WordPress - Malware en tu web

En algunas ocasiones y por múltiples razones, nuestra web en WordPress puede verse seriamente comprometida.

¿Cómo se infecta un WordPress?

Cuando una web en WordPress es infectada, el origen del problema puede venir desde varios frentes.

  • Archivos infectados con código malicioso, agujeros de seguridad en versiones obsoletas de WordPress o en plugins con vulnerabilidades. Pueden existir archivos infectados (imágenes, archivos de texto) no detectados por un antivirus.
  • Base de datos comprometidas: A través de usuarios de BBDD existentes que utilizan contraseñas no seguras.
  • Usuarios de FTP comprometidos: A través de usuarios con contraseñas no seguras.
  • Acceder desde un equipo infectado: Robo de datos desde equipos personales.
  • Cuentas de correo electrónico de administradores comprometidas: A través de usuarios con contraseñas no seguras.
  • Usuarios de wordpress con accesos inseguros: Como por ejemplo “admin/admin”

Os damos a continuación una serie de recomendaciones para que podáis “limpiar” de malware vuestro wordpress sin morir en el intento.

¿Qué pasos debo seguir para limpiar mi WordPress de malware?

El objetivo es hacer una instalación lo mas limpia posible de WordPress, aprovechando la base de datos ya creada. Una instalación limpia implica que se va a partir de un directorio totalmente vacío. Podemos guardar temporalmente la web en el directorio .PRIVATE en caso de que sea necesario recuperar algo.

  • WordPress: Instalar WordPress de 0 en su última versión. Configurar el archivo wp-config.php conectándose a la base de datos que ya existe.
  • Plugins: Subir los plugins indispensables en su última versión y que no estén descontinuados. Entendemos por un plugin descontinuado aquel que lleva mas 6 meses sin recibir actualizaciones. En ese caso es recomendable prescindir de este. Es importante también descargar los plugins desde WordPress o el site oficial del proveedor. Es recomendable NO mantener plugins ni temas que no se usen.
  • Plugins: Evitar usar plugins gratuitos que no sean oficiales de WordPress y que no estén descontinuados.
  • Plantilla: Subir la plantilla descargada del sitio oficial en su última versión.
  • Base de datos: Revisar la BBDD y eliminar cualquier usuario que no sea imprescindible.
  • Base de datos: Limpieza y revisión de la base de datos por si contiene inserciones de páginas/entradas o elementos comprometidos durante la infección.
  • Imágenes: Subir las imágenes de la carpeta WP-UPLOADS asegurándose antes que no están comprometidas. Se puede descargar ese directorio en un equipo personal para revisarlas una a una y eliminar las que no se estén usando. NOTA: Se puede infectar el WordPress a través de archivos o imágenes con códido inyectado.
  • Seguridad: Instalar plugins de protección y seguridad, como el WP-FAIL2BAN y Protect WP-Admin. Otros recomendables para mejorar el rendimiento de WordPress son WP-SUPERCACHE y AUTOOPTIMIZE.
  • Contraseñas: Actualizar todas las contraseñas de FTP asociadas a ese alojamiento, las contraseñas de las cuentas de CORREO vinculadas a los usuarios administradores, las contraseñas de los usuarios de la base de datos (actualizarlo después en el archivo de configuración wp-config.php), así como los USUARIOS administración de WordPress.
  • Usuarios: Eliminar usuarios de WordPress que no se usen o no se reconozcan como legítimos.
  • Equipos remotos: Revisar los equipos que puedan acceder por CORREO, FTP o administración de WordPress, para asegurarse de que no están comprometidos (revisión con antivirus, etc).

Es una tarea que requiere tiempo y trabajo, pero es la forma mas certera de que la web quede libre de infecciones.

En la mayoría de casos esto es suficiente para garantizar la seguridad de vuestra página web.

¿Y si vuelven a infectar mi WordPress?

  • La plantilla que os han desarrollado está comprometida y tiene agujeros de seguridad. La solución en este caso es cambiar la plantilla.
  • Se está subiendo archivos infectados
  • Se están usando plugins con vulnerabilidades o infectados. Revisar de nuevo los plugins que se están usando.
  • Las contraseñas han sido comprometidas de nuevo. En este caso restringir los accesos o usuarios que pueden acceder al WordPress.

El equipo de Tecnócratas