limpiar WordPress malware

Limpiar WordPress Hackeado de malware

En este artículo te explicaremos cómo limpiar WordPress si es que ha sido hackeado o han instalado en él algún tipo de malware que haga que no funcione correctamente o que nos estén robando información.

Pero de momento, te propongo que le eches un vistazo a este vídeo resumen:

¿Tu WordPress va mas lento de lo habitual o ni siquiera puedes acceder a él?

¿Aparece algún contenido o imagen que estás seguro tú no metiste? ¿Surge contenido inapropiado y no sabes de dónde?

¿Tu proveedor de hosting te ha mandado un correo de aviso de seguridad o de generación de correos basura?

Estos son algunos de los síntomas habituales del malware en WordPress. Si te está pasando una o varias de estas cosas es muy probable que tu WordPress esté infectado por algún software malicioso.

Ten en cuenta que TODOS los servidores web son continuamente atacados para buscar fallos que permitan ejecutar código ajeno.

No, nadie tiene algo en contra contra ti. Simplemente los malos atacan por volumen y si tu servidor estaba por allí y tu web no estaba bien protegida, lograron entraron hasta la cocina de tu WordPress.

En general, los ciber-delincuentes (que no hackers) tienen tres propósitos principalmente:

  1. Tumbar tu página web. Puede afectar gravemente a tu negocio, por ejemplo, si es una tienda online y no puedes vender.
  2. Insertar contenidos no deseados en tu web. Puede que ni siquiera te des cuentas y tengas cientos de páginas con contenido invisibles que te aseguro no es nada bueno para tu web.
  3. Aprovechar tu servidor para poder enviar miles de correos de spam y lograr una infección mayor.

En WordPress, por las características de la información que contiene, es menos habitual que intenten obtener información privada o sensible, pero aun así siempre hay que tener las medidas de protección adecuadas.

Más vale prevenir que curar

Ya sé que si estás leyendo esto probablemente ya estés infectado. Pero permíteme recordarte qué medidas básicas hay que tomar para evitar estos ataques:

  1. Ten actualizado el núcleo de WordPress, también el tema y los plugins
  2. No instales temas o plugins de dudoso origen o que lleven mucho tiempo sin actualizarse. Utiliza siempre que puedas temas Premium.
  3. Ten copias de seguridad, más de una, y con la frecuencia adecuada para que no tengas que rehacer a mano los últimos cambios.
  4. Instala un plugin de seguridad como Wordfence o Sucuri.
  5. Monitoriza tu web con un servicio como Uptime Robot o Monitor.us

En estas medidas subyacen dos principios básicos:

  1. Cierra todas las puertas posibles a los ataques y,
  2. Ten un plan por si consiguen dañar tu web.

Y si ya estás infectado: Protocolo de urgencias

Antes de nada, necesitamos saber cómo de grave está el paciente. Necesitamos saber cómo de afectada está la web

Vamos a evaluar:

  1. Si la web esta caída totalmente.
  2. Si pese a mostrar contenido erróneo, podemos acceder a la administración.
  3. Si se ha registrado o notificado de alguna manera el error: logs del servidor, plugins de seguridad, avisos de herramientas externas.

Esto determinará los síntomas y qué medicinas aplicar.

Recuerda que si no eres experto o no tienes un perfil técnico tenemos este servicio de limpieza para WordPress hackeado que te puede interesar:

Modo Mantenimiento WordPress
¿Tu WordPress ha sido hackeado o añadido a una lista negra? Nuestro equipo de expertos WP lo arreglará con nuestro servicio de:

Recuperación de WordPress Hackeado

Para limpiar tu WordPress, vayamos de lo más grave a lo menos:

Si la web esta caída

Este es el peor de los casos, pero con un poco de suerte podremos recuperar la web fácilmente.

El primer paso sería sobreescribir el núcleo de WordPress con una copia descargada de la web oficial.

No descargues la última versión si es que tu versión de WordPress no estaba actualizada. Debes descargar la versión de WordPress que tenías instalada en el momento del ataque. Si bajas otra distinta, podría complicarse más la situación.

Puedes encontrar todas las versiones de WordPress en este enlace:  https://wordpress.org/download/release-archive/

El proceso es similar al de la instalación desde cero de WordPress. Una vez descomprimidos los archivos, los copiamos sobre nuestra web actual.

Puedes utilizar tu programa habitual de FTP o  hacerlo por ssh, o cualquiera de los métodos que nos permita nuestro proveedor de alojamiento.

Si has tenido suerte, después de hacer esto podrás acceder a tu web.

Si el daño es más grave y no consigues resucitar a tu WordPress hay que ir más allá. Es momento de que sobreescribas todos los plugins que tenías instalados. También será necesario que sobreescribas el tema descargándolo de la web oficial del mismo.

Este proceso es sencillo si tienes una copia de seguridad. Si no la tienes, le vas a tener que echar unas cuantas horas. Debes crear un WordPress nuevo y pasar los contenidos, plugins y temas uno a uno para detectar donde está el daño.

Otra opción que puedes usar y que en ocasiones funciona es crear una copia de tu web infectada y pasarle un antivirus en tu PC. Si encuentra el codigo malicioso lo limpiará y podemos copiarlo de nuevo al servidor.

En la mayoría de los casos esto vuelve a hacer funcionar la web. No te confíes porque la infección podría seguir ahí y volver a aparecer.

Si sigue sin funcionar o no quieres arriesgarte contacta con un técnico cualificado. Si te interesa recuerda que nosotros tenemos este servicio:

Si puedes acceder a la administración

En caso de que afortunadamente puedas acceder a administrar nuestro WordPress de manera normal, una primera medida oportuna sería poner tu sitio en modo mantenimiento como vimos en ese artículo.

Una vez hayas puesto tu WordPress en modo mantenimiento puedes deshabilitar todos los plugins que están activados para evitar que ejecuten código malicioso. Además deberías de cambiar a otro tema que no esté infectado.

A continuación te aconsejamos que intales el plugin Anti-Malware and Brute-Force Security by ELI que te permitirá hacer un análisis de los archivos y eliminar el código malicioso. Con los archivos de definición actualizados detectará cualquier amenaza que afecte a tu web.

Si se ha registrado o notificado algún error

Si la web al ser atacada ha registrado y notificado algún error, guarda el error porque te ayudará a solucionar el problema y detectar el código malicioso.

Con la ayuda de Google podrás obtener ayuda para solucionar el problema en la mayoría de los casos. Busca exactamente el error que has obtenido y seguro que habrá más de una web que te explicará cómo arreglarlo.

En resumen, para saber cómo limpiar un WordPress que está caído o ha sido hackeado sigue estos pasos:

  1. Accede a la administración de WordPress y desactiva todos los plugins
  2. Usa Anti-Malware and Brute-Force Security para escanear y limpiar tu web
  3. Si lo anterior no funcionó, sobreescribe los ficheros del core de WordPress
  4. Sobreescribe los plugins y la plantilla que tienes instalados
  5. Si todo esto falla, contacta con un profesional con experiencia en limpiar WordPress

Si todo esto no funciona…

Puedes pedirnos ayuda a nosotros, somos profesionales expertos en WordPress y nos hemos enfrentado a multiples problemas.

En serio, hemos visto este caso cientos de veces en clientes que vienen a que arreglemos lo que ya está roto. Muchas veces lo conseguimos pero en algún caso no se ha podido hacer nada y ¡¡ pierden toda su web !!

Por ese motivo tenemos este servicio que sinceramente creo que merece la pena para prevenir todos estos problemas:

Modo Mantenimiento WordPress
¿Estás dispuesto a perder todo tu esfuerzo en la web de la noche a la mañana? Protege tu negocio online con nuestro servicio de: Mantenimiento y soporte WordPress

Suscríbete gratis

Únete y recibe artículos interesantes y consejos para tu empresa



Deja un comentario

  1. Responder

    Hola! Muy buen artículo, os encontré en el foro de Facebook. Tenéis un muy buen contenido. Un saludo desde Bilbao!

  2. Responder

    Uno de mis sitios fué atacado y quisiera saber si por ejemplo en los permisos deben de tener las carpetas algunos en específico. Porque veo que la carpeta access-log tiene 0777 y si la modifico no acepta el cambio. Sin embargo de repente se cambian solos, por ejemplo la carpeta public se pone sola en 0000.

    La carpeta access log que permisos debería tener?

    • Responder

      Hola Melissa,

      Habría que ver personalmente el caso pero por lo que comentas parece que estás intentando cambiar permisos de carpetas de las que no puedes cambiarlo. Esas carpetas que mencionas sólo las puede cambiar tu empresa de hosting, por lo que seguramente esos permisos estén bien.

      Un saludo.