Cómo actuar ante un ataque a un WordPress

Mi Wordpress ha sido hackeado

Un sitio web desarrollado en WordPress puede ser una arma con muchos filos. Un desarrollo utilizando este popular CMS tiene unas ventajas indudables.

Es relativamente rápido montar un proyecto en WordPress, personalizarlo y con un poco de pericia y experiencia, pueden ser fáciles de mantener.

Pone además a nuestra disposición una enorme cantidad de plugins y añadidos, muchos gratuitos, otros de pago, que añaden funcionalidad extra a nuestro proyecto.

Pero también conlleva un enorme peligro si no lo atendemos debidamente.

Peligros de los proyectos en WordPress

Cuando nos lanzamos a montar un proyecto en Internet y elegimos WordPress como el CMS a utilizar, debemos tener algo muy en cuenta. Se calcula que más del 30% de las páginas web de todo el mundo, en España sube la cifra a un 65%, están desarrolladas en WordPress. Son cifras tan expectaculares que no hace falta entender porqué los hackers de todo el mundo están constantemente buscando debilidades en esta popular herramienta. Encontrar un error de seguridad, y ser el primero, pone a su alcance MILLONES de páginas web en todo el mundo.

WordPress se ha convertido en un «vale para todo» que nació como herramienta para crear blogs personales y que da soporte actualmente a negocios de todo tipo. Lo mismo sirve para una tienda de muebles de Madrid que para un pequeño restaurante en un pueblo de Marruecos.

Consejos para recuperar un sitio web en WordPress hackeado

Como dice un conocido superhéroe… todo poder conlleva una responsabilidad, y la de todo usuario de WordPress es mantener su página web completamente actualizada. De no hacerlo, es solo cuestión de tiempo que algún hacker (y no necesariamente uno con mucha experiencia) encuentre un hueco por donde colarse y nos entre como Pedro por su casa a nuestra página web y nos haga un buen roto en el pantalón.

Y tipos de ataque hay muchos, y aquí no vamos a entrar al detalle. Si has llegado hasta aquí es fácil que Google haya marcado tu página web como peligrosa… una temible pantalla en rojo que dice algo como:

El sitio web al que vas a acceder es engañoso

Es posible que los atacantes que se encuentren en xxxxxxxx intenten engañarte para que realices una acción peligrosa, como instalar software o revelar tu información personal (por ejemplo, contraseñas, números de teléfono o tarjetas de crédito). Más información.

Aviso de sitio web peligroso

Si nos encontramos con este mensaje al entrar a nuestra página web, lo primero que debemos hacer es mantener la calma. Por desgracia esto ocurre hasta en las mejores casas y este temible aviso nos alerta que nuestra web ha sido marcada como peligrosa por tratar de engañar al usuario solicitando información personal, tarjetas de crédito, tratar de instalar algún tipo de virus o tratanto de engañar al usuario haciendo creer que está ante la página de inicio de sesión de un banco o alguna otra web conocida.

Lógicamente toda esta actividad ilícita lo hace sin nuestro consentimiento y es, con casi total seguridad, por un ataque informático contra nuestro WordPress, inyectando código PHP o Javascript malicioso que posiblemente genere una página de phishing que trata de robar información a los incautos que caen en ella y que seguramente también esté aprovechando nuestro servidor web para enviar correo fraudulento a diestro y siniestro.

Google Webmasters también es de ayuda

Un paso importante ante todo ataque es tratar de conocer la información que tiene la propia Google del mismo. Para ello haremos uso del sitio web de Google Search Console para dentro de la sección «Seguridad y Acciones manuales» y «Problemas de seguridad» ver qué nos puede indicar. Si Google ya nos tiene «controlados», veremos una advertencia como esta:

Ataque sitio web - detectado problema

Aquí ya nos está dando información muy valiosa, como las URLs de los archivos infectados.

Limpiando una web en WordPress infectada por virus

Otra acción importante será identificar la fecha del ataque. Para ello lo más sencillo será acceder con un cliente FTP a nuestro servidor web para ver la fecha de modificación de los archivos que componen nuestro WordPress. En sitios web con poco movimiento o poco actualizados (los más vulnerables) será muy evidente pues veremos modificaciones de archivos o carpetas en fechas recientes. Eso nos dará una primera pista.

Luego como primera gran medida, trataremos de recurrir a una copia de seguridad ANTERIOR a esa fecha. Sobra decir que es IMPORTANTE realizar copias de seguridad frecuentes de nuestros sitios web, pues será nuestro seguro de vida en estos y otros casos. Suponiendo que tenemos la copia, restauraremos la misma en nuestro servidor para volver a un estado anterior al ataque.

Si lo logramos, tendremos un sitio web limpio pero potencialmente inseguro. Así que, actualizaremos el core de WordPress, todos nuestros plugins y cambiaremos las claves de acceso por algunas variantes más complejas y seguras.

Si no tenemos copia, trataremos de pasar algún sistema de antivirus / antiphising de WordPress como «Anti-Malware Security and Brute-Force Firewall». https://es.wordpress.org/plugins/gotmls/

Estos sistemas no son 100% efectivos, y será casi seguro que tendremos que ir haciendo varias pasadas, eliminando archivos sospechosos de forma manual y repitiendo la operación tantas veces como sea necesario.

Plugins de seguridad para WordPress recomendados

Prevenir es siempre mejor que curar así que esta acción no la debemos dejar para cuando sea demasiado tarde. Debemos mantener tanto el WordPress como todos los plugins actualizados. Es una regla de oro. Otra contramedida es instalar algún plugin de seguridad como Wordfence Security más información – que es uno de los más clásicos y efectivos. Sin necesidad de pagar licencia ya nos ofrece un conjunto de herramientas que mejorará notablemente la seguridad de nuestra página web.


Versión de PHP en nuestro servidor web

Sigue siendo habitual encontrarse páginas web que funcionan en versiones muy viejas de PHP… versiones como la 5.3, 5.4… que son versiones declaradas obsoletas hace muchos años y que son realmente peligrosas. Siempre es recomendable, por seguridad y rendimiento, tratar de correr nuestro WordPress en la versión de PHP más reciente posible. En esta página tenemos las versiones de PHP y si tienen soporte oficial. Para esta tarea dependerás del proveedor de tu página web.

Comprobando si nuestra web está en listas negras

Si tenemos claro que nuestra web ha sido atacada debemos comprobar si nuestro sitio web ha sido detectado como peligroso por Google, Norton u otras plataformas de seguridad como McAfee, ESET, Opera, etc. Son las llamadas «listas negras» y estar en ellas es señal de peligro. Una web que está en listas negras. 1º) Es muy fácil que desaparezca de los resultados de Google. 2º) Dará una muy mala imagen a nuestros potenciales clientes.

Así que más pronto que tarde debemos ir a:

https://sitecheck.sucuri.net/

E introducir la dirección de nuestro sitio web y darle al botón de «Scan Website».

Tras unos instantes en la parte derecha nos indicará, dentro de la sección «Website Backlist Status», si nuestra web aparece en alguna de las listas negras más populares. También nos informará de cosas interesantes como si nuestra versión de PHP es vulnerable, versión del WordPress y algún dato más.

Solicita la revisión en Google, Norton y McAfee

Una vez estamos seguros que nuestro sitio web está libre de infecciones, es turno de avisar a las empresas que ya estamos preparados y limpios. Os pasamos el enlace de las tres más conocidas. Google, Norton y McAfee.

https://safebrowsing.google.com/safebrowsing/report_error/?hl=es
https://safeweb.norton.com/
https://www.trustedsource.org/?p=mcafee

Para llegar a solicitar el borrado en la web de Norton (que es un poco lioso) podemos seguir estos pasos:

En la parte superior vamos a «Sign In». Si tienemos cuenta iniciamos sesión, y de no ser así, la creamos. Es gratuito.
Una vez dentro de nuestra cuenta vamos a nuestro perfil (esquina superior derecha) y vamos a «My profile».

Aquí, dentro de la pestaña «Site dispute» podemos añadir el sitio web que ha sido hackeado para pedir su reevaluación.

Salir de una lista negra no es cuestión de minutos… puede tardar varias horas en ser procesado y si nuestro sitio web sigue infectado, volveremos al punto de partida para limpiar, comprobar y notificar.

Comparte esta entrada :

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *