Cómo eliminar los programas de malware de un sitio web de WordPress pirateado

En Fixmysite.com, dedicamos todos los días de la semana para ayudar a las agencias y empresarios a superar los problemas con sus sitios web. Una de las solicitudes de asistencia más comunes que recibimos es la reparación de sitios web pirateados. En este artículo, analizaremos los pasos para eliminar el malware de una instalación de WordPress. Tenga en cuenta que esta guía no está destinada a ser una solución general para reparar todo tipo de hacks. Sino una visión general y un proceso propuesto sobre cómo proceder cuando se compromete un sitio de WordPress.
Independientemente de la situación, ¡es muy importante mantener el frío!

Vínculos internos:
Detalles de acceso
Respaldo
El modo de mantenimiento
escaneos
Actualizar WordPress
complementos
temas
usar
Contenido no deseado
Nuevas contraseñas
WAF y optimización
Análisis de consola de búsqueda de Google
Consideraciones adicionales
Después de leer este artículo, si considera el embarazo fuera de su zona de confort, no dude en revisar nuestro servicio de eliminación de WordPress de malware.
1. Vaya a detalles El primer paso es obtener acceso al panel de control de su cuenta de host. Para la mayoría de los administradores de WordPress, este es Cpanel o Plesk. Si se encuentra en un entorno de alojamiento administrado, necesitará acceso al sistema de archivos y la base de datos.
También necesitará una cuenta de administrador de WordPress. 2. Copia de seguridad incluso si su sitio web puede infectarse, es importante tener una copia de seguridad de respaldo. ¿Por qué puedes preguntarte? Muchas empresas de alojamiento suspenderán su cuenta y, en algunos casos, eliminarán su sitio. Puede sonar un poco extremo, pero la práctica común es prevenir la infección de otros sistemas en su red. Para hacer una copia de seguridad de su sitio, puede usar el popular complemento Updraft Plus. Recuerde hacer una copia de la base de datos y descargar los archivos de repuesto a su computadora. ¡Se sentirá más seguro sabiendo que tiene una copia de su sitio a mano! 3. Modo de mantenimiento Para proteger temporalmente los usuarios de su sitio, debe cargar una página de mantenimiento. Un sitio pirateado puede redirigir a sus visitantes a sitios pornográficos, juegos de azar y sitios maliciosos. Lo último que desea como propietario de un negocio es dañar a sus clientes. Hay dos formas simples de cargar una página de mantenimiento. El primero es instalar un complemento como la página SEDEPRO pronto y el modo de mantenimiento. Otra opción es cambiar el nombre del archivo index.php y cargar un simple index.html en el directorio raíz.
4. Escanee en una de las publicaciones de blog anteriores, compilé una lista de los mejores complementos de escaneo de malware. Cuando nos atribuyen a la tarea de eliminar programas de malware de un sitio web de WordPress, usamos dos complementos para escanear nuestras iniciales. El primero es Wordfency y el segundo es GOTMLS por Eli Scheetz. Wordfency está lleno de funciones y opciones, puede leer más sobre su configuración extendida en la página de documentación aquí. Después de instalar el complemento, vaya a la página de escaneo y haga clic en “Opciones de escaneo y programación”. Deberá establecer WordFency para ejecutar un escaneo de “alta sensibilidad”. Dependiendo de los recursos de su servidor, es posible que deba ajustar la configuración de rendimiento en consecuencia.
Una vez que se complete el escaneo, el software compilará una lista de archivos infectados en su sistema, complementos anticuados y vulnerables, así como contenido sospechoso y direcciones de spam de URL. De manera similar, GOTMLS (un complemento súper genial) escaneará su instalación de WordPress para malware y exploits conocidos. Instale el complemento y regístrese para una cuenta gratuita. Luego continúe descargando las últimas definiciones de seguridad.

¡Haga un escaneo completo y vaya a una taza de café! Tomará un tiempo. A menudo encontramos que los gotmls y Wordfency se complementan entre sí. Orun u otro atrapar algo que el otro podría perderse.

Una vez que se muestran los resultados del escaneo, tome tiempo para viajar lentamente. Los resultados lo ayudarán a comprender la infección. Ya sea un complemento, el tema de un WordPress o los archivos básicos se han comprometido. También vale la pena señalar que ambos escáneres de malware no son 100% precisos. Verifique manualmente los archivos de instalación más importantes para encontrar códigos maliciosos que los escáneres podrían haber omitido (más sobre esto en los próximos pasos). 5. Actualice WordPress actualizando WordPress a la última versión, reemplazamos: WP-Include Director

El director del WP-Admin
archivos raíz
con una nueva copia. Efectivamente, eliminar cualquier archivo pirateado de esas ubicaciones.
Escribí un breve tutorial sobre cómo actualizar WordPress usando el popular cliente FTP FileZilla.
Advertencia
Hagas lo que hagas, asegúrate de no eliminar el director de contenido WP y el archivo wp-config.php. El director de contenido de WP es el lugar donde se almacenan todos los temas y archivos, así como las imágenes. Mientras que WP-Config.php se usa para conectar su aplicación a la base de datos.
6. Los complementos que ejecutan y mantienen complementos vulnerables en un sitio web son una de las razones más comunes por las cuales los sitios de WordPress se han roto! Para ayudarlo a ordenar sus complementos, Wordfense enumerará los complementos que:
Debe actualizarse
Son vulnerables
que están abandonados
Fueron retirados del almacén de WordPress
Reemplace, actualice y elimine según sea necesario. Luego vuelva a los resultados del escaneo de GOTMLS y WordFency y verifique el doble de lo que se han informado con contenido malicioso. Puede eliminar el contenido malicioso del complemento o eliminar el complemento y reinstalar una nueva copia del almacén de WordPress. Si no usa un complemento, límpielo. También puede acceder a la base de datos de vulnerabilidad WPSCAN y verificar cualquier vulnerabilidad que cotice. Por supuesto, si ha instalado un complemento Premium (complemento anulado), no se sorprenda si encuentra una puerta trasera o su sitio se usa sin su ¡autorización! 7. Temas Si su sitio web está infectado con programas de malware, querrá prestar más atención a los archivos de temas. A menudo encontramos que los clientes tienen docenas de temas en su director de temas. Si no usa un tema, elimínelo. En su directorio de tareas, debe tener una nueva copia de los veinte y tantos años predeterminados y su tema activo. Para su tema activo, reemplácelo con una copia limpia o una versión actualizada.
Si tiene un tema infantil, actualice el tema principal y examine al niño manualmente para cualquier código no deseado. Preste más atención a las funciones.php, index.php, header.php y foeter.php del tema de su hijo 8. Usuarios
Una táctica de hackers común es crear una cuenta para poder usar para acceder a su sitio web. Para resolver este problema, debemos autenticarnos en nuestro panel de control y abrir PhPMyAdmin. Luego abra nuestra base de datos y seleccione la tabla de usuario. Revise las entradas para cualquier cuenta que no haya sido creada por usted, también puede examinar a los usuarios de su sitio en el tablero de WordPress (las cuentas se pueden ocultar). Si encuentra un usuario no autorizado, elimine la cuenta y cualquier contenido asignado al usuario. 9. Contenido no deseado Hasta ahora, hemos trabajado en los archivos básicos, temas y complementos de nuestro sitio. Pero no analizamos el contenido de nuestro sitio. En algunos casos (por ejemplo, Pharma y Hack SEO), los enlaces se pueden inyectar en páginas y publicaciones de blogs. Eliminar el contenido de la página con la página es factible solo si su sitio consta de varias páginas. Sin embargo, si tiene varios cientos de páginas, deberá realizar una búsqueda y reemplazar en la base de datos. Para ayudar con el embarazo, a menudo usamos la mejor reflexión de búsqueda de deliciosos cerebros.
Encuentre un modelo en el hack e insértelo en el campo “Buscar” y deje el campo “Reemplazo con”.Luego seleccione la tabla en la que desea ejecutar la búsqueda y reemplazar la consulta.Si selecciona “Ejecutar una ejecución seca”, no se realizarán cambios en la base de datos, lo que le permite verificar los resultados de antemano.En el mismo problema, preste más atención a las páginas confidenciales, como la página de contacto, el carrito de compras y la página de pago.Si tiene campos personalizados (por ejemplo, campos para sótanos y guiones de encabezado), asegúrese de que no se hayan agregado scripts no conformes.10. Contraseñas Esta parte es simple, ¡reinicie todo!
Comience con el archivo wp-config.php. Restablezca la contraseña de su base de datos y cree un nuevo conjunto de claves de seguridad. Luego continúe restableciendo las contraseñas de su cuenta de usuario. Por supuesto, usa contraseñas seguras y no algo estúpido como el nombre de su blog o “Starwars”. 11. WAF y optimización En esta etapa del proceso, su instalación de WordPress debe ser malware. Para verificar nuevamente, siempre puede escanear la aplicación nuevamente. A continuación, querrá implementar algunas medidas de seguridad para proteger su sitio. Una de las opciones disponibles es instalar un firewall para aplicaciones web (WAF). Dos proveedores de servicios populares incluyen jugos y Wordfense. Dado que escaneamos nuestro sitio web con Wordfency, también podemos activar WAF (la versión básica también es gratuita). Si desea obtener más información sobre el complemento, tenemos un excelente tutorial sobre cómo instalar y configurar WordFense, donde examinamos las funciones en detalle. Vaya al tablero de Wordfency, en la pantalla de protección, seleccione “Todas las opciones de la pantalla de protección”. Protección con la fuerza sin procesar Una de las primeras medidas de optimización que puede implementar es la protección de la fuerza bruta. La protección de la fuerza bruta limitará y bloqueará los intentos de inicio de sesión no válidos en
Limitación de la tasa Otra característica útil incorporada en Wordfency es la limitación de la tasa.Limitar la tarifa supervisará a sus visitantes y los acelerará o los bloqueará de acuerdo con su actividad en su sitio, por ejemplo, si un hombre visita más de 15 páginas en un minuto, limitaremos su acceso al sitio durante 30 minutos.Además, si alguien apunta a una URL vulnerable, bloquearemos su IP.Ajuste la configuración de acuerdo con sus necesidades, pueden ser necesarios pocos cambios y ajustes para ser adecuados para sus archivos para los archivos de acuerdo con la documentación oficial de WordPress, sus permisos deben establecerse de la siguiente manera:

Carpetas – 755

Archivos – 644

Los permisos se pueden actualizar a través de FTP y línea de comando. En cualquier caso, no dañe un correo electrónico a su proveedor de alojamiento, porque el cambio en los permisos puede tener efectos negativos en el rendimiento y la disponibilidad de su sitio. ¡A cualquier precio, evite tener archivos o directorios establecidos en 777! .Htaccess El refuerzo adicional se puede lograr limitando el acceso y evitando la ejecución de archivos en ciertos directores. Para evitar el acceso al Director de Incluyes WP, agregue el siguiente mode_rewrite a su archivo .htaccess: WP-Content/Sobloads es donde sus imágenes y archivos se cargan en la mayoría de los casos, los archivos PHP no tienen negocios allí. Para detener la ejecución de archivos PHP, puede agregar un archivo .htacesa al directorio con la siguiente sintaxis: wp-config.php es uno de los archivos más importantes en una instalación de WordPress. Al colocar la próxima sintaxta en su archivo .htaccess, puede rechazar cualquier acceso a él. XML-RPC La mayoría de los sitios web y folletos de negocios no necesitan una API para comunicarse de forma remota con su sitio. Si desea deshabilitar la función, puede hacerlo: agregando el siguiente archivo .htaccess: y lo siguiente para sus funciones.php: add_filter (‘xmlrp_enabled’, ‘__return_false’); Y no olvide deshabilitar Pingbacks y Trackbacks en la configuración de discusión. Tenga en cuenta que los complementos populares como JetPack usan XML-RPC y no funcionarán si lo deshabilita. ¡Las actualizaciones lo más importante de todo, asegúrese de actualizar WordPress y todos los complementos y temas!
12. Examen de la consola de búsqueda de Google Si su sitio está en la lista negra, sus visitantes pueden recibir una advertencia en su navegador y desde su antivirus al visitar su sitio.Ingrese la siguiente URL para determinar si su sitio web se ha incluido en la lista negra de Google: https://www.google.com/safebrowsing/diagnostic?

Sitio = http: //mywebsite.com/ Inicie sesión en su cuenta de consola de búsqueda de Google (por ejemplo, herramientas de webmasters). En el lado izquierdo, haga clic en “Problemas de seguridad” y, una vez que su sitio esté limpio, solicite una revisión. Si Google establece que su sitio está seguro, la advertencia de seguridad se eliminará de los navegadores Chrome. Otras autoridades (por ejemplo, asesor del sitio McAfee) que mantienen listas negras tienen su propia política para eliminar y revisar los sitios web. 13. Los pasos de consideraciones adicionales del 1 al 12 lo ayudarán a restaurar su sitio en buenas condiciones. Según mi experiencia como mecánico de sitios web, pensé en incluir algunas consideraciones que podría necesitar tener en cuenta al eliminar el malware de un sitio web de WordPress. La empresa de alojamiento cada empresa de alojamiento es ligeramente diferente. Algunos proveedores se toman la seguridad más en serio que otros. Dicho esto, su sitio puede haber sido comprometido debido a las medidas de seguridad de Laxa a nivel de alojamiento. Elegir una empresa de alojamiento es como elegir un lugar para vivir. Preferiblemente, desea vivir en un vecindario que sea accesible y seguro. ¡La misma lógica se aplica a su sitio, sus antiguas instalaciones, la mayoría de nosotros, en nuestro servidor, tenemos muchos sitios web antiguos e instalaciones de WordPress que flotan!

Tal vez hace unos años, cuando comenzó su negocio en línea, creó algunos sitios web de pruebas para familiarizarse con cómo funciona WordPress. ¿Pero borraste esos sitios? ¿Y sabes que esos sitios son accesibles en la web? Como regla general, elimine cada instalación anterior en su servidor. El alojamiento compartido es un escenario común (y desafortunado) en el que AgencyXYZ administra una cuenta de host compartida. El sitio principal (o raíz) es Agencyxyz.com. AgencyXyz administra los sitios de docenas de clientes. Los sitios web del cliente están alojados en el mismo servidor en el mismo director public_html. Los sitios se crearon utilizando la función de dominio de complemento de Cpanel. Como resultado, cuando un sitio se ve comprometido, todos los demás sitios en el servidor llegarán pronto. En este caso, deberá seguir pasos del 1 al 12 para cada sitio web individual. Si es posible, ¡también puede crear una cuenta de host por separado para cada cliente y puede migrar los sitios! En la lista negra, es bastante común para los sitios web que han sido pirateados para ser incluidos en la lista negra. En resumen, las “listas negras” son listas de sitios web, campos y direcciones IP que se han informado para distribuir contenido dañino. Si está en la lista negra, ¡eche un vistazo a las guías de eliminación de la lista negra en nuestro sitio para resolver esas advertencias aterradoras del navegador! Pensamientos finales