Cómo desinfectar y eliminar malware de tu WordPress. Guía práctica

Retomo hoy con un nuevo artículo donde pretendo mostrarte cómo puedes enfrentarte con éxito a una infección de malware en tu sitio web, o lo que es lo mismo, cómo puedes desinfectar y/o eliminar el malware de tu WordPress.

La idea es sencilla, voy a tratar de explicarte como puedes despacharte por tu cuenta todos aquellos inquilinos malintencionados que sin tu permiso se han afincado en tu WordPress y te están provocando un problema tanto a ti como a tus lectores. 

Te cuento brévemente como fue la historia para que te hagas una idea verás. 

Durante una temporada estuve en contacto en bastantes ocasiones con Arturo García de arturogarcia.com con motivo de una colaboración que manteniamos juntos.

Entre conversación y conversación me trasladó un problema que le inquietaba, además, le restaba tiempo para otros asuntos que tenía que atender.

Resulta que tenía una página web infectada con archivos malintencionados (malware) que se encargaban de mostrar algún que otro contenido no deseado.

Sin mencionarte que página web era la afectada, que no viene al caso, lo que quiero mostrarte hoy es una línea de trabajo que a mi me ha servido para resolver y controlar la situación con la página que Arturo me comentó.

Con ello tendrás un guión y una experiencia a la que recurrir si se produce un escenario similar en tus propias carnes. 

Aprovecho y le doy las gracias a Arturo por confiar en mi para resolver este singular escenario.

Si quieres saber más y descubrir cómo lo resolví, continua leyendo amigo lector.

Confío que mi experiencia te sirva de orientación. ¡Vamos allá!.

Detectar la actividad maliciosa

Lo primero que tienes entre manos es detectar la actividad maliciosa, pero ¿como lo haces?

¿Cómo detectas actividad maliciosa en tu sitio web?

En algunos casos puede ser evidente y en otros no tanto.

Lo que te muestro a continuación en la galería es bastante evidente.

Galería ilustrativa de sitios WordPress infectados con malware

Puede darse el caso de que a pesar de que detectas la actividad maliciosa no sepas muy bien que hacer, esto es: analizar, diagnosticar, valorar el escenario y actuar en consecuencia. No es algo que sea trivial.

Dar respuesta al qué, cuándo, dónde y quién entraña alguna que otra dificultad. Intentaré aportarte un poco de luz.

Por tu parte, intenta guardar la calma y trata de orientarte con lo que te cuento a continuación.

Estoy infectado. ¿y ahora qué?

Los primeros pasos y más apropiados pasan por poner la web en «Modo mantenimiento» o crear un archivo htaccess y bloquear el acceso al sitio. Hay que valorarlo caso por caso.

A continuación deberías contactar con tu hosting y ponerles al corriente. Te pueden ayudar o no dependiendo del servicio que tengas contratado, pero avísales, al fin y al cabo son sus servidores.

Después continuaría con una composición de lugar, es decir, trata de ver que es lo que tienes encima de la mesa y valora en qué punto te encuentras.

Composición de lugar

¿Las herramientas online disponibles en el mercado detectan la infección?

Con esta pregunta lo que pretendo decirte es que hagas un chequeo de tu sitio empleando las herramientas  gratuitas Virus Total y SiteCheck de Sucuri.

• https://www.virustotal.com/es/
• https://sitecheck.sucuri.net/
• https://safeweb.norton.com/

Te adelanto que puede darse el caso de que estas herramientas no detecten actividad malintencionada en tu sitio. Doy fe de ello porque es exactamente lo que me pasó.

Decidí contactar con alguien del servicio de chat de Sucuri para preguntarles como era posible que tuviese entre mis manos una web infectada por malware y su herramienta no lo detectara. Me descolocaba un poco vaya.

Me estaba preguntando acerca de invertir 200$ o 300$ en su servicio.

La respuesta que me dieron los chicos de Sucuri a mi pregunta fue que el análisis que realiza el motor público SiteCheck es distinto al análisis que se lleva a cabo cuando contratas el servicio.

De hecho, me indicaron que me leyera este artículo.

En resumidas cuentas, cuando contratas el servicio analizan todo con más cariño y otras herramientas.

Tiene su razón de ser, es más, podemos pensar que su motor de análisis gratuito es una llamada a la acción para que termines contratando su servicio.

En parte es así, prueba escanear tu sitio y verás como no voy muy desencaminado.

Bueno, el caso es que al final decidí resolver yo mismo este problema.

¿La actividad maliciosa es detectada por Google?

Puedes emplear la herramienta de diagnóstico de Google para determinar si tu WordPress es detectado como un sitio que contiene software malintencionado.

Si Google detecta actividad malintencionada empezaras a perder tráfico y tu SEO se verá afectado.

Para más información accede a tu cuenta de Google WebMaster Tools.

Cuanto más tardes en resolver el problema el perjuicio en el SEO y visitas será mayor. Date cuenta aquí que si tu web genera ingresos a diario tu cuenta de resultados también se verá afectada.

Se me ocurre que en función de porcentaje de visitas que tengas del buscador podrás determinar el perjuicio y cuantificarlo económicamente.

Si Google no detecta la actividad malintencionada sucede que no hay impacto en las visitas procedentes del buscador pero tienes un inquilino indeseable en tu sitio web consumiendo recursos de tu hosting y actuando a tus espaldas.

En este caso tu SEO no se verá afectado y tu cuenta de resultados a priori tampoco porque continuas recibiendo las visitas de Google.

Si tus posibles clientes se encuentran contenido inapropiado o hay algo que no les guste te verás perjudicado de un modo u otro ya que sencillamente tu imagen se resentirá.

Por tanto, el objetivo es claro, hay que eliminar al inquilino malintencionado de tu sitio web, hay que limpiar el malware de tu WordPress.

¿Mis visitantes, clientes, proveedores lo han detectado? ¿Les estoy perjudicando?

Estas son otras preguntas que has de hacerte y tratar de valorar. Es más, si tus lectores se percatan del problema, es muy probable que te lo notifiquen. También te dirán si les está causando un perjuicio.

Sería interesante resolverlo antes de que tus visitas se vean perjudicadas.

Revisar permisos en las carpetas mediante FTP

Conéctate a tu hosting empleando FTP (por ejemplo) y revisa los permisos que tengan las carpetas y los archivos.

Es correcto encontrar permisos 755 para las carpetas y 644 para los archivos.

Todo lo que sea distinto de 755 o 644 suele ser indicativo de que hay algo que no va bien. Si ves permisos 777, claramente hay algo que no está bien.

Revisa si hay fechas y horas de modificación/creación de archivos similares. Te lo digo porque en ocasiones se ven patrones que te pueden dar pistas sobre actividad malintencionada.

Revisa archivos .htaccess y sus directivas

Cuando tienes WordPress instalado lo normal es encontrarte con un archivo .htaccess en la raíz de tu sitio. Este se crea siempre que activas los enlaces permanentes, práctica habitual en WordPress.

Si ves otros archivos htaccess en los subdirectorios, normalmente éstos han sido creados por algún que otro plugin con propósitos específicos y no con fines malintencionados.

Ahora bien, si te encuentras un archivo .htaccess con la directiva «Allow from all», hay algo que no va bien, hay algo que huele mal.

¿Hay usuarios creados en la administración de WordPress?

¿En el menú de usuarios aparecen usuarios que con total certeza no has sido tu quien los ha creado?

Pues esto suele ser otro síntoma de que las cosas no van bien. También lo puedes ver en la tabla wp_users de WordPress desde phpmyadmin.

 ¿Hay comentarios de SPAM?

¿En el menú de comentarios aparecen constantemente comentarios de SPAM a pesar de tener activado akismet?

Este es otro síntoma de que las cosas no van bien.

En mi caso así fue como pude hacerme una idea de lo que tenía encima de la mesa

Ahora toca ver cómo lo solucionamos.

Soluciones para limpiar malware WordPress

Copia de seguridad

Lo primero que pienso en un escenario de este tipo es en las copias de seguridad. Si restauras una copia de seguridad puedes resolver este escenario de un modo ágil.

Antes de ir por este camino es importante que tengas la certeza de que tu copia está limpia, es decir, no infectada. Te lo explico.

¿Está mi copia de seguridad infectada?

Es importante que te hagas esta pregunta porque si tu web lleva infectada varios días y no te has dado cuenta es muy probable que tus copias de seguridad estén también infectadas.

En mi escenario, todas las copias estaban infectadas, por lo que no podía valorar su empleo como línea de trabajo para llegar a una solución.

Es más, me constaba que se habían empleado y el resultado fue que la web continuaba infectada.

Si tienes una copia de seguridad y la certeza de que no está infectada puedes tener aquí una posible solución a tu problema restaurando dicha copia de seguridad. Este sería, en mi opinión, el camino más rápido.

Posteriormente sería interesante que te dejaras guiar por una serie de recomendaciones y medidas de seguridad para minizar los riesgos y no volver a infectarte, como las que te propongo en mi guía práctica de seguridad para WordPress: «Protege tu WordPress».

Sigo. Como todas mis copias estaban infectadas no podía resolver el escenario con ellas.

¿Qué hacer si tus copias de seguridad están infectadas?

Si en tu caso como en el mío no puedes emplear las copias de seguridad haz lo siguiente.

Cambiar todas las contraseñas de acceso

Una de las primeras líneas de trabajo es cambiar todas y cada una de las contraseñas de acceso a tu sitio.

• Me refiero a las cuentas de FTP
• Las cuentas de usuario de WordPress
• El usuario de acceso a la base de datos
• El acceso al panel de control

Nota. Cambiar las contraseñas es algo que debes hacer tengas o no las copias de seguridad infectadas. Mejor pecar de cauto y precavido, ¿no crees?

Eliminar todos los archivos maliciosos que no se corresponden con un gestor de contenidos WordPress

Para esta labor puedes apoyarte de la herramienta scan del plugin  Wordfence.

Esta herramienta viene de serie con una funcionalidad que compara todos los archivos de tu WordPress con los archivos originales de un repositorio especial que tienen en sus propios servidores y, si detecta diferencias te concreta donde están y te permite descargar y restaurar la versión original del archivo.

1. Dicha herramienta la puedes activar desde el menu Wordfence / scan
2. A continuación presiona sobre el botón Start a Wordfence Scan (1)
3. Fíjate en el sumario (2) y en los detalles del escaner (3)

Si Wordfence detecta archivos potencialmente maliciosos te lo informará de este modo:

• (1). Te muestra el archivo localizado como sospechoso
• (2) Te indica el grado de severidad
• (3) Se facilita detalles del patron de código malicioso que ha encontrado
• (4) Te facilita herramientas para ver el código del archivo (view the file) y para eliminarlo directamente (Delete this file)

Wordfence te presenta el mismo mini-informe de todos los archivos que detecte como maliciosos. Tendrás que tomar decisiones con cada uno de ellos. En ocasiones puede darte falsos positivos, tendrás que valorarlo archivo por archivo. Mi consejo aquí es que tengas precaución.

Si quieres ver un tutorial completo sobre Wordfence puedes leer este artículo.

Actualizar todos los plugins y temas

Debes actualizar todos los plugins y temas.

Dicho sea de paso, si bien puedes tener varios plugins en tu sitio y cada unos de ellos te brinda una funcionalidad diferente, no tiene el mismo sentido tener varios temas instalados. La imagen y estética de tu WordPress se corresponde con la de un único tema, por tanto ¿para qué quieres el resto?

Borra todos los temas que no empleas y mantén actualizado el tema activo con el que trabajes.

Instalar el plugin TAC para determinar la no vulnerabilidad de los archivos del tema

Este plugin te ayudará a detectar si tu tema de WordPress tiene codigo malicioso inyectado en sus archivos. Realmente útil y práctico.

Es capaz de detectar si el código de tu tema tiene código no deseable, tal y como puedes ver en la imagen inferior.

Imagen (1)

Imagen (2)

TAC > Theme Authenticity Checker. Lo puedes descargar desde aquí. 

En mi escenario, éste plugin detecto que el tema empleado estaba modificado con código malicioso.

El resultado de esta modificación provocaba la apertura de una puerta trasera por la que podían subir archivos al servidor. Aquí se encontraba la causa del problema. Podían subir archivos al servidor alegremente.

Wordfence tiene una funcionalidad similar que también te recomiendo emplear. Para activarla tienes que dirigirte a las opciones avanzadas del plugin. Tienes que activar las casillas de verificación tal y como ves en la imagen inferior. Una vez hecho, guarda los cambios y prueba escaner de nuevo tu sitio con Wordfence.

18-10-2018 > Actualización. El plugin TAC se ha actualizado por última hace un año por lo que no parece estar abandonado. Te puedo confirmar que lo he empleado en un caso este mismo mes con éxito. El plugin me ha notificado el NO COMPROMISO de los archivos del tema.

26-10-2020 > Actualización. Tras más de 3 años sin actualizarse tengo dudas razonables sobre el uso o no de este plugin. En ese sentido tendrás que decidir por tu cuenta si probarlo y extraer tus propias conclusiones. Te invito a compartir en los comentarios tus resultados para mantener esta guía actualizada. Otras personas te lo agradecerán.

Bloquear el acceso a las direcciones IP sospechosas de realizar escaneos inapropiados

Para este trabajo también te puedes apoyar también de Wordfence. Si revisas las páginas no encontradas, los top consumers y los top 404 del monitor de actividad de Wordfence te harás una idea de lo que puedes bloquear.

Medidas de seguridad 

Como medidas de seguridad puedes:

• Instalar y configurar el plugin Wordfence. Si has llegado hasta aquí te habrás dado cuenta de que me he apoyado bastante en este plugin.
• Instalar y configurar el plugin iThemes Security. Para cambiar configuraciones de seguridad en WordPress es muy útil y ágil. Al golpe de clic de ratón puedes materializar numerosas opciones de configuración.
• Instalar y configurar el archivo htaccess con las directivas 7G Firewall
• Dejarte guiar por las recomendaciones y medidas de esta guía práctica de seguridad para WordPress titulada «Protege tu WordPress».

Monitorización

Una vez has podido eliminar todos los archivos maliciosos, restaurado tu tema, ajustados los permisos por FTP… toca pasar a la fase de monitorización. Esto es, estar pendiente de que no vuelva a suceder por el peligro de re-infección existente.

¿Qué es lo que vas a monitorizar?

• Permisos. Revisa que no hay alteraciones de permisos. Los archivos deben estar en 644 y las carpetas en 755.
• Modificaciones de archivos del sitio. Para esto emplea Wordfence. Realiza escaneos periódicos.
• Revisa el tráfico en línea. Emplea igualmente en Wordfence. Revisa las páginas no encontradas, los top consumers y los errores 404.
• Revisa en los comentarios si hay SPAM.

Siguientes pasos

Si durante un par de días las cosas están tranquilas, puedes cambiar la frecuencia de monitorización y continuar con tus rutinas habituales.

• Mantener la monitorización del sitio pero con una menor frecuencia.
• Mantener el tema y los plugins actualizados.

Si pasados 15 días todo continua estable puedes dar por concluido el episodio oscuro, eso si, la monitorización de tu sitio debería ser una constante dado que siempre estás expuesto en Internet frente a los que van con malas artes. Decide tu la frecuencia y decide si prefieres delegarlo pero no lo omitas.

Esta ha sido una de mis experiencias limpiando malware en WordPress y con este artículo trato de contarte como lo he resuelto y los pasos seguidos. Normalmente lo repaso cuando tengo que abordar algún contratiempo similar.

26-09-2020 > Actualización. Hace casi un par de años que no me enfrento a una infección de malware por lo que no te puedo aportar más experiencias, aún así, pienso que este artículo sigue siendo bastante ilustrativo.

Mi deseo con esta publicación es que tengas un poco de orientación si quieres invertir tu mismo el tiempo solucionarlo bien porque quieres o bien porque no puedes invertir en un servicio de desinfección.

Contratar un servicio

Imagino que tras leer este articulo te habrás dado cuenta de que no es trivial resolver una infección por malware, requiere tiempo, conocimientos técnicos, estar pendiente de muchos detalles, saber interpretar los datos, etc.

Por tanto, es muy sensato que prefieras pagar por un servicio de desinfección e invertir tu tiempo en otras cosas más relevantes de tu proyecto.

En este caso te recomiendo dos, Sucuri o NinTechNet. Tu decides.

MAS INFORMACION SERVICIOS DE SUCURI

MAS INFORMACION SERVICIOS DE NINTECHNET

Si tienes alguna duda, consulta, quieres aportar tu experiencia o punto de vista o quieres contarnos que estrategias y herramientas empleas para eliminar malware de tu WordPress, no te cortes y compártelas con nosotros.

Tienes tu oportunidad en los comentarios.