WordPress hackeado

WordPress hackeado

Importante! Actualización octubre 2016

Este mes de octubre ha sido especialmente intenso en cuanto a ataques a WordPress se refiere; hackear WordPress parece que se ha convertido en un hábito; nuestro servicio de soporte ha recibido más de un centenar de alertas sobre sitios web hackeados; algunos creados por nosotros y otro muchos, la mayoría, de otros programadores.

Características comunes de un WordPress Hackeado

El primer síntoma que presentan la mayoría de los WordPress hackeados es la aparición de ventanas emergentes; ventanas que envían a sitios con contenido pornográfico, inversiones de dudosa procedencia, anuncios de viajes y, el más peligroso, una actualización de Adobe Flash. Si bien las distintas ventanas emergentes son de escaso peligro, más allá de lo que representan para un sitio web “normal”. La instalación de esta supuesta actualización de Adobe Flash si es todo un riesgo, ya que, si la aceptas, instala un conjunto de malware en tu ordenador que es muy complejo de eliminar después; por lo tanto, si aceptaste esa descarga lo primero que debes hacer es ponerte en manos de un experto que desinfecte tu ordenador. El objetivo va más allá de hackear WordPress, están intentando entrar en tu ordenador. Ya no se conforman con obtener información y controlar tu web, al hackear tu wordpress están, de paso, controlando tu ordenador, lo que quieren son tus contraseñas.

Consecuencias de la actualización

  • Acceso a las contraseñas de tu correo electrónico
  • Toma el control de tu webcam
  • Es capaz de leer aquello que escribes en tu teclado y, por lo tanto, el hacker accede a tus contraseñas.
    • Seguramente el punto más crítico, ya que si accedes a tu banco, introduces la numeración de tu tarjeta, etc. Estás aportando esa información al pirata.

Como detectar el hackeo de la web

En este post ya explico que herramientas utilizamos; tanto para detectar, como para prevenir que wordpress sea hackeado; no obstante estos últimos ataques tienen una nueva característica, y es que la mayoría de las herramientas detectan algunas de las vulnerabilidades de WordPress, pero no todas. Hay una buena parte que no son visibles por las herramientas tradicionales y precisan de que alguien experto revise la web. Si has sido atacado, en primer lugar, no entres en pánico.

Desinfectar WordPress paso a paso

Vamos a ver a continuación como podemos detectar los archivos que han sido infectados en WordPress. Es muy importante seguir los pasos que te indico, ya que si el hacker ha instalado una inyección de PHP en los archivos que te voy a explicar, podrá saber que estás limpiando la web y, si cambias contraseñas, las recibirá en su correo electrónico. Por lo tanto, antes de cambiar nada sigue estos pasos uno a uno.

  1. Accede a tu FTP

    1. En tu FTP verás las fechas en que han sido modificadas las carpetas y archivos, pero no siempre es así; accede a la carpeta themes en wp-content/themes/tuplantilla
    2. Una vez en la carpeta de la plantilla ordena por fechas, si tu ataque ha sido de fuerza bruta tendrás tres archivos modificados recientemente; 404.php, footer.php y header.php
    3. De los tres archivos, por si quieres investigar, el más crítico es el del footer, ya que es en este archivo donde el pirata habrá insertado un script del cual no voy a dar más detalles por razones de seguridad.
    4. Voy a dar por supuesto que tienes una copia de tu plantilla; si no la tienes lo más aconsejable es que la descargues con la última actualización.
      1. Aquí tenemos dos posibles vías, bien sustituir los archivos mencionados, o la segunda (recomendado) renombrar la carpeta de tu plantilla y subir la actualizada completa.
      2. Importante, no borres la carpeta renombrada hasta que estés seguro de haber completado todos los pasos y que tu web funciona correctamente.
    5. A continuación, y como situación más frecuente, lo más probable es que tengas instalado el plugin de caché W3 Total Caché. Además no estará actualizado, pero a pesar de estar actualizado, el hacker de turno habrá subido a los archivos de caché esas páginas con los ventanas emergentes que queremos neutralizar.
  2. Borrar el plugin de caché

    1. Para eliminar completamente el plugin de caché debemos realizar varias acciones.
      1. Borrar la carpeta w3-total-cache en wp-content/plugins
      2. Eliminar la carpeta cache en wp-content
      3. Eliminar la carpeta w3tc-config en wp-content
      4. Borrar los archivos advanced-cache.php, db.php y object-cache.php (esto puede variar en función de la configuración que hicieses del plugin en su momento.

Con esto ya tenemos de nuevo el sitio web listo para tomar el control de la situación; pero aún nos faltan algunos pasos

  1. Accede al panel de control de tu servidor o al phpmyadmin si conoces la ruta de acceso.

    1. Si desconoces el nombre de la Base de Datos y su contraseña, estos datos están alamcenados en tu archivo wp-config
    2. Una vez dentro de phpmyadmin vamos a revisar la tabla users
    3. En la tabla users verás que el nombre de usuario del administrador ha sido cambiado; normalmente no se matan mucho los hacker y habrán puesto el nombre de tu dominio; pero no habrán cambiado el Álias, editamos la yabla y restauramos el nombre de usuario original; comprueba si ha cambiado tu email de contacto y de ser así cuelve a introducir el tuyo.
  2. Accede a tu administración de WordPress

    1. Lo más probable es que el acceso sea con elnombredetudominio/wp-admin; (esto lo vamos acambiar después)
    2. No intentes acceder directamente; el hacker ha cambiado tu contraseña; por lo tanto haz una solicitud de recuperación de contraseña y la cambias por una nueva mediante el enlace que vas a recibir.
    3. Con este paso ya tenemos de nuevo el control sobre nuestra web; ahora toca revisar las actualizaciones de plugin y actualizar.
  3. Volvemos al panel de control de nuestro servidor

    1. Cambia las contraseñas de tu FTP y de la base de datos
    2. En el archivo wp-config introduce la nueva contraseña de acceso a la base de datos
    3. Comprueba que todo funciona con normalidad, si no es así revisa los pasos 1 y 2 nuevamente.

Aumenta la seguridad de tu web

Tal y como explico más adelante, tienes un buen conjunto de medidas para que tu web hecha con WordPress esté segura; pero en esta actualización te voy a añadir un elemento más:

Instala el plugin All in One WordPress Security

Con el plugin instalado y activado tienes diversas opciones de seguridad que el mismo autor del plugin te recomienda. En este caso nos vamos a centrar en el factor más débil, el acceso a la administración de tu wordpress.

En el panel de ajustes del plugin, busca la opción fuerza bruta, activas la casilla de verificación y en la parte inferior verás un espacio para añadir un nombre personalizado a tu area de administración; este punto sustituira tu wp-admin por aquello que introducas en ese campo. Recuerda lo que has puesto y trata de acceder a la web con wp-admin; verás que te devuelve un error, esto es más que suficiente, por ahora, para evitar que el robot que envía el hacker acceda a nuestro panel de administración.

Bloquea las Ip sospechosas

Este es un punto delicado; si utilizas Wordfence en el apartado Live Traffic puedes ver los intentos de acceso a tu web de los distintos bots (en color gris). Bloquea aquellos que te resulten sospechosos, sobre todo aquellos que intentan acceder a wp-login.php.

Mucho cuidado con no bloquear los bots de los rastreadores, ya que puedes impedir el acceso y perder posicionamiento SEO.

Con estos pasos, que no son pocos, ya deberías tener tu sitio web limpio. Ahora, si quieres puedes volver a instalar el plugin de caché.

Te habrás dado cuenta que en ningún momento he mencionado que tires de copia de seguridad; la copia de seguridad que tengas de tu web, lo más probable, es que contenga el malware introducido por el hacker; por lo tanto es totalmente inutil restaurar la copia ya que vas a volver a ser hackeado.

Recomedaciones de seguridad en WordPress

Un WordPress Hackeado llega a nuestras manos frecuentemente como un site que busca optimización WordPress y el problema real es que esta siendo victima de un ataque.

Lamentablemente cada día es más frecuente recibir llamadas de clientes que nos indican que han sido victimas de un ataque y que tienen su WordPress hackeado, lo más normal es que se trate de webs con escaso mantenimiento y que se encuentran con plugins sin actualizar y con un montón de vulnerabilidades.

He sido víctima de un ataque

Tratando de no generalizar, una web diseñada con WordPress puede ser víctima de ataques por un sinfín de motivos, en realidad no es que “vayan a por tí”, cuando un hacker te fija como objetivo lo mejor es tirar la web y construir una nueva, cambiarla de alojamiento y modificar todos los accesos a ella, pero si has sido víctima de un ataque genérico de los millones que se lanzan todos los días, lo mejor que puedes hacer es tratar de limpiarla cuanto antes y a continuación protegerla.

¿Eso significa qué ya no te van a atacar nunca más?

Evidentemente no, de ti va a depender en gran medida, de que tengas plantillas, plugins y tu wordpress actualizados, que tu FTp tenga los permisos correctos y por supuesto que tu hosting tenga las suficientes alertas para que un ataque por parte de hacker no llegue a culminar en un contagio entre las webs allí alojadas; también es muy recomendable instalar plugins de “alerta temprana”, si, es incómodo estar recibiendo emails de tu wordpress con informes vulnerabilidades, usuarios que intentan logarse con nombre de usuario incorrectos, etc.

Vamos a ver como trabajamos en Jardín de Ideas ante un WordPress Hackeado

¿Como limpiamos la web de hacker?

En la primera fase de análisis ante un WordPress hackeado, nuestro equipo identifica las vulnerabilidades que ha aprovechado el hacker y trabaja sobre ellas, pero lo mejor en todos los casos es la prevención, y en ello vamos a centrar este post.

Dentro de las tareas que más consultas recibimos en nuestro equipo de desarrollo web son clientes que se han encontrado de la noche a la mañana con que su site hecho con WordPress ha sido hackeado.

WordPress es un CMS de código abierto que por su propia definición es muy sencillo de hackear, por ejemplo buscando sites desactualizados

Si tu web hecha con WordPress ha sido hackeada a continuación te mostraremos algunas formas de solucionarlo, si aun no tienes tu wordpress hackeado te explicaremos como evitarlo.

Vamos a empezar por el final, ya que si hay algo que evita un WordPress hackeado es la prevención.

Consejos para evitar la sorpresa de encontrar tu WordPress hackeado.

wordpress hackeadoMantén WordPress siempre actualizado

Mantén tu plantilla siempre actualizada a la última versión.

Ante este tema un par de consideraciones, crea tus propias plantillas o asegúrate de comprar plantillas en un lugar con buena reputación.

Las plantillas gratuitas salen caras al final, ya que sus funcionalidades son limitadas y sus actualizaciones escasas.

Actualiza tus plugins.

Soy un firme defensor de utilizar el mínimo de plugins posible por varias razones:

A mayor número de plugins mayor peso para la página, mayor numero de JS y CSS a cargar

A mayor número de plugins mayor facilidad para que un hacker encuentre como entrar en tu site por un plugin desactualizado.

Establece medidas preventivas:

Haz copias de seguridad frecuentes de tu site, incluida la BBDD, así será más fácil recuperarlo en caso de un ataque de fuerza bruta.

Ojo, si la copia ya contiene código malicioso estás perdido.

Cambia de vez en cuando tus contraseñas, tanto de BBDD como FTP para evitar que los intentos de entrada sean fáciles, recuerda utilizar contraseñas difíciles de localizar.

Instala, aunque parezca contradictorio algunos plugin de seguridad, yo recomiendo tres, combinados dan un porcentaje de seguridad muy elevado y además te envían un mail en caso de sospechas de seguridad.

Wordfence

Es un plugin muy efectivo, tanto para la prevención como para la detección de posible código malicioso, analiza incluso el Core de WordPress, pero ojo, no todos los avisos son por código malicioso, antes de proceder a ejecutar alguna de las acciones sugeridas por el plugin asegúrate de que realmente es un problema y no fruto de una correcta actualización.

Wordfence tiene multitud de opciones, tanto en su versión gratuita como en la de pago, a mi personalmente me gusta ajustarlo al máximo de restricciones posibles.

  • Ajustes básicos:

    • tal y como viene de serie ya es muy efectivo, pero te va a enviar un email incluso cuando tu accedas al área de administración.
    • Para evitar esto tienes en el menu de wordfence–>opciones la posibilidad de que el plugin se actualice automáticamente, con ello consigues dos objetivos, no tener que preocuparte por el principal método de seguridad de tu web, y recibir un aviso cuando los plugins de tu instalación necesitan ser actualizados.
    • En el apartado de Alertas, cambia el “0” por “1”, ello obliga a Wordfence a no enviar más de un email cada hora, de lo contrario en días de muchos ataques te va a coser a emails que van a despistar tu atención.
    • En el apartado de login, cambia los ajustes por defecto,

      • ya que da 20 intentos de login antes de bloquear al usuario y 20 intentos de recuperación de contraseña.
      • Yo lo dejo en 3 intentos y el bloqueo en 30 días, posible problema, que si uno de tus colaboradores usa los tres intentos por el motivo que sea, lo va a bloquear y vas a tener que desbloquearle manualmente.
      • También puede suceder que el que se bloquee seas tu mismo, aunque el sistema detecta al administrador, un intento fallido en más de tres ocasiones de tu login tambien va a ser bloqueado, para ello existe una solución que prefiero no exponer aquí para no dar pistas a los hacker, si es tu caso no dudes en consultarme como hacer para desbloquear tu usuario.
    • A continuación tienes la opción de bloquear a quienes usan nombres de usuario tipo: admin, test, el nombre de tu dominio, etc. Lo único que has de hacer es activar la celda “bloquear inmediatamente los intentos de login cuyo nombre de usuario no existe en tu instalación de WordPress, espero que a estas alturas ninguno de vosotros use “admin” como nombre de usuario, lo digo porque es más habitual de lo que pueda parecer.
    • Como con cada bloqueo, el sistema crea un log de intentos fallidos y de usuarios bloqueados, te aconsejo que en la celda que aparece a continuación vayas añadiendo esos nombres de usuarios que están intentando logarse, ya no les va a dar ni los tres intentos, inmediatamente bloqueados, así sin anestesia.
  • En el apartado de Ips bloqueadas podrás ver los intentos de login fallidos y sus Ip,

    • recomiendo que los bloquees permanentemente, si uno de tus colaboradores fue bloqueado por error de login, su Ip tambien aparece ahí junto con la opción de desbloquear.
    • Como herramienta antispam tambien nos ofrece soluciones, si tienes multitud de comentarios con Spam, lo mejor es añadir manualmente esas Ip a las Ip bloqueadas, de esa forma esa Ip ya no accede más a tu web, es un trabajo lento pero de mucho valor para evitar Spam de forma efectiva.

Por el rewsto de opciones, que son muchas las que nos ofrece este pluguin para encontranos con nuestro WordPress hackeado, te recomiendo que las dejes tal y como están, ya que son suficientes para mantener tu blog libre de ataques maliciosos. La seguridad nunca es plena, pero vas a ver como reduces en poco tiempo los intentos de ataque que buscan en las vulnerabilidades del Core de WordPress puertas de entrada a tu web.

Anti-Malware and Brute-Force Security by ELI

Este plugin analiza las vulnerabilidades y busca malware en tu instalación de wordpress, además su base de datos se actualiza constantemente con nuevas definiciones de malware.

Te permite efectuar, en su versión gratuita, un completo Scan de tu instalación, en la última actualización han desactivado la protección de fuerza bruta si no efectuas un “donativo mínimo de 29$”, antes esta opción era gratuita, pero entiendo que la seguridad de la web vale mucho más que esos 29$, por tanto yo hago el donativo para mis clientes y por su seguridad.

El escaneo completo te va a dar todas las vulnerabilidades y cambios en ficheros, tanto los que deben, como los que no deben estar en tu WordPress, además si prestas un poco de atención, con hacer clic en las vulnerabilidades marcadas en rojo, vas a saber cada inyección de código maligno donde se encuentra y como restaurarla a su estado normal, en muchas ocasiones, con la experiencia irás viendo que archivos son de la instalación y cuales no, por lo tanto con borrarlos va a ser suficiente.

Cómo siempre recuerda hacer una copia de tu web por si borras algo que no debes.

NinjaFirewall

Su propio nombre lo indica, es un firewall , este plugin rechaza las peticiones externas de PHP con lo cual es muy difícil que recibas inyecciones de código.

La combinación de los tres es una buena forma de empezar si tu aún no tienes tu wordpress hackeado.

Que más podemos hacer para evitar encontrar nuestro WordPress hackeado:

No incluyas en el sitemap el autor, ya que le estás dando en bandeja al hacker tu nombre de usuario, solo le falta el password.

No uses el mismo password en la BBDD, FTP y administración de WordPress, (mucho más común de lo que pueda parecer)

Vamos a dar por supuesto que vuestro usuario no es admin, root ni nada que se le parezca.

Pero y si nos encontramos nuestro sitio WordPress hackeado?

worpress hackeadoLo más probable, parece que está de moda, es inyectar código malicioso del tipo eval64, en primera instancia lo que se intenta es tomar el control del site para enviar SPAM, lo cual os pondrá en problema con vuestros correos electrónicos oficiales que llegarán a vuestros contactos marcados como SPAM.

Vamos por partes, en primer lugar y si no los tenías instalados es posible que no puedas instalar los plugin, ya que una de las primeras cosas que hacen una vez llegados a vuestro Ftp es cambiar los permisos de la carpeta wp-content, la carpeta plugins e infectar todos los archivos index.php de esa carpeta.

Medidas especiales anti hacking

En ese caso tenemos que tomar medidas contundentes, la primera es dejar de enviar SPAM, hay una forma muy sencilla mediante una instrucción al archivo .htaccess de vuestro wordpress hackeado.

La instrucción debe colocarse antes de que wordpress empiece a cargar, es decir, justo delante de: # BEGIN WordPress

# Aquí podéis comentar lo que queráis para saber de que va la instrucción

# post denial (por ejemplo)

order deny,allow

deny from all

Bien, ya no estáis enviando SPAM, ahora vamos a buscar las infecciones, algunos servidores tienen buscashells que te ayudan, si vuestro servidor no tiene este tipo de servicio vamos a empezar a buscar los archivos modificados.

Comprobar el estado de hackeo

Para saber si vuestro site ha estado enviando SPAM hay varias formas de comprobarlo yo utilizo tres para asegurarme:

SPAMHAUS:

te muestra resultados para SBL, PBL y XBL, si estás listado en alguno de ellos puedes solicitar que te quiten de la lista negra, pero antes de pedirlo asegúrate de que tu wordpress hackeado ya está totalmente limpio, ya que varias apariciones en las listas negras calificaran tu web y tu Ip como poco segura con las consecuencias que ello comporta.

MXTOOLBOX:

esta es más potente que la anterior, analiza por dominio o por Ip y te muestra las 100 principales listas negras en que se apoyan los servidores para marcar tu correo como SPAM

MULTIRBL:

el más completo de todos ya que los resultados que te ofrece son a nivel mundial y aquí tienes todos los registros de SPAM, ojo, hay algunas referencias que nos blacklist reales, lo indica en cada una de ellas, no es necesario realizar ninguna acción pero es una buena referencia para empezar.

Vamos a desinfectar nuestro wordpress hackeado

Tenemos dos formas de hacerlo, una en vivo trabajando sobre vuestro Ftp, o bien descargando todo el contenido a vuestro ordenador con un cliente Ftp como puede ser Filezilla

Si lo vais a hacer en vivo sobre el servidor, una buena forma es ver los plugins y el tema instalado, veréis un conjunto de archivos en distintos plugin con la misma fecha, es un buen lugar para empezar a buscar.

Si optaste por descargar el site y trabajar en local, una vez realizada la limpieza y comprobada la integridad de la instalación lo que os recomendaría es borrar todo el contenido de vuestro Ftp y cargar una instalación limpia.

MUCHO CUIDADO!!! Antes de borrar nada ya sabéis, copia de seguridad de las carpetas y archivos y de la BBDD, no hay que correr riesgos innecesarios.

Limpieza en el lado del servidor

Cambiamos usuario y contraseña, tanto de Ftp como de PHPmyadmin

En la nueva instalación subís los plugins comentados anteriormente y accedéis a vuestra área de administración, al tener una instalación nueva el archivo .htaccess estará limpio, por lo tanto no hace falta retirar la instrucción que añadimos al principio.

Volvemos a subir los archivos necesarios de nuestra antigua instalación, mientras suben realizamos la importación de la BBDD y comprobamos que en la tabla users no hay más usuarios que los que en principio debería haber, si los hay los borráis directamente en la tabla.

Si tenemos una buena conexión a internet y un site no demasiado cargado en unos minutos tenemos los archivos subidos, comprobamos que el site funciona correctamente y a continuación ponemos a wordfence a trabajar realizando un escaneo completo, si hay errores en algunos archivos nos los mostrará con una recomendación para cada caso, ejecutad las necesarias, en un próximo artículo explicaré como configurar correctamente los plugins de wordfence y el antimalware para evitar sorpresas en el futuro.

Escanear en busca de malware

Una vez terminado el escaneo por parte de wordfence hacemos lo mismo con antimalware, hay dos escaneos, uno rápido y uno completo, la primera vez es recomendable ejecutar el completo, os va a solicitar que registréis vuestro email para obtener la clave de activación del plugin y bajar las nuevas definiciones de malware, una vez hecho ejecutáis y os aparecerán tres tipos de listados, las amenazas conocidas, las inyecciones de código malicioso que wordfence no haya detectado y un listado en amarillo como potenciales, nunca he encontrado nada sospechoso en los marcados en amarillo, por tanto se pueden ignorar.

Con esto vuestro wordpress hackeado debiera estar limpio y seguro, no obstante esto no es definitivo, como decía al principio la primera base para evitar estos ataques es tener el site al día en cuanto a actualizaciones se refiere.

Recomendaciones si has sido hackeado

No has de caer en el pánico cuando te encuentres tu WordPress hackeado; conservar la calma y tratar de ver el ataque como una oportunidad para aprender a evitar estas molestas circunstancias; un wordpress Hackeado por la misma semántica del Core de WordPress no es un problema absoluto y sin solución; puede llevar más o menos tiempo limpiarlo en función del alcance y del tiempo que el Hacker haya permanecido en nuestra web; pero para nada es un problema sin solución.

Un profesional te puede ayudar

Pon tu web en manos de un profesional acostumbrado a tratar con este tipo de problemas y deja que te aconseje; muchas veces no podrá valorar el alcance hasta tener plenamente limpia tu web, pero además de la desinfección te va a proponer, sin duda, un conjunto de medidas disuasorias que permitan que no te vuelvas a encontrar con el problema; el resto depende de ti, de lo constante que seas en el mantenimiento de la web y de que apliques sus consejos; seguramente irán apareciendo nuevas amenazas, como la del famoso plugin Akismet; que pese a ser un plugin antispam, se ha convertido en un coladero para los hacker que ya conocen perfectamente su funcionamiento.

Precaución con algunos plugin

Si en tu instalación optaste por tener el plugin Revolution Slider, uno de los más espectaculares y que cuenta con uno de los mayores índices de instalación; te recomiendo que te pases a la versión de pago que lo mantendrá actualizado, ya que es otrro de los que dejan puertas abiertas a los hacker; no obstante en las últimas actualizaciones han corregido casi al 100% su vulnerabilidad.

Ahora, como medida final, te puedes plantear modificar el archivo robots.txt para bloquear el acceso de estos bots conocidos a tu web.

Espero que con estas breves instrucciones puedas tener de nuevo operativo tu WordPress Hackeado; si ni es así y necesitas ayuda, con mucho gusto te voy a ayudar.

 

Ayúdame con mi WordPress Hackeado

Nombre
Email
Teléfono
Su web actual

¿Necesita aportar algún detalle? He leido y acepto la información sobre política de privacidad

Rating: 5.0. From 23 votes.
Please wait...
Por | 2017-03-14T07:34:30+00:00 27 Agosto , 2015|Wordpress|