¿Qué debo hacer si tengo malware en mi wordpress?

Posted by | · · · | Blog · Seguridad Web | Sense comentaris a ¿Qué debo hacer si tengo malware en mi wordpress?

[vc_row][vc_column][vc_column_text]

Lo sé, lo sé… sé que después de Supermonitor vs Multi-pantalla muchos estabais esperando como mínimo la segunda parte, pero la verdad es que esta semana me toca ponerme un poco técnico y serio ya que he tenido algunos problemas (ya resueltos) de seguridad relacionados con el famoso malware o software malicioso, así que he decidido ilustraros un poco esta experiencia y realizar mi propia guia. ¡Espero que os ayude!

EL MALWARE EXISTE Y WORDPRESS PUEDE SER UN AUTÉNTICO COLADERO

Como desarrollador web la verdad es que mi principal tarea en Òndia! está siendo la de implementar CMS como Wordpress o Magento para nuestros clientes –contáctanos y comenta que has leído este post para disfrutar de un super precio- pero esta semana he estado ocupado porque parece ser que fui algo descuidado porque incluso Google nos puso en las listas negras así que siendo lo más breve posible voy a tratar de exponeros algunas de las soluciones que he encontrado, implementado, y a parecer, han funcionado.

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_row_inner][vc_column_inner width=”1/4″][vc_column_text]malware-virus[/vc_column_text][/vc_column_inner][vc_column_inner width=”3/4″][vc_column_text]

Definición de malware

El malware (del inglés malicious software), también llamado badware, código maligno, software malicioso o software malintencionado, es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora o sistema de información sin el consentimiento de su propietario. El término malware es muy utilizado por profesionales de la informática para referirse a una variedad de software hostil, intrusivo o molesto. El término virus informático suele aplicarse de forma incorrecta para referirse a todos los tipos de malware[…] – en Wikipedia -.

[/vc_column_text][/vc_column_inner][/vc_row_inner][vc_row_inner][vc_column_inner][vc_column_text]

CONSEJOS BÁSICOS

  1. Básico pero debe decirse. No utilicéis nombres de usuarios tan habituales como: root, admin, administrador, …
  2. ¡Importantíssimo! Nunca utilicéis el nombre de usuario como password del mismo usuario. Yo lo hice para ponérselo fácil, total quien va a venir a tocar las narices. Pues pam en la cara, me entraron y insertaron código malicioso en todas las páginas y entradas de la web.
    • Solución: Borré el código directamente des de las bases de datos sin tocar el texto. Ya que los códigos normalmente se encuentran al principio o al final de las páginas donde se añaden, también en el caso de las entradas a las bases de datos. Después también busqué en los archivos del WordPress códigos parecidos al siguiente:

  3. ¡Super recomendable! modificar la url de acceso a l’administración www.dominio.com/wp-admin –> www.dominio.com/admin por ejemplo.
  4. ¡Filtra comentarios! Aunque no ha sido mi caso, también puede ser que a través de los comentarios, los piratas publiquen links y pings a otras webs. Hecho que hará que tengas muy mala reputación, pues los enlaces llevan a páginas fraudulentas. Opciones > Comentarios.

[/vc_column_text][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column]

1) Analiza tu sitio web

[vc_column_text]Obvio, ¿no? Primero debéis saber y conocer si nuestro sitio web dispone o no de algún tipo de algún intruso.

 

Actualmente hay bastantes páginas en las que puedes realizar estos tests online y de momento la más utilizada es la de Sucuri Security, empresa la cual también dispone de un plugin para WordPress bastante aconsejable.

 

Una vez introducido el dominio que analizado la web, os llevará a una página parecida a las que os muestro a continuación para mostraros cual ha sido el resultado no solo para el malware sino que también te dirá si te encuentras en alguna lista negra, o dispones de SPAM inyectado y/o si te han cambiado la página web (desfigurado). Verde bueno, rojo malo.

sucuri-good-results

 

Recomiendo que se utilice el botón de force re-scan porque así obligas a la aplicación a re-analizar el análisis del sitio web en el momento y no a cargar los últimos datos que tiene en caché o memoria. Recomiendo forzar tanto si se ha obtenido un buen resultado como uno malo.

 

[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column]

2) Realiza una copia de todo

[vc_column_text]Lo sé… este paso da mucha pereza pero es necesario que vayas cubierto y que te hagas una copia de seguridad de los archivos de la web así como también de la base de datos por si un caso.

 

En principio, tu proveedor de hosting y dominio seguramente ya te tendrá habilitado en tu panel de administración un apartado donde disponer de varias copias de seguridad de días anteriores. Esto, aunque no lo creas es lo que te da más seguridad a la hora de empezar a hacer y deshacer.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column]

3) Detecta, ubica y elimina la infección

[vc_row_inner][vc_column_inner width=”2/3″][vc_column_text]Según mi criterio y mi experiencia podréis detectar y/o encontrar fragmentos de código en:

  • Revisad el directorio de WP para buscar anomalías.
    • Repasar el archivo .htaccess: puede ser que haya sido modificado
    • Buscad archivos que no deberían estar en el Wordpress: Desconfiad de archivos como post.php, article.php si estos se encuentran en la carpeta raíz (base) de tu WP (revisa la imagen que te facilitamos y compara el listado con el de tu servidor).
    • Revisad los plugins (carpeta wp-content > plugins) que no haya ninguno que no esté bien.
    • Revisad los archivos .js: Como en nuestro caso, nos entró un virus que se replicaba a todos los archivos .js del sitio así que cada tuve que sustituir todos los archivos como bien os decía antes. Sin embargo no fue suficiente.
  • Revisad la base de datos.
    • Preferentemente dentro de la tabla de posts (wp_posts) podréis encontrar al final de cada entrada, por lo general aunque podría estar al inicio también, un código que empieza con la clave script como este: <script> function() … </script>
    • Aquí la estructura inicial de tablas no es tan fácil mantenerla como en el caso de los archivos, pues si habéis instalado plugins, estos acostumbran a crear tablas donde guardan la información sobre sus configuraciones y de más. Sin embargo, os dejamos el esquema inicial de tablas para que podáis comprobar si las nuevas tablas son buenas o no.

[/vc_column_text][/vc_column_inner][vc_column_inner width=”1/3″][vc_single_image image=”2038″ img_size=”full” add_caption=”yes” alignment=”right”][/vc_column_inner][/vc_row_inner][vc_row_inner][vc_column_inner][vc_single_image image=”2041″ img_size=”full” add_caption=”yes” alignment=”right”][/vc_column_inner][/vc_row_inner][/vc_column][/vc_row][vc_row][vc_column]

4) Retoque final

[vc_column_text]Una vez detectados los focos de la intrusión y haber borrado de cada archivo u entrada en la base de datos los scripts maliciosos, debéis asegurarnos que realmente está todo limpio (realiza otro test en Sucuri, por ejemplo) y además también recomiendo que cambiéis las claves de acceso tanto del WordPress, como el de conexión con la base de datos

-recuerda que si realizas eso des del panel de control de tu servidor, también debes modificar el archivo wp-config.php de tu WordPress-.

 

Si a pesar de eso no has conseguido hacer limpieza y incluso no has podido evitar que el antivirus web te detecte malware, personalmente te recomiendo que borres todas las carpetas y en vez de sustituir las carpetas o de realizar backups de las carpetas que tu consideras están infectadas, lo subas todo de nuevo. Es decir:

  1. Aséguraos que la base de datos realmente no está infectada (de este modo nos ahorra mucho trabajo a la hora de restaurar los contenidos)
  2. Borra todo el directorio www | html | public_html
  3. Descargaros y subid otra vez todos los archivos de WordPress a tu directorio raíz.
  4. Descargaros y subid de nuevo el tema del que dispongas si es distinto a los que el propio WordPress lleva.
  5. Modifica la clave de acceso a la base de datos y modifica el nuevo wp-config.php para que todo pueda funcionar correctamente.
  6. Accede al panel de administrador.
    • Selecciona en Apariencia > Temas. Tu tema
    • (si se da el caso) Descarga los plugins que necesites y que sepas que realmente no son malignos
    • Revisa que no hay usuarios fáciles ni passwords igualmente fáciles. (cámbialos directamente. WP te deja generar automáticamente una contraseña segura)
  7. Disfruta de tu limpieza.

[/vc_column_text][vc_column_text]

¡Muchas gracias por vuestro tiempo y hasta la próxima!

[/vc_column_text]

Si no has podido solucionar tu problema, o simplemente necesitas apoyo, no dudes en contactar con nosotros.

[/vc_column][/vc_row]

Read More