Última actualización 18 octubre 2018

Retomo hoy con un nuevo artículo donde pretendo mostrarte cómo puedes enfrentarte con éxito a una infección de malware en tu sitio web, o lo que es lo mismo, cómo puedes desinfectar y/o eliminar el malware de tu WordPress.

La idea es sencilla, voy a tratar de explicarte como puedes despacharte por tu cuenta todos aquellos inquilinos malintencionados que sin tu permiso se han afincado en tu WordPress y te están provocando un problema tanto a ti como a tus lectores. 

Te cuento brévemente como fue la historia para que te hagas una composición de lugar, verás. Durante el mes pasado estuve en contacto en bastantes ocasiones con Arturo García con motivo de una colaboración que estamos iniciando juntos.

Entre conversación y conversación me trasladó un problema que le inquietaba, además, le restaba tiempo para otros asuntos que tenía que atender.

Resulta que tenía una página web infectada con archivos malintencionados (malware) que se encargaban de mostrar algún que otro contenido no deseado.

Sin mencionarte que página web era la afectada, que no viene al caso, lo que quiero mostrarte hoy es una línea de trabajo que a mi me ha servido para resolver y controlar la situación con la página que Arturo me comentó.

Con ello tendrás un guión y una experiencia a la que recurrir si se produce un escenario similar en tus propias carnes. Aprovecho y le doy las gracias a Arturo por confiar en mi para resolver este singular escenario.

Si quieres saber más y descubrir cómo lo resolví, continua leyendo amigo lector, ¡Vamos allá!

Lo que te muestro a continuación es un desglose a modo de índice. Te adelanto que algún conocimiento técnico es necesario tener en cartera, o al menos, la suficiente pericia como para trabajar suelto con algunas de las herramientas que te voy a mencionar y no bloquearte.

Lo que te voy a mostrar se desglosa del siguiente modo:

  • 1. Detectar actividad maliciosa (malware WordPress)
  • 2. Soluciones a implementar
  • 3. Medidas de seguridad
  • 4. Monitorización
  • 5. Siguientes pasos

Dicho esto, te adelanto que me considero una persona que se desenvuelve bastante bien en estos asuntos. Supongo que algo de culpa tendrán los más de 15 años que llevo trabajando como técnico de sistemas informáticos.

Eso si, no me considero ningún gurú de la seguridad informática, de la seguridad web o similar. No quiero interpretaciones equivocadas.

Ahora, cuando abordo un tema de mi interés, soy un avezado investigador, procuro documentarme bien y aportar mi granito de arena haciendo las cosas a mi manera en forma de solución.

Y esto mismo es lo que tienes que hacer tu cuando termines de leer este artículo. Haz las cosas a tu manera y resuelve el problema de malware de tu WordPress.

Confío que mi experiencia te sirva de orientación.

¡Vamos allá!.

Detectar actividad maliciosa

¿Cómo detectas actividad maliciosa en tu sitio web?

En algunos casos puede ser evidente y en otros quizás no tanto.

Lo que te muestro en la galería a continuación es bastante evidente.

Galería ilustrativa de sitios WordPress infectados con malware

Puede darse el caso de que a pesar de que detectas la actividad maliciosa no sepas muy bien que hacer, esto es: analizar, diagnosticar, valorar el escenario y actuar en consecuencia. No es algo que sea trivial.

Dar respuesta al qué, cuándo, dónde y quién entraña alguna que otra dificultad. Intentaré aportarte un poco de luz. También te digo que intentes guardar la calma y trates de seguir los pasos lo que te indico a continuación.

Si ves que la cosa se te hace cuesta arriba, no tienes tiempo o no quieres meterte en saraos que se te escapan y prefieres pagar por un servicio puedes contactar conmigo a través del siguiente formulario y yo me encargo de todo. A tu discreción.

Facilítame todos los detalles adicionales que consideres apropiados.
Es mi deber informarte que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Paul Benítez Icatt (servidor) como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicito es para gestionar la solicitud que realizas en este formulario de contacto.

Legitimación: Consentimiento del interesado.

Como usuario e interesado te informo que los datos que me facilitas estarán ubicados en los servidores de UpCloud (proveedor de www.administrandowp.com) dentro de la UE. Ver política de privacidad de UpCloud*

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos escribiéndome a contacto@administrandowp.com así como el derecho a presentar una reclamación ante una autoridad de control.

Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: http://www.administrandowp.com, así como consultar mi Política de privacidad*

Estoy infectado. ¿y ahora qué?

Primeros pasos

Los primeros pasos y más apropiados pasan por poner la web en “Modo mantenimiento” o crear un archivo htaccess y bloquear el acceso al sitio. Hay que valorarlo caso por caso.

A continuación deberías contactar con tu hosting y ponerles al corriente. Te pueden ayudar o no, imagino que dependiendo del servicio que tengas contratado, pero avísales, al fin y al cabo son sus servidores.

Después continuaría con una composición de lugar, es decir, tratar de ver que es lo que tienes encima de la mesa y valorar en qué punto te encuentras.

Composición de lugar

¿Los actores relevantes en el mercado lo detectan?

Con esta pregunta lo que pretendo decirte es que hagas un chequeo de tu sitio empleando las herramientas  gratuitas Virus Total y SiteCheck de Sucuri.

Te adelanto que puede darse el caso de que estas dos herramientas no detecten actividad malintencionada en tu sitio. Dicho en plan notario, doy fe de ello porque es exactamente lo que me pasó.

Decidí hablar con alguien del servicio de chat de Sucuri para preguntarles como era posible que tuviese entre mis manos una web infectada por malware y su herramienta no lo detectara. Me descolocaba un poco vaya.

Me estaba preguntando acerca de invertir 200$ o 300$ en su servicio.

Y es que, todos los testimonios que leo por Internet acerca de Sucuri son buenos y yo mismo te los recomiendo a pesar de no haber empleado su servicio.

Básicamente porque como te decía al principio me desenvuelvo bien con estos asuntos.

Seguro que ahora estas pensando eso de que como es posible recomendar un producto/servicio que no has probado.

Pues así es, no he probado el servicio pero conozco casos muy cercanos que lo han empleado con éxito, por lo que, este hecho unido a que me inspira confianza la gente de Sucuri, me da la suficiente confianza como para recomendartelos.

Te sigo contando.

La respuesta que me dieron los chicos de Sucuri a mi pregunta fue que el análisis que realiza el motor público SiteCheck es distinto al análisis que se lleva a cabo cuando contratas el servicio.

De hecho, me indicaron que me leyera este artículo.

En resumidas cuentas, cuando contratas el servicio analizan todo con más cariño y otras herramientas.

Tiene su razón de ser, es más, podemos pensar que su motor de análisis gratuito es una llamada a la acción para que termines contratando su servicio.

En parte es así, prueba escanear tu sitio y verás como no voy muy desencaminado.

Bueno, el caso es que al final decidí resolver yo mismo este problema.

¿La actividad maliciosa es detectada por Google?

Puedes emplear la herramienta de diagnóstico de Google para determinar si tu WordPress es detectado como un sitio que contiene software malintencionado.

http://www.google.com/safebrowsing/diagnostic?site=www.administrandowp.com

Nota. sustituye www.administrandowp.com por tu sitio web.

Si Google detecta actividad malintencionada empezaras a perder tráfico y tu SEO se verá afectado. Cuanto más tardes en resolver el problema el perjuicio en el SEO y visitas será mayor.

Date cuenta aquí que si tu web genera ingresos a diario tu cuenta de resultados también se verá afectada.

Se me ocurre que en función de porcentaje de visitas que tengas del buscador podrás determinar el perjuicio y cuantificarlo económicamente.

Dado este caso, tienes información relevante en tu cuenta de Google WebMaster Tools.

Si google no detecta la actividad malintencionada tienes un inquilino indeseable en tu sitio web restándote recursos de tu hosting. En este caso, tu SEO no se verá afectado y tu cuenta de resultados a priori tampoco porque continuas recibiendo las visitas de Google.

Eso si, si tus posibles clientes se encuentran contenido inapropiado o hay algo que no les guste te verás perjudicado de un modo u otro.

El objetivo es claro, hay que eliminar al inquilino malintencionado de tu sitio web, hay que limpiar el malware de tu WordPress.

¿Mis visitantes, clientes, proveedores lo han detectado? ¿Les estoy perjudicando?

Estas son otras preguntas que puedes hacerte y tratar de valorarlo. Es más, si tus lectores se percatan del problema, es muy probable que te lo notifiquen. También te dirán si les está causando un perjuicio.

Revisar permisos en las carpetas mediante FTP

Conéctate a tu hosting empleando FTP (por ejemplo) y revisa los permisos que tengan las carpetas y los archivos. Es correcto encontrar permisos 755 para las carpetas y 644 para los archivos.

Revisar permisos por FTP - Todo lo que sea 777 es un mal sintoma

 

Todo lo que sea distinto de 755 o 644 suele ser indicativo de que hay algo que no va bien. Si ves permisos 777, claramente hay algo que no está bien.

Todo un directorio completo con permisos 777 - Mal asunto

Revisa si hay fechas y horas de modificación/creación de archivos similares. Te lo digo porque en ocasiones se ven patrones que te pueden dar pistas sobre actividad malintencionada.

Revisa archivos .htaccess y sus directivas

Cuando tienes WordPress instalado lo normal es encontrarte con un archivo .htaccess en la raíz de tu sitio. Este se crea siempre que activas los enlaces permanentes, práctica habitual en WordPress.

Si ves otros archivos htaccess en los subdirectorios, normalmente éstos han sido creados por algún que otro plugin con propósitos específicos y no con fines malintencionados.

Ahora bien, si te encuentras un archivo .htaccess con la directiva “Allow from all”, hay algo que no va bien, hay algo que huele mal.

malware-wordpress-12

¿Hay usuarios creados en la administración de WordPress?

¿En el menú de usuarios aparecen usuarios que con total certeza no has sido tu quien los ha creado?

Pues esto suele ser otro síntoma de que las cosas no van bien. También lo puedes ver en la tabla wp_users de WordPress desde phpmyadmin.

Base de datos WordPress infectada con usuarios malintencionados. Síntoma de que tienes un problema de malware.

¿Hay comentarios de SPAM?

¿En el menú de comentarios aparecen constantemente comentarios de SPAM a pesar de tener activado akismet?

Este es otro síntoma de que las cosas no van bien.

Pues con todo lo que te he comentado hasta ahora te puedes hacer una primera composición de lugar.

En mi caso así fue como pude hacerme una idea de lo que tenía encima de la mesa

Ahora toca ver cómo lo solucionamos.

Soluciones a implementar para limpiar malware WordPress

Copia de seguridad

Lo primero que pienso en un escenario de este tipo es en las copias de seguridad. Si restauras una copia de seguridad puedes resolver este escenario de un modo ágil.

Antes de ir por este camino es importante que tengas la certeza de que tu copia está limpia, es decir, no infectada. Te lo explico.

¿Está mi copia de seguridad infectada? 

Es importante que te hagas esta pregunta porque si tu web lleva infectada varios días y no te has dado cuenta tus copias de seguridad estarán infectadas.

En mi escenario, todas las copias estaban infectadas, por lo que no podía valorar su empleo como línea de trabajo para llegar a una solución.

Es más, me constaba que se habían empleado y el resultado fue que la web continuaba infectada.

Si tienes una copia de seguridad y la certeza de que no está infectada puedes tener aquí una posible solución a tu problema. Este sería, es mi opinión, el camino más rápido. En caso contrario tendrás que trabajar en limpiar la web.

Posteriormente tendrás que adoptar una serie medidas de seguridad para no volver a infectarte, como las que puedes encontrarte en mi guía práctica de seguridad para WordPress.

Como te decía, todas mis copias estaban infectadas por lo que no podía resolver el escenario con ellas.

¿Qué hacer si tus copias de seguridad están infectadas?

Cambiar todas las contraseñas de acceso

Una de las primeras líneas de trabajo es cambiar todas y cada una de las contraseñas de acceso a tu sitio.

  • Me refiero a las cuentas de FTP
  • Las cuentas de usuario de WordPress
  • El usuario de acceso a la base de datos
  • El acceso al panel de control

Nota. Cambiar las contraseñas es algo que debes hacer tengas o no las copias de seguridad infectadas. Mejor pecar de cauto y precavido, ¿no crees?

Para esta labor puedes emplear mi plantilla excel de administración de datos técnicos. Te facilitará el trabajo al tener todo centralizado, organizado y ordenado.

Eliminar todos los archivos maliciosos que no se corresponden con un gestor de contenidos WordPress

Para esta labor puedes apoyarte de la herramienta scan del plugin  Wordfence.

Esta herramienta compara todos los archivos de tu WordPress con los archivos originales de un repositorio que tienen en sus servidores y, si detecta diferencias te concreta donde están y te permite descargar y restaurar la versión original del archivo.

El motor antivirus de Wordfence es el que que permite realizar un escaner en tu sitio con del fin de determinar si los archivos de tu instalación son correctos o por el contrario tienes archivos que no deberías tener o revisar.

  1. Dicha herramienta la puedes activar desde el menu Wordfence / scan
  2. A continuación presiona sobre el botón Start a Wordfence Scan (1)
  3. Fíjate en el sumario (2) y en los detalles del escaner (3)

Escaneo con Wordfence para analizar los archivos de tu instalación de WordPress

Si Wordfence detecta archivos potencialmente maliciosos te lo informará de este modo:

  • (1). Te muestra el archivo localizado como sospechoso
  • (2) Te indica el grado de severidad
  • (3) Se facilita detalles del patron de código malicioso que ha encontrado
  • (4) Te facilita herramientas para ver el código del archivo (view the file) y para eliminarlo directamente (Delete this file)

Wordfence te presenta el mismo mini-informe de todos los archivos que detecte como maliciosos. Tendrás que tomar decisiones con cada uno de ellos. En ocasiones puede darte falsos positivos, tendrás que valorarlo archivo por archivo. Mi consejo aquí es que tengas precaución.

Archivos detectados por Wordfence como archivos maliciosos

Si quieres ver un tutorial completo sobre Wordfence puedes leer este artículo.

Actualizar todos los plugins y temas

Debes actualizar todos los plugins y temas. Dicho sea de paso, si bien puedes tener varios plugins en tu sitio y cada unos de ellos te brinda una funcionalidad diferente, no tiene el mismo sentido tener varios temas instalados.

Al fin y al cabo, la imagen y estética de tu WordPress se corresponde con la de un único tema. ¿Para qué quieres el resto? Desecha por tanto todos los temas que sabes que no vas a emplear.

Instalar el plugin TAC para determinar la no vulnerabilidad de los archivos del tema

Este plugin te ayudará a detectar si tu tema de WordPress tiene codigo malicioso inyectado en sus archivos. Realmente útil y práctico.

Es capaz de detectar si el código de tu tema tiene código no deseable, tal y como puedes ver en la imagen inferior.

Imagen (1)

El plugin Theme Authenticity Checker detecte archivos infectados en el tema de WordPress

 

Imagen (2)

Lineas de código infectadas por Theme Authenticity checker

 

TAC > Theme Authenticity Checker. Lo puedes descargar desde aquí. 

En mi escenario, éste plugin detecto que el tema empleado estaba modificado con código malicioso.

El resultado de esta modificación provocaba la apertura de una puerta trasera por la que podían subir archivos al servidor. Aquí se encontraba la causa del problema. Podían subir archivos al servidor alegremente.

Wordfence tiene una funcionalidad similar que también te recomiendo emplear. Para activarla tienes que dirigirte a las opciones avanzadas del plugin. Tienes que activar las casillas de verificación tal y como ves en la imagen inferior. Una vez hecho, guarda los cambios y prueba escaner de nuevo tu sitio con Wordfence.

Forzar un escaneo contra el repositorio oficial en el plugin Wordfence para detectar archivos malintencionados

18-10-2018 > Actualización: el plugin TAC se ha actualizado por última hace un año desde la fecha de ésta actualización por lo que no parece estar abandonado.

Te puedo confirmar que lo he empleado con un cliente este mismo mes con éxito. El plugin me ha notificado el NO COMPROMISO de los archivos del tema.

Dada mi experiencia te puedo recomendar que lo emplees sin miedo en tu caso.

Bloquear el acceso a las direcciones IP sospechosas de realizar escaneos inapropiados

Para este trabajo también te puedes apoyar también de Wordfence. Si revisas las páginas no encontradas, los top consumers y los top 404 del monitor de actividad de Wordfence te harás una idea de lo que puedes bloquear.

Paginas no encontradas, top usuarios y top errores 404 en Wordfence

Medidas de seguridad 

Como medidas de seguridad a implementar puedes:

  • Instalar y configurar el plugin Wordfence. Si has llegado hasta aquí te habrás dado cuenta de que me he apoyado bastante en este plugin
  • Instalar y configurar el plugin iThemes Security. Para cambiar configuraciones de seguridad en WordPress es muy útil y ágil. Al golpe de clic de ratón puedes hacer un montón de cosas concernientes a la seguridad.
  • Implementar y configurar el archivo htaccess con las directivas 5G BlackList 2013
  • Seguir los consejos de mi guía práctica de seguridad en WordPress

Monitorización

Una vez has podido eliminar todos los archivos maliciosos, restaurado tu tema, ajustados los permisos por FTP… toca pasar a la fase de monitorización. Esto es, estar pendiente de que no vuelva a suceder.

¿Qué es lo que vas a monitorizar?

  • Permisos. Revisa que no hay alteraciones de permisos. Los archivos deben estar en 644 y las carpetas en 755.
  • Modificaciones de archivos del sitio. Para esto emplea Wordfence. Realiza escaneos periódicos.
  • Revisa el trafico en línea. Emplea igualmente en Wordfence. Revisa las páginas no encontradas, los top consumers y los errores 404.
  • Revisa los comentarios. Revisa si hay comentarios de SPAM no deseados.

Siguientes pasos

Si durante un par de días las cosas están tranquilas, puedes cambiar la frecuencia de monitorización y continuar con tus rutinas habituales.

  • Mantener la monitorización del sitio pero con una menor frecuencia.
  • Mantener el tema y los plugins actualizados.

Si pasados 15 días todo continua estable puedes dar por concluido el episodio oscuro, eso si, la monitorización de tu sitio debería ser una constante dado que siempre estás expuesto en Internet frente a los que van con malas artes. Decide tu la frecuencia y decide si prefieres delegarlo pero no lo omitas.

Esta ha sido una de mis experiencias limpiando malware en WordPress y con este artículo he tratado de contarte como he resuelto este problema y los pasos que he seguido. A mi me han servido y continúan haciéndolo con los clientes que contactan conmigo.

Mi deseo que tu tengas algo de orientación si quieres invertir tu mismo el tiempo en dar con la solución.

Si prefieres pagar un servicio de desinfección porque estos asuntos se te escapan y no quieres invertir tiempo en ello puedes contactar conmigo completando el formulario inferior. Yo me encargo de todo.

Facilítame todos los detalles adicionales que consideres apropiados.
Es mi deber informarte que los datos de carácter personal que me proporciones rellenando el presente formulario serán tratados por Paul Benítez Icatt (servidor) como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicito es para gestionar la solicitud que realizas en este formulario de contacto.

Legitimación: Consentimiento del interesado.

Como usuario e interesado te informo que los datos que me facilitas estarán ubicados en los servidores de UpCloud (proveedor de www.administrandowp.com) dentro de la UE. Ver política de privacidad de UpCloud*

El hecho de que no introduzcas los datos de carácter personal que aparecen en el formulario como obligatorios podrá tener como consecuencia que no pueda atender tu solicitud.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos escribiéndome a contacto@administrandowp.com así como el derecho a presentar una reclamación ante una autoridad de control.

Puedes consultar la información adicional y detallada sobre Protección de Datos en mi página web: http://www.administrandowp.com, así como consultar mi Política de privacidad*

Si por el contrario quieres contar con la ayuda de una empresa reconocida en este sector, Sucuri o NinTechNet creo que es tu opción. Tu decides.

Espero sinceramente que no te veas inmerso en un escenario de este tipo. Si sigues los consejos de mi guía práctica de seguridad para WordPress minimizarás el riesgo de sufrir uno de estos episodios.  Tenlo en cuenta.

Si tienes alguna duda, consulta, quieres aportar tu experiencia o punto de vista o quieres contarnos que estrategias y herramientas empleas para limpiar de malware tu WordPress, no te cortes y compártelas con nosotros. Adelante, tienes tu oportunidad en los comentarios.

17 comentarios en “Cómo desinfectar y eliminar malware de tu WordPress. Guía práctica”

  1. Hola! Gracias por el artículo, es muy completo, lo he leído y me siento plenamente identificada. Uno de mis sitios ha sido atacado y Google Ads ha bajado los anuncios en consecuencia.
    Ya hice acciones correctivas, incluso wordfence me marca que el sitio ya está limpio, pero tanto Google como Hostgator me indican qué hay infección.
    Estoy confundida, qué puedes recomendarme?
    Muchas gracias por tu respuesta, recibe un saludo.

    1. Hola Mara, si Google y Hostgator te indican que tu sitio continua infectado significa que tus acciones correctivas no han dado el resultado que tu esperas, es decir, la infección que tienes no se ha resuelto con tus acciones correctivas. Si ves que por mas tiempo que inviertes no terminas de resolverlo, mi recomendación es que contrates ayuda profesional. No es trivial resolver este tipo de casos.

      Puedes contactar conmigo o con alguno de los proveedores que te comento en el artículo. A tu discreción pero no lo dejes estar.

      Un abrazo.

  2. Tengo un script en mi página que el antivirus avast lo detecta como virus. Solo ese antivirus, y no se como hacer para localizarlo. Me gustaría si me orientaras como proceder o quien puede ayudarme a solucionar el problema.

  3. Hola Paul! me parece estupendo este artículo. Pues tengo este problema, el malware se introdujo al actualizar el tema de mi blog (Avada). El soporte de hostgator me lo hizo saber. Mi tráfico y posición de la web se conserva. Semanas antes de este percance, yo desactivé el plugin hello bar y Magic Action Box, pasados unos días observé que en el header del sitio aparecía unos códigos html de error( muy notorios) y las palabras con tílde en algunos casos aparecía con caracteres raros, supuse que con actualizar el tema se resolvería.

    De momento está con un child team. Hostgator me sugirió acudir a un sitio amigo que trata sobre los malwares, pero es caro además no sé inglés. Tengo un respaldo parcial de mi sitio que lo hicimos hace 2 años con el plugin backwup, además tengo el archivo del tema original. Acabo de abrir una cuenta con otro hosting (Banahost), le pedí que me apoyara en la migración, le explique mi problema del sitio infectado y de primera me pregunta, “Si tengo acceso a mi cuenta actualmente para generar un full backup? y qué extensión tiene el backup completo?

    ¿Si está infectado tiene sentido acceder a full backup? Soy novata en esto, y estoy confundida!!. ¿Qué me sugiere para resolver mi caso?y pasar mi sitio completo al otro hosting sin retraso ni inconvenientes. Agradeceré mucho su gentil sugerencia al respecto. Saludos.

    1. Hola Mercedes, un respaldo parcial de hace dos años no lo consideres una copia de seguridad, más que nada porque estoy convencido de que hace dos años el sitio no se parecía en nada a lo que es ahora. ¿Me equivoco? Un backup tiene que ser una copia reciente de tu trabajo, pero no de hace dos años. Ese backup no creo que te sirva.

      Los chicos de banahosting te podrán traer todo el contenido de Hostgator a su hosting si tienen una copia completa del mismo, es totalmente coherente su pregunta. Su posición para poder ejecutar esta operación es conocer el detalle del full backup, esto es, una copia completa, por lo que se lo tienes que facilitar si quieres que ellos te materialicen la migración.

      Si el sitio está infectado y haces una copia de seguridad, tu copia de seguridad estará infectada. Esto es así. Puedes estar confundida pero te adelanto que aquí no hay lugar a confusiones.

      Mercedes, si el sitio está comprometido, lo más sensato es limpiarlo. Ten en cuenta que puedes estar perjudicando a tus propios lectores. En mi opinión no hay otra alternativa. Si tu con tus propios medios puedes desinfectarlo, adelante, en caso contrario, sería conveniente que contrataras un servicio para que lo revisen, lo dejen limpio y apliquen un numero determinado de medidas para que el sitio no se vuelva a infectar. En ese escenario, si que tiene sentido hacer una copia completa y migrarlo a banahosting. Esa es mi sugerencia. Contacta conmigo si quieres una valoración alternativa para limpiarte el malware.

      Saludos.

      1. Muchìsimas gracias Paul!!

        Quiere decir que de nada me sirve hacer una copia de seguridad de mi sitio infectado ¿verdad? El contenido que me falta completar es como la mitad de todo el sitio.. Al limpiarlo quedarà igual que antes? Pienso que no puedo hacerlo por mi cuenta. Me contactarè contigo, para valorar la posibilidad.

        La copia de seguridad lo hace uno mismo o se solicita al hosting, una vez limpio el sitio? Encontrè una pàgina de soporte de hostgator, que guìa paso a paso còmo generar, descargar y restaurar full backup.. ¿Hay que hacer los 3 procesos?

        Nuevamente muchìsimas gracias por tu gentil respuesta. Un abrazo!!

  4. Excelente artículo Paul. Creo que es uno de los mas completos que he visto sobre le tema de limpiar infecciones por malware.
    Por aquí tienes un nuevo seguidor de tu blog. Muy práctico e interesante el contenido. Un saludo.

    1. Hola Ángel, me legro de que pienses así sobre el artículo. Es un caso real de un sitio que desinfecté hace unos meses y me pareció buena idea contarlo con el propósito de que si te ves inmerso en un escenario similar, tengas una pauta de trabajo para resolverlo junto con las herramientas que tienes a tu alcance.

      He intentado ser lo más coloquial posible. Sin duda, en estos casos tener pericia con la tecnología es un plus. En caso contrario, creo que delegarlo es lo más sensato.

      Gracias por pasarte, comentar y seguirme.

      Saludos.

  5. Muy claro y con el tipo de ejemplos que se agradecen.

    Este tipo de cosas son de las que no pensamos hasta que te encuentras un día con la web infectada.

    Seguro que mucha gente encuentra en tu post una guia práctica que les ayuda a solucionar su problema.

    Una pregunta Paul, para tener una idea, ¿Cuánto tiempo hay que invertir para controlar y limpiar el caso que nos has expuesto?

    Gracias y Enhorabuena !!

    1. Hola Javier, lo mismo que le decía a Arturo, celebro que esté todo claro y los ejemplos sean de utilidad.

      Es lo que habitualmente sucede, hasta que no tienes la web infectada, no te das cuenta del peligro real que existe en Internet, el caso es que con tan solo echar un vistazo al monitor de actividad en tiempo real de la web http://www.wordfence.com te haces una idea. Cuando estás infectado es cuando te entra el miedo en el cuerpo y es cuando buscas soluciones.

      Y es que en Internet hay muchos scripts malintencionados que constantemente están escaneando websites y, dado que WordPress es el gestor de contenidos más popular, pues es el centro de atención de muchos de estos scripts. Si se aplican una serie de medidas antes, no necesariamente tienes que pasar por un capítulo como el que describo en el post.

      Respondiéndote a tu pregunta, en este caso, estuve un par de mañanas, alrededor de 3 horas aprox. Luego estuve monitorizando durante 15 días que todo estuviese en orden y no se volviese a producir ningún tipo de infección. Pasado ese tiempo di el caso por concluido.

      Saludos.

  6. Excelente aporte Paul,

    Una guía muy útil y relativamente sencilla de seguir para los que no tenemos unos conocimientos profundos sobre la materia.

    Aprovecho también para darte las gracias por la ayuda prestada, cuando tienes este tipo de problemas se agradece mucho el contar con la ayuda profesional de un especialista como tú.

    Un abrazo fiera!

    1. Hola Arturo, me alegra verte por aquí.

      Celebro que sirva de orientación y sea de utilidad. Comparto contigo lo de “relativamente”, ya que dependiendo del perfil de cada persona puede ser más o menos difícil seguirla y sacarle provecho.

      Seguimos en contacto.

      Saludos.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Responsable » Paul Benítez Icatt
Finalidad » gestionar los comentarios.
Legitimación » tu consentimiento.
Destinatarios » los datos que me facilitas estarán ubicados en los servidores de SiteGround (proveedor de hosting de AdministrandoWP) dentro de la UE. Ver política de privacidad de SiteGround. (https://www.siteground.es/privacidad.htm).
Derechos » podrás ejercer tus derechos, entre otros, a acceder, rectificar, limitar y suprimir tus datos.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.