¡Ayuda, fui pirateado!Cómo solucionar problemas y arreglar un sitio de WordPress

Ser pirateado es una de las experiencias más frustrantes que enfrentará como administrador del sitio. Desafortunadamente, incluso si ha fortalecido la defensa de su sitio, alrededor de 30,000 sitios se rompen diariamente y es probable que su sitio sea presa tarde o temprano. Por lo tanto, es importante saber qué hacer cuando llegue ese día. Afortunadamente, es posible descubrir exactamente cómo fue pirateado su sitio con algunas investigaciones simples en los diarios de su sitio una vez que identificó exactamente cómo se ha infiltrado el hacker en su sitio, puede reparar la seguridad de los agujeros para evitar que la violación se repita.
En WPMU Dev, nuestro equipo de asistencia amigable y experto puede ayudarlo a diagnosticar problemas con su sitio o puede usar un complemento como el defensor para corregir los agujeros de seguridad antes de un ataque (lo detallaremos). Si desea resolver las cosas usted mismo, estas son las formas más comunes en que su sitio puede romperse y cómo verificar sus registros para obtener sugerencias. Qué tan buenos se piratean los sitios de los piratas informáticos generalmente se infiltran en su sitio de una de dos maneras: manualmente o usando un programa que crean, llamado Bot o Hackbot. Debido a que los ataques manuales pueden llevar mucho tiempo para los piratas informáticos (¡pobres, no!), Los hackbots se pueden usar para atacar sistemáticamente cientos o incluso miles o sitios cada hora.
Estas son las principales formas en que los piratas informáticos pueden ingresar a su sitio web: ataques de fuerzas brutas: esto significa adivinar los detalles de sus conexión. Si utiliza el nombre de usuario implícito “administrador” o “administrador” y contraseñas débiles, proporcione la mitad en las colas para conectarse a su sitio. Vulnerabilidades de software: cuando los piratas informáticos encuentran un orificio de seguridad en el software, complementos, temas o scripts básicos de WordPress, Pueden explotar para ingresar a su sitio inyectando sus propias escrituras, por ejemplo. Exploits de la puerta trasera: un archivo (la puerta trasera) se coloca entre los archivos de su sitio incluye un script, que permite que un hacker se repita en su sitio, que permanece sin ser detectado. ¿Puedes consultar que nuestra publicación sea pirateada constantemente? Cómo detener la explotación de la puerta trasera de WordPress para obtener más detalles. Programas de malware y virus: si tiene un virus o malware en su computadora, los piratas informáticos pueden usarlos para ingresar a su sitio incierto: el servidor en el que el sitio está debe estar asegurado. Si no es así, los piratas informáticos podrían usar los agujeros de seguridad de su servidor para infiltrarse en su sitio. Permisos incorrectos para archivos: puede establecer permisos para todos sus archivos, lo que significa que puede configurar quién puede leer, escribir y ejecutar scripts. Si establece sus permisos demasiado bajos, un hacker puede editar fácilmente sus archivos, inyectar un script malicioso, como una puerta trasera, y puede piratear su sitio.
Los hackers de phishing pueden obstaculizar o crear sitios y enmascararse como la compañía original, el blog u otro negocio confiable.Crean formularios de autenticación falsos diseñados para recopilar ciertos detalles para un uso posterior.En el caso de WordPress, su inicio de sesión podría ser robado.Las explotaciones XML-RPC-XML-RPC se usan para WordPress Pingback y Trackback.Permite a WordPress hacer llamadas más remotas mediante una sola solicitud HTTP, lo que significa que su sitio puede enviar un pingback a otro sitio y también puede recibirlas.El problema es que los piratas informáticos usan esta función para realizar ataques de fuerza bruta automática y remota.
Ataques XSS (Scripting de sitios cruzados): una vulnerabilidad XSS es un código que está escrito de cierta manera que permite a un hacker escribir y ejecutar JavaScript malicioso que guarde los datos de navegación de un usuario. Esto se realiza a través de un enlace que puedo enviar a los usuarios a un sitio para robar cualquier información ingresada por un usuario mientras navega en el sitio web. Por ejemplo, podrían robar los detalles de conexión para obtener la entrada del administrador en el sitio. Solicitudes de faltación entre sitios (CSRF): este es el momento en que un hacker falsificó una solicitud de usuario utilizando el código. Esto significa que un hacker podría hacer ajustes a una solicitud normal para crear una maliciosa. Luego, debido a que no tienen acceso al administrador, engañan a un usuario para llevar a cabo una acción que autorice su solicitud maliciosa por él. Este tipo de ataque podría usarse para tratar de engañar a un usuario para que haga muchas cosas, incluido el envío de los detalles de conexión para un hacker para que ingresen al sitio web del usuario.
El problema es que la lista anterior no es exhaustiva y, con tantos métodos disponibles para los piratas informáticos, es casi imposible adivinar cómo ha sido pirateado su sitio y cómo debe proceder a corregir el problema. Si haces esto, las posibilidades de cometer errores son más que una gran posibilidad. Dejarás ir. El hacker continuará ingresando a su sitio y puede reparar algo más creyendo que el problema está resuelto. Luego, el hacker vuelve a entrar y el círculo vicioso continúa. La única forma en que puede estar seguro de que asegura su sitio después de haber sido pirateado es saber cómo se atacó exactamente su sitio. Una vez que sepa, puede solucionar el problema exacto y finalizar el círculo vicioso. Notiones introductorias con sus revistas. Las revistas de su sitio pueden proporcionar pistas importantes sobre cómo su sitio ha sido pirateado. Verificar el registro de errores de su sitio también puede ser útil. Dependiendo del lugar donde obtenga alojamiento, encontrar estas revistas puede ser diferente para todos, por lo que es una buena idea contactar a su proveedor de alojamiento si no está seguro de dónde encontrarlas. En CPANEL, puede encontrar estas revistas en la sección de métricas después de conectarse. El registro de errores suele ser más corto, por lo que puede hacer clic en el botón Errores para buscar el registro de errores o hacer clic en el botón de acceso bruto para verificar primero el registro de acceso. . Su diario de acceso debe darle la mejor indicación de cómo ha sido pirateado su sitio.
El error de los errores puede darle una indicación rápida de lo que ha sucedido, pero debido a que no muestra intentos exitosos de acceder a su sitio, solo puede decirle mucho. Sin embargo, es un buen lugar para comenzar una idea de lo que debe tener cuidado en los registros de acceso. Para obtener una copia del diario de acceso, haga clic en el botón de acceso bruto, luego elija uno de sus sitios en la lista para descargar una copia. Puede descargar el registro de acceso al cpanel.
Una vez descargado, puede extraer el contenido y ver el diario en su programa favorito, como el editor de código fuente abierto.
Tenga en cuenta que CPANEL guarda datos solo durante las últimas 24 horas, pero puede activar el archivo para guardar datos durante un mes o más. Para revistas de errores, generalmente solo se registran los últimos 300 errores. Para activar el archivo, haga clic en el cuadro de selección ubicado en la parte superior de la página con el archivo etiqueta las revistas en su director principal, al final de cada estadística se ejecuta cada 24 horas. Además, puede optar por verificar el cuadro de selección debajo para eliminar los archivos de los meses anteriores. Esto ayuda a reducir la cantidad de espacio de almacenamiento y los recursos que su sitio necesita para mantener las revistas de archivo.

Puede elegir archivar las revistas de acceso en Cpanel.
Recuerde hacer clic en Guardar para que sus cambios no se pierdan. En la mayoría de los casos, estas opciones se activan por defecto, pero puede no ser el caso de todos los planes de alojamiento. También es importante tener en cuenta que es posible que no tenga revistas para regresar lo suficiente como para tomarse su tiempo. Una vez que su sitio está pirateado, debe ver y analizar las revistas de inmediato, porque solo tiene una pequeña ventana de oportunidad antes de que las revistas se eliminen permanentemente. Guarde todo lo que pueda para evitar la pérdida de datos clave. Comprender sus revistas. Sus errores y revistas de acceso pueden parecer un desorden de texto similar y casi indescifrable, pero una vez que sepa cómo se muestra la información, no es tan difícil de entender como parece. Los Jurnales pueden parecer complicados y descifrar.
Cuando observa revistas de errores, es importante conocer la estructura que tienen:

Fecha y hora
Tipo de error

Dirección IP del usuario
Descripción del error
Ruta de archivo de la página que se ha probado
URL del sitio que envió al usuario a la página afectada
Aunque esto cubre muchos tipos diferentes de revistas, puede ser diferente, por lo que puede ser útil consultar la documentación proporcionada por su empresa de alojamiento o el tipo de servidor. Lo mismo es cierto para sus registros de acceso. Esta es la forma en que los revistas de acceso se presentan más comúnmente:
Dirección IP del usuario
Fecha y hora
El método HTTP utilizado y la versión
Código de respuesta HTTP
Número de bytes recibe
Software de referencia (navegador o dispositivo óseo)
Quién ha accedido a su sitio (agente de usuario)
Los datos que vale la pena encontrar cuando mira muchos datos de un diario, pueden parecer una placa si no sabe en qué centrarse.Comience por echar un vistazo rápido al diario de error, porque puede darle una indicación de qué buscar en el diario de acceso.Si nota que alguien ha intentado acceder a archivos que un usuario normal no debe visitar, pero un hacker lo haría, entonces los escribiría con la dirección IP.Los hackers pueden intentar acceder a archivos y páginas como .htaccess, install.php, wp-config.php y otras partes similares de su sitio. Aquí hay un ejemplo de un diario generado por cpanel:
La idea de Jennimckinnon/356f5d1f70a18f1a3288efeba97afdc está cargado.
En este error, el servidor rechazó el acceso del usuario porque no tenía permiso para ver el archivo .htaccess. Si no reconoce la dirección IP y no es suya, entonces definitivamente es una bandera roja y debe tener en cuenta. Si no conoce su dirección IP, Google puede decirle que busca “cuál es mi dirección IP”. Cuando ve errores similares, puede pasar para visualizar el diario de acceso. Intente buscar líneas similares, pero donde el usuario tuvo éxito, lo que se mostraría mediante un código de respuesta HTTP en sus registros de acceso. Esto indicaría un éxito en la solicitud del usuario. Más allá de eso, busque usuarios que intenten acceder a páginas a las que normalmente se debe acceder como máximo varias veces y, especialmente, no todos consecutivamente y unos pocos segundos. Debido a que muchos componentes generalmente tienen que cargarse para que se muestre una sola página correctamente, es normal ver que la misma dirección IP parece que acceden a una página varias veces, como en el siguiente ejemplo: SE: SE Cargue la idea Jennimckinnon /7443D2168F2A18325C0F23AAB8517
Tenga en cuenta que, en este tipo de visita diaria de su sitio, cada elemento del diario de acceso mostraría que se cobran diferentes aspectos de la página, como JavaScript e imágenes.La diferencia entre un hacker que accede a la misma página y un visitante regular es que un hacker puede intentar usar un hackbot para acceder a la misma página una y otra vez, para que pueda ver una repetición en las mismas líneas en el diario.El ejemplo del diario de acceso anterior muestra a un visitante que ha ingresado la dirección de un sitio en el navegador, seguido de /wp-admin /red en la primera línea.Esta solicitud fue un éxito.Luego se redirigieron automáticamente a la página de conexión en la segunda línea.
Unas pocas líneas más tarde, después de cargar muchos de los activos del sitio, el usuario se conectó con éxito y se dirigió al tablero en las líneas seis y siete. La acción que hicieron a continuación fue ir directamente al editor de complementos en la línea 10. Aunque esta es una versión truncada de lo que realmente vería en su diario, presenta una buena imagen de una serie de eventos que parecen sospechosos. No muchos usuarios irían directamente al editor de archivos en el tablero una vez que se conectaron, pero un hacker lo haría. En este caso, un hacker ya habría adivinado el nombre de usuario y la contraseña. Si ve en su diario de errores y acceso que ha habido muchos intentos fallidos en las páginas de conexión o “contraseña olvidada”, entonces encontró a su hacker y él ingresó a su sitio con un ataque de fuerza bruta. Las enormes pruebas fallidas que vería antes de una exitosa se indicarían mediante un código de error de respuesta HTTP para los errores del cliente, como algunos de los comunes a continuación: 400 solicitudes incorrectas, esto significa que el usuario ha cometido un error, como usando una solicitud no válida o un error de sintaxis.
401 no autorizado: un error que aparece cuando la autorización es necesaria para ver la página, pero no se dio o no fue válida.
403 Prohibido: similar al error 401, este código de respuesta HTTP significa que el usuario no está autorizado para ver la página a la que ha intentado acceder. También significa que, aunque la demanda es técnicamente válida, el servidor ha decidido no proporcionar acceso y esta es la diferencia.
429 demasiadas solicitudes: si tiene un complemento que cuente un límite de velocidad, entonces un usuario podría ver este error si cometió más que el número de solicitudes en un cierto período de tiempo. Por lo general, esto no es un problema para los usuarios comunes, por lo que puede ser una indicación de un hacker que usa un hocico. Esta no es una lista completa de todos los códigos de error que puede ver, debe darle una idea de qué centrarse cuando Miras a través de los registros de acceso. La parte más difícil de buscar en sus diarios es que probablemente verá páginas y páginas ordinarias, incluso para sitios más pequeños. Como un administrador que se conecta al tablero generalmente genera más de 10 líneas en su diario de acceso antes de hacer clic en algo después de iniciar sesión, puede imaginar cuán grande será su diario solo tiene una audiencia pequeña. Filtrar a los visitantes comunes que filtran muchas solicitudes normales puede ayudarlo a reducir significativamente su búsqueda. Security Juices distribuyó previamente consejos para analizar sus revistas utilizando GREP y SSH. Abra su cliente de SSH favorito, como Mac OS X o Terminal de masilla para Windows e ingrese uno de los siguientes comandos que funcionan mejor para sus necesidades específicas. Puede filtrar más de la mitad de la revista, dejando de lado todos los casos en los que se ha accedido a ciertos archivos y páginas, como CSS, JavaScript, archivos de imagen y visitas a la página principal, /Contacto y /Stristup.
La idea de Jennimckinnon/BB4B0AF668D52B6FB0E7963ABFB5A537 está cargado.

La primera página se indica en este ejemplo como el primero/de Get Segment (/|/Contact |/Registro). También puede cambiar el contacto y registrarse en otras páginas que prefiere incluir en su sitio. Si descubre que este pedido no filtra lo suficiente desde el diario y debe buscar en miles de solicitudes, puede probar el comando a continuación para buscar Para solicitudes en las que se intentó acceder a la página de inicio de sesión y a la Junta Administrativa: la idea de Jennimckinnon/C17A802C504FA1A181E394C623707 está cargada.
Debido a que estas páginas son a menudo objeto de un ataque, puede ser útil examinar este tipo de solicitud, especialmente si sus errores han indicado que ha habido muchos intentos fallidos de tratar de acceder a cualquiera de estas páginas. Si conoce las direcciones IP de todos los administradores de su sitio, también puede filtrar las solicitudes de administrador con el siguiente pedido:
Cargue la idea Jennimckinnon/4761a7fce6b00e7916d4fe7d47a9e713
Tenga en cuenta que debe reemplazar 1.2.3.4 y 1.2.3.5 con las direcciones IP reales de sus usuarios de administrador. Estos pedidos deberían ayudar a restringir la revista para que las solicitudes de los hackers sean más obvias, pero ciertamente no es un sistema seguro. Debido a que solo obtiene una pequeña gama de tiempo que cubren las revistas en la mayoría de los casos, es posible que no tenga ningún resultado. Incluso con el GREP, encontrar la forma en que un hacker se ha infiltrado en su sitio puede ser como encontrar una aguja en un automóvil de heno. Por lo tanto, la automatización de este proceso es mucho más eficiente y más segura en comparación con la búsqueda manual de revistas. Swing Automation Hay muchos complementos que pueden tener cuidado y pueden notificarle si un hacker está tratando de ingresar a su sitio, incluso mientras duerme. Los complementos como Wordfency y los jugos de seguridad son excelentes opciones para asegurar su sitio. Ofrecen una lista impresionante de opciones para bloquear a los piratas informáticos, que podrían ser un poco abrumador para algunos usuarios. Alternativamente, puede usar Defender, que bloquea a los piratas informáticos, le permite fortalecer la seguridad de su sitio con unos pocos clics y arreglar las partes de su sitio que son vulnerables, todo es increíblemente fácil de usar y comprender. El defensor también se incluye en una suscripción de desarrollo WPMU e incluso puede probarlo de forma gratuita. Así es como puede descubrir cómo fue pirateado, limpiar su sitio correctamente después de ser atacado y asegurar su sitio, para que en el futuro pueda darlos a los piratas informáticos Smackdown. Puede hacer todo esto reparando los puntos de vulnerabilidad y fortaleciendo la seguridad de su sitio.
En la configuración del defensor. Las nociones introductorias con defensa antes de poder limpiar y proteger el sitio, debe descargar la defensa, luego instalarla y activarla en su sitio web de defensor es compatible con instalaciones únicas o multisíticas, así como con BuddyPress. En la multitud, el defensor se activa a nivel de red, por lo que puede administrar la seguridad de todos sus sitios en el tablero de súper administrador. Desde que se lanzó Defender, he agregado muchas cosas nuevas. ¡Vaya a la página del proyecto para ver todas las nuevas funciones! Verifique el defensor para obtener detalles sobre cómo instalar y activar complementos, consulte nuestras guías instalando complementos de WordPress y activar complementos de WordPress en toda la red. Debido a que realizará cambios importantes en su sitio, también es importante hacer una copia de seguridad completa del sitio antes de realizar cualquier cambio. Puede hacer una copia de seguridad de su sitio con Snapshot Pro, VaultPress, BackupBuddy y otras opciones. También puede consultar cómo hacer una copia de seguridad de su sitio de WordPress (y Multisite) utilizando Snapshot para obtener detalles sobre cómo hacer una copia de seguridad de todo el sitio con Snaphot Pro. Escanee su sitio una vez que todo esté listo, puede escanear su sitio en busca de vulnerabilidades inmediatamente desde la caja. Si desea verificar su configuración nuevamente, vaya a Configuración Defender>, de lo contrario, vaya directamente a Defender> Scan y haga clic en Escanear mi sitio.
El defensor escanea su sitio de vulnerabilidad de un solo clic.
Para redes o sitios más grandes, Scan puede tomar unos minutos, pero puede navegar por la página o incluso más cerca del navegador. Cuando se completa el escaneo, puede devolver y ver los resultados. Si se han encontrado vulnerabilidades o archivos maliciosos, se enumeran para usted. Puede hacer clic en el icono de clave junto al elemento para ver más detalles sobre el problema y eliminar el archivo, ignorar la vulnerabilidad si es una falsa alarma, compararlo con Una copia limpia si es un archivo básico de WordPress o restaurar el archivo detectado en una nueva versión en wordpress.org. También puede hacer clic en el símbolo universal “No” para ignorar el archivo de inmediato. Puede restaurar el resultado en cualquier momento para resolverlo más tarde. También hay un icono de basura para eliminar el archivo inmediatamente. El defensor puede detectar cambios no autorizados en los archivos de su sitio.
En las versiones futuras, automáticas y sin parar, se incluirá el registro en tiempo real, pero debido a que el defensor detecta los cambios en sus archivos, en teoría podría ver cómo un hacker ha ingresado a su sitio sin necesidad de olvidar a través de una pila de revistas. Mientras mantenga la defensa diferida, no debe preocuparse por las hipótesis, porque los piratas informáticos son golpeados antes de que tengan la oportunidad de entrar, de todos modos. También puede ayudar a asegurarse de que los piratas informáticos no puedan ingresar fortaleciendo la seguridad de su sitio. Puede hacerlo en unos pocos clics accediendo a Defender> Hardener. Las vulnerabilidades que aún no se han resuelto se destacan con amarillo. Puede hacer clic en el botón “Plus” para revelar detalles sobre vulnerabilidad. Con un solo clic, puede aplicar el remedio o puede ignorarlo. Las vulnerabilidades ignoradas se pueden restaurar en cualquier momento. Puede fortalecer completamente la seguridad con una defensa en unos pocos clics.
Además de desactivar el editor de archivos y actualizar las claves de seguridad, también puede cambiar los prefijos de la base de datos, cambiar el nombre predeterminado de la cuenta “Admin”, ocultar los informes de los errores frontales, evitar la ejecución no autorizada del PHP y mucho. Otros. Con diferido, todas sus bases están cubiertas para un refuerzo de seguridad completo. También puede automatizar escaneo accediendo al defensor>
Escaneos automáticos para que pueda relajarse sabiendo que su sitio está cuidado incluso cuando está ocupado. Puede establecer el día y la hora para los escaneos automáticos, así como si deba correr diariamente, semanalmente o mensualmente. Manteniendo su sitio seguro Una vez que se dé cuenta de cómo fue pirateado su sitio revisando sus revistas o detectando automáticamente con defensa, puede reparar exactamente el orificio de seguridad utilizado por Hacker, en su lugar, llamar para sentirse en la oscuridad y adivinar a ciegas qué arreglar. . Pero una vez que limpia y asegura su sitio, la pelea no terminó. Es importante mantener un complemento de seguridad, como el defensor, instalado para una seguridad total sin parar. Mantener la operación del defensor significa que los intentos de piratería futuros se bloquean antes de convertirse en un problema porque nadie tiene tiempo para ello. Defender también puede ayudarlo a mantener su sitio web de WordPress y sus complementos y temas actualizados con las últimas versiones de seguridad. Para obtener más detalles sobre la importancia de mantener el sitio completamente actualizado, consulte nuestra guía final para WordPress y Multisites y por qué debería tener la última versión de WordPress. ¿Su sitio ha sido pirateado antes? ¿Cómo lo arreglaste o qué harías diferente ahora para remediarlo? ¿Es la seguridad de su sitio una prioridad? ¿Cómo se mantiene a salvo su sitio? Comparta su experiencia y conocimiento en los comentarios a continuación. Etiquetas: defensor
solución de problemas
Seguridad de WordPress