nuevas medidas de seguridad y prevención frente a ataques. El problema es que muchos sitios funcionan con versiones obsoletas y por tanto vulnerables.

Además, aunque tengamos la última versión de WordPress siempre hay otras vías de acceso como puede ser el propio hosting o servidor. En este punto, contar con un hosting seguro es crucial. De otra forma, los atacantes podrían acceder vía FTP y modificar o alojar otros archivos, por lo que igualmente tendríamos un WordPress infectado. Con el acceso FTP también podrían leer tu archivo de configuración y acceder a la base de datos MYSQL, lo que podría ser catastrófico y muy difícil de limpiar.

Y no hay que olvidarse, por supuesto, de los propios usuarios. Posiblemente el punto más débil de cualquier plan de seguridad son los usuarios descuidados que ponen contraseñas inseguras o las dejan en lugares visibles, que tienen las webs sin actualizar o que descargan archivos, plugins o temas desde sitios sin verificar. Todos estos descuidos son invitaciones para que los enemigos entren en casa.

Tengo mi WordPress infectado, ¿Y ahora qué hago?

Cuando detectamos que algo no va bien en nuestro sitio web, debemos seguir una serie de pautas destinadas a conocer el alcance del ataque y su posible solución. En algunos casos se podrá arreglar con herramientas de eliminación de malware y en otras habrá que realizar una restauración completa del sitio.

Vamos a poner un ejemplo real: un atacante consigue acceso al servidor y modifica el archivo .htaccess para redirigir a los visitantes a un nuevo archivo index.php que ha alojado en una carpeta del servidor. Este archivo index.php sobrescribe algunas variables de WoprdPress para mostrar imágenes y enlaces de spam en algunas entradas del blog.

wordpress-infectado-htaccess-modificado

1.Escanea tu sitio web

Existen muchas herramientas online y gratuitas que te permiten escanear tu sitio web en busca de archivos maliciosos. Prueba primero con alguna de ellas y es posible que consigas detectar el tipo de amenaza. Por supuesto, en caso positivo, la propia herramienta te ofrecerá la mejor solución.

https://www.virustotal.com/gui/

https://sitecheck.sucuri.net/

https://safeweb.norton.com/

También puedes utilizar algún plugin de seguridad para WordPress con el que puedes escanear tu sitio web. Además, estos plugins te aportarán muchas opciones adiciones de seguridad. Siempre es recomendable tener alguno de ellos instalado para que puedan frenar intentos de ataque a la web.

Sin embargo, en el ejemplo que te mostramos, las herramientas de análisis no consiguieron detectar ningún malware debido a que el virus se camuflaba bajo la apariencia de archivos normales de WordPress.

2.Restaura tu copia de seguridad

Si tras el análisis pertinente no consigues detectar y eliminar la amenaza, pero sabes que sigue ahí, lo siguiente que puedes hacer es restaurar una copia de seguridad. Como es lógico, la copia debe ser anterior a la fecha de la infección.

Bien sea desde tu propio servidor, desde una herramienta externa como ManageWP o manualmente desde tu propio equipo, las copias de seguridad son para estos casos.

Sin embargo, es posible que tras la restauración de la copia de seguridad, los archivos maliciosos sigan ahí, ¿Cómo es posible? Dependiendo del tipo de restauración que se haga, solo se restauran y sobreescriben los archivos anteriores y no los nuevos. En este caso, como los archivos del virus eran nuevos, seguían apareciendo en el servidor.

3.Busca archivos modificados en el servidor

Si la restauración de la copia de seguridad tampoco consigue eliminar los archivos maliciosos, toca sacar la lupa y analizarlos manualmente. En el ejemplo que te comentamos, se había modificado el archivo .htaccess para añadir una redirección hacia una carpeta que incluía archivos maliciosos.

Si los archivos añadidos son claramente identificables, bórralos del servidor y recarga tu página. Puede que tengas suerte y la infección haya desaparecido por completo (Aunque la vulnerabilidad que permitió el ataque seguirá existiendo).

Pero si los archivos maliciosos vuelven a aparecer después de la recarga quiere decir que, probablemente, se ha modificado algún registro en la base de datos que volvía a ejecutar el código para modificar los archivos del servidor.

En este caso, puedes realizar una búsqueda en la base de datos. Pero, dependiendo de la extensión de la base de datos, esta operación puede ser como buscar una aguja en un pajar. El código malicioso puede estar en cualquiera de los miles de registros que tiene una base de datos de WordPress bien cargada de plugins. Si has llegado a este punto, nuestro consejo es cortar por lo sano.

wordpress-infectado-archivos-maliciosos

4.Borra por completo el servidor

Una solución drástica pero efectiva. Eso si, asegúrate de tener a mano una copia de seguridad anterior a la infección.

Borra todos los archivos del servidor y borra también la base de datos completa. Ahora crea otra base de datos con otro usuario y otra contraseña e instala una copia nueva de WordPress. Una vez que la tengas instalada, comprueba que funciona bien y no tiene ningún archivo infectado. A continuación, restaura tu copia de seguridad sobre la copia nueva de WordPress.

Al borrar todos los archivos anteriores nos aseguramos de que el código malicioso ha sido eliminado tanto de los archivos como de la base de datos.

Dejar un comentario

Acepto la política de privacidad

RESPONSABLE: DESAFIO INTERNET SL
FINALIDAD PRINCIPAL: Atender solicitudes de información, ejecución de la contratación de servicios y remisión de comunicaciones comerciales.
LEGITIMACIÓN: Consentimiento del interesado.
DESTINATARIOS: No se cederán datos a terceros, salvo autorización expresa u obligación legal
DERECHOS: Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, transparencia y derecho a no ser objeto de decisiones automatizadas.
INFORMACIÓN ADICIONAL: Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad y Aviso Legal ADICIONAL: Puede consultar la información adicional y detallada sobre nuestra Política de Privacidad y Aviso Legal

*

Share This