¡WordPress hackeado! Urgente. Es lo que me encuentro frecuentemente como asunto en mi bandeja de entrada de mi correo electrónico.
Personas que no saben, no entienden la causa, el motivo que su sitio web haya sido hackeado.
Es cierto que me pongo en el lado de la persona que tiene un negocio y se encuentra de sopetón que tu página web WordPress ha sido hackeado y me entrarían los 7 males.
Pero hay que tener tranquilidad.
¿Por qué WordPress Hackeado?
En primer lugar, no se trata solo de WordPress hackeado.
Todos los sitios web en Internet son vulnerables a los intentos de piratería. No pienses que tienen algo en contra de tí, no eres especial.
Una de las principales razones es desatender el mantenimiento Web de WordPress.
La razón por la cual los sitios de WordPress son un objetivo común se debe a que WordPress es la plataforma para diseñar sitios web más popular del mundo.
Alimenta más del 40% de todos los sitios web, lo que se traduce a cientos de millones de sitios web en todo el mundo.
Esta inmensa popularidad da a los hackers una forma fácil de encontrar sitios web que son menos seguros, por lo que puede explotarlo.
Los hackers tienen diferentes tipos de motivos para insertar código malicioso a un sitio web. Algunos son principiantes que están aprendiendo a explotar sitios menos seguros.
Algunos hackers tienen malas intenciones como distribución de software malicioso, para que los buscadores nos penalicen, otras usando un sitio para atacar a otros sitios web o correo basura internet.
Con esto dicho, vamos a echar un vistazo a algunas de las principales causas de los ataques a páginas web de WordPress y cómo prevenir que tu sitio web pueda ser atacado.
Hosting
Al igual que todos los sitios web, los sitios de WordPress están alojados en un servidor web. Algunas empresas de alojamiento no aseguran adecuadamente su plataforma de alojamiento.
Esto hace que todos los sitios web alojados en sus servidores sean vulnerables y nuestro alojamiento puede ser infectado
Se puede evitar fácilmente eligiendo el mejor proveedor de alojamiento de WordPress para tu sitio web. Está claro que los hosting gratuitos y low cost no trabajaran mucho la seguridad, ya que eso incrementa el precio.
El alojamiento es un tema que trato en un artículo de mantenimiento web de WordPress, hay que mirar las mejores opciones para nuestro proyecto web. Los debes alojar en una plataforma segura.
Un servidor correctamente configurado y con las capa adecuadas pueden bloquear muchos de los ataques más comunes en los sitios de WordPress.
Uso de contraseñas débiles
Las contraseñas son las claves para su sitio de WordPress. Necesitas asegurarte que estás utilizando una contraseña única para cada una de las cuentas porque podemos dejar una vulnerabilidad por no poner una contraseña robusta.
Debes extremar las precauciones y proporcionar contraseñas seguras para:
-
Cuenta de administrador de WordPress.
-
Acceso al panel de hosting.
-
Cuentas FTP.
-
Base de datos que utilizas en WordPress,
-
Cuentas correos que usas para la administración de WordPress.
-
Cuentas de correo que tenemos en el alojamiento, asociado al dominio.
El uso de contraseñas débiles hace que sea más fácil para los piratas informáticos se agrieten las contraseñas utilizando algunas herramientas básicas de hacking.
Lo puedes evitar esto mediante el uso de contraseñas únicas y fuertes para cada cuenta. Así que yo que tú cambiarás las contraseñas por unas robustas. 😉
Acceso sin protección a wp-admin
El área de administración de WordPress da acceso a un usuario para llevar a cabo diferentes acciones en tu sitio de WordPress. También es el área más comúnmente atacado de un sitio de WordPress.
Dejándolo desprotegido permites a los piratas informáticos para tratar diferentes enfoques para atacar tu sitio web.
Se puede hacer que sea difícil para ellos mediante la adición de capas de autenticación para el directorio de administración de WordPress.
En primer lugar debes proteger con contraseña tu área de administración de WordPress.
Esto añade una capa de seguridad adicional, y cualquier persona que intenta acceder a la administración de WordPress tendrá que proporcionar una contraseña adicional.
Si ejecutas un sitio de WordPress multi-autor o multi-usuario, entonces se puede hacer cumplir contraseñas seguras para todos los usuarios en su sitio.
También puedes agregar autenticación de dos factores para que sea aún más difícil para los hackers para entrar en su área de administración de WordPress.
Los permisos de archivo incorrecto
Los permisos de archivo son un conjunto de reglas usadas por el servidor web.
Estos permisos ayudan a controlar el acceso a los archivos del servidor web en tu sitio permisos de archivo incorrectos pueden dar acceso a un hacker para escribir y cambiar estos archivos.
Todos los archivos de WordPress deben tener valor como 644 permisos de ficheros. Todas las carpetas en su sitio de WordPress deben tener 755 como su permiso de archivo.
No actualizar WordPress
Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Ellos temen que al hacerlo su sitio web deje de funcionar.
Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no vas a actualizar WordPress, entonces estás dejando intencionadamente que tu sitio sea vulnerable.
Si tienes miedo de que una actualización romperá su sitio web, puedes crear una copia de seguridad completa de WordPress antes de ejecutar una actualización.
De esta manera, si algo no funciona, entonces puedes fácilmente volver a la versión anterior.
No actualizar Plugins, Core…
Al igual que el software principal de WordPress, la actualización del tema de WordPress y plugins es igualmente importante. El uso de un plugin desactualizado o tema puede hacer que su sitio vulnerable.
Los fallos de seguridad y los errores se descubren a menudo en plugins de WordPress y temas. Sin embargo, si un usuario no actualiza su tema o plugin, entonces no hay nada que pueda hacer al respecto.
Asegúrate de mantener su tema y plugins de WordPress al día. Así mismo que el Core de nuestro WordPress esté actualizado a la última versión.
El uso de FTP normal en lugar de SFTP / SSH
Las cuentas FTP se utilizan para subir archivos al servidor web utilizando un cliente FTP. La mayoría de los proveedores de hosting son compatibles con conexiones FTP utilizando protocolos diferentes.
Puedes conectarse a través llanura FTP, SFTP o SSH. Debes usar SFTP en lugar de FTP.
Cuando se conecta a su sitio a través de FTP sencillo, la contraseña se envía al servidor sin cifrar. Puede ser espiado y fácilmente robada. En lugar de utilizar FTP, siempre debe utilizar SFTP o SSH.
Usted no necesita cambiar su cliente FTP. La mayoría de los clientes FTP se pueden conectar a su sitio web en SFTP y SSH. Sólo tiene que cambiar el protocolo a ‘SFTP – SSH’ cuando se conecta a su sitio web.
El nombre de usuario
No se recomienda el uso de ‘admin’ como nombre de usuario de WordPress. Si tu nombre de usuario administrador es admin, debes cambiarlo inmediatamente a un nombre de usuario diferente.
Se recomienda usar nombres de usuarios con la misma fortaleza que las contraseñas para poner a los indeseables el camino hacia el mal más sencillo.
Temas y plugins Nulled
Hay muchos sitios web en Internet que distribuyen pagado plugins y temas de WordPress de forma gratuita.
A veces es fácil tentarse a utilizar esos plugins y temas en tu sitio. Piensa en que no sabes quién lo ha editado o si ha metido malware en la plantilla.
La descarga de temas de WordPress y plugins de fuentes no fiables es muy peligroso.
No solo pueden comprometer la seguridad de tu sitio web, sino que también puede ser utilizado para robar información sensible.
Siempre se debe descargar plugins y temas de WordPress a partir de fuentes fiables en los sitios web de desarrolladores temáticos o repositorios oficiales de WordPress.
Si no puedes permitirte o no quieres comprar un plugin premium o tema, a continuación, siempre hay alternativas libres disponibles para esos productos.
Estos plugins gratuitos pueden no ser tan completos como los premium, pero van a hacer el trabajo y lo más importante mantener su sitio web seguro.
Configuración archivo wp-config.php
WordPress tiene en su carpeta wp, un fichero de configuración en: wp-config.php, este archivo contiene tus credenciales de acceso a la base de datos.
Si se ve comprometida, entonces revelará la información que podría dar a un hacker acceso completo a tu sitio web.
Se puede añadir una capa adicional de protección al negar el acceso al archivo wp-config usando el fichero htaccess. Basta con añadir este pequeño código a su archivo fichero htaccess.
<archivos wp-config.php>
Para permitir, denegar
Negar todo
</ Archivos>
Prefijo de tabla
Se debe cambiar el prefijo de tabla por defecto de WordPress. Por defecto, WordPress utiliza wp_ como prefijo para las tablas que crea en su base de datos.
Se obtiene una opción para cambiar durante la instalación.
Se recomienda que utilice un prefijo que es un poco más complicado. Esto hará que sea más difícil para los hackers de adivinar sus nombres de las tablas de bases de datos.
La limpieza de un sitio de WordPress hackeado
La limpieza de un sitio de WordPress hackeado puede ser un verdadero dolor de cabeza. Sin embargo, se puede hacer. Diariamente me llegan peticiones para limpiar sitios hackeados.
Descarga el sitio.
Los primero que suelo hacer es hacer es bajar todo el sitio infectado por SFTP a una carpeta y que revise mi antivirus para limpiar mi WordPress hackeado.
Antivirus.
Una vez que el antivirus me da el resultado de los archivos infectados, busco de una instalación limpia dichos archivos, los edito y le paso el antivirus de nuevo.
Revisar código.
Repaso los archivos en busca de código insertado y los voy añadiendo a una carpeta limpia. El archivo htaccess, lo elimino y creo uno nuevo.
Uso de contraseñas débiles
Los plugins busco previamente que estén actualizado y en el panel de administración voy activando uno a uno, viendo como se comporta y realizo antes de nada, la instalación del plugin Ithemes Security, ya que la función de registros de cambios me da información sobre que archivo se ha modificado.
Puedes ver un artículo que hablo sobre los mejores plugins de WordPress.
Hago la autentificación en 2 pasos.
Así mismo si el sitio infectado no dispone del plugin WPS Hide Login, lo instalo para poner otra capa más de seguridad a mi WordPress hackeado.
Si después de todo esto, sigue, nuestro potente plugin Ithemes Security, te chiva la IP del acceso y ¡tachán! Le bloqueas la IP y santas pascuas.
Observación.
Subo la web de nuevo al hosting y la dejo en observación. Veo como actúa y si el hacker sigue accediendo y modificando archivos.
Conclusión
Es cierto que nada te asegura el 100% de seguridad pero podemos poner un porcentaje muy alto a nuestro sitio web. Si nuestro diseño web lo realiza un diseñador web freelance, hará una fortaleza de nuestro hosting.
Así mismo, tengo que decir que ningún sitio web que gestiono lo han hackeado, principalmente porque tengo totalmente actualizado los themes, plugins, etc.
Los servidores que utilizo son VPS y le añado medidas de seguridad que hacen bastante difícil cualquier ataque.
Aún así como monitorizo todos los proyectos de mis clientes con herramientas potentes, al mínimo problema, puedo apagar el fuego.
Te recomiendo que contrates un buen hosting, yo confío plenamente en Raiola. El servicio que ofrece es brutal y las medidas que implementan en sus servidores no dan tregua a los piratas informáticos.
Debemos tener muy presente que un sitio web hackeado, puede verse afectado por su posicionamiento web.
Así que nuestro consultor SEO freelance, nos mantendrá informado de los pasos a seguir.
Puedes contarme si pasaste alguna experiencia con alguna web hackeada, cómo la limpias, plugins que usas, etc. Un saludo y nos vemos muy pronto.
14 comentarios en “Cómo limpiar WordPress hackeado. Guía de limpieza.”
Que buen post Roberto. Siempre se aprende un montón con lo que escribes, y con este artículo más todavía, súper interesante y de mucho aprendizaje pero si me llegan a hackear, no haré el proceso yo porque no soy experta; te llamo a ti.
Tomando nota de todos los consejos que das. La verdad es que no sabría que hacer de recibir un ataque similar sino fuera por aportes de valor como el que nos haces. Mil gracias y te animo a seguir compartiendo.
Saludos,
Hola Milagros.
Muchas gracias por tu comentario. Se trata de tener un poco más claro la forma de actuar por lo menos para prevenir.
Un saludo! 😉
Hola Marcos.
La verdad que ante una situación así es difícil pero podemos prevenirlo, haciendo unas pequeñas cosas que nos facilitan nuestra seguridad y tranquilidad.
Muchas gracias por el aporte.
Un artículo muy completo Roberto, la seguridad en WordPress es un tema importantisimo, para cualquier agencia de marketing o profesional freelance.. Muy bien explicado
Gracias Rober!!
Toñi Rodriguez Navas
Vatoel Social Media
Hola Toñi.
Me alegro que te haya servido mi artículo, es fundamental la prevención para evitar desastres.
Muchas gracias por tu comentario.
Un saludo.
Hola tengo varios webs en wordPress y tenia un tema, ahora todos me aparecen sin nada solo una entrada de Hello word y cuando entro al cpanel no tengo base de datos para entrar al admin de wordpress que puede ser? estoy empezando en el desarrollo de wordpress
Hola Edymar.
Vayamos por partes.
Si tenías una web con contenido y ahora sólo aparece el el Hello World, alguien ha cambiado eso.
Por otro lado, si no puedes acceder a tu panel de administración, debes ir a tu CPanel y en la base de datos, debes modificar la password.
Un saludo!!
Muchas gracias por este post tan interesante. La verdad que es de mucha utilidad.
Muchas gracias por tu comentario, Valentina. Un saludo.
La verdad que estaba muy agobiada e intenté solventarlo yo misma. Pero al final perdí tiempo y no resolví mi problema. Menos mal que me puse en contacto contigo y me lo resolviste enun visto y no visto.
Ya te dije que te estaré eternamente agradecida pero me ha parecido genial, aparte ponértelo en el artículo para que la gente te delegue estos cometidos y nop cometan el error que yo cometí.
Un abrazo!!!!
Hola Erica.
Agradecerte el pedazo de comentario, me has sonrojado… La verdad que puede ser algo tedioso hacer este tipo de cosas si no tienes conocimientos previos.
De todas las formas, ya sabes que cualquier cosa que necesites, aquí estamos.
Un abrazote!!!
Hola Roberto.
El artículo me ha sido de gran ayuda. Muchísimas gracias 🙂
Hola Emilio.
Me alegra que te haya sido de utilidad.
La verdad que el hackeo de WordPress es un engorro y un problema para los profesionales y empresas.
Un saludo.