Hackeado: qué hacer cuando su sitio web de WordPress ha sido comprometido

Comienza con una sensación de hundimiento de que algo anda mal con su sitio web de WordPress. Tal vez su complemento de seguridad lo alertó sobre un archivo modificado que sabe que no tocó. O ve algún contenido desconocido dentro de su lista de publicaciones.

Cualquiera que sea el indicador, lleva a una conclusión: su sitio web ha sido pirateado. ¿Qué hacer ahora?

Si bien es perfectamente normal sentirse asustado y/o frustrado, no es el momento de entrar en pánico. En cambio, ¡es hora de entrar en acción! Algo así como un superhéroe, pero tus armas preferidas son un escáner de seguridad y un cliente FTP.

Aún así, tienes la capacidad de salvar el día. Simplemente siga nuestra guía para lidiar con un sitio web de WordPress pirateado.

Usa tus copias de seguridad

Administrar un sitio web, ya sea que se ejecute en WordPress o no, significa estar preparado para actuar en cualquier momento cuando algo sale mal. ¿Cómo haces eso? Manteniendo copias de seguridad periódicas de todo su sitio, incluida su base de datos y archivos.

Restaurar versiones limpias de sus archivos y datos hará que su sitio web vuelva rápidamente a un buen lugar. Si no tiene una copia de seguridad a la que recurrir, la recuperación de un hack puede ser aún más difícil.

Sin una copia de seguridad, bueno, es cuestión de revisar su instalación con un peine de dientes finos. Deberá buscar un código potencialmente malicioso, eliminarlo y esperar que haya detectado todo.

Puede haber una gracia salvadora: su servidor web bien puede tener una copia de seguridad limpia para ayudarlo. Sin embargo, aún es mejor tomar el asunto en sus propias manos. Confiar en otros para sacarlo de un apuro no es una estrategia sostenible.

Cambiar contraseñas y claves de sal

Dependiendo de la vulnerabilidad que un atacante usó para piratear su sitio, muy bien podría tener acceso de administrador. Por lo tanto, es mejor cambiar las contraseñas de cada cuenta de administrador. Si tiene cuentas sin usar por ahí, considere eliminarlas.

Además, también se debe cambiar la contraseña de la base de datos del sitio. Esto podría ayudar a prevenir cualquier ataque de inyección de MySQL que pueda haber estado ocurriendo.

Por último, también se recomienda un cambio rápido de las claves de sal de WordPress. Esto expulsará a cualquier usuario que haya iniciado sesión y que pueda estar fisgando.

Busque sugerencias de archivos modificados

Si su sitio web se ha visto comprometido, no es suficiente simplemente restaurar una copia de seguridad. También es importante tratar de averiguar exactamente qué sucedió. Los archivos de copia de seguridad pueden estar limpios, pero aún podrían contener agujeros de seguridad que conducirán a otro hackeo.

Por lo tanto, es una buena idea descargar una copia de su sitio pirateado antes de restaurar esa copia de seguridad. O, si se realiza una copia de seguridad de su sitio a diario, es posible que pueda obtener la última copia si sospecha que también tiene la misma aflicción.

También es posible que desee ejecutarlo a través de un escáner de seguridad, como la herramienta gratuita SiteCheck de Sucuri. Esto podría llevarlo directamente a un problema de seguridad específico que causó el ataque.

Una vez que tenga una copia de su sitio infectado, es hora de investigar y buscar pistas. Aquí hay algunos artículos que vale la pena revisar:

Compruebe el núcleo, los complementos y los temas de WordPress

Una cosa a tener en cuenta es que se podría inyectar código malicioso en cualquier área de su sitio web de WordPress. Eso podría ser un archivo central, un complemento o un tema. Incluso los elementos inactivos podrían haber proporcionado una puerta trasera.

También vale la pena verificar los permisos de archivo de su servidor para asegurarse de que estén en línea con lo que recomienda WordPress.

Mira las fechas modificadas

Una señal reveladora de un archivo infectado es una fecha de modificación sospechosa. Por ejemplo, si no ha cambiado la plantilla de un tema en meses, y la fecha de modificación fue la semana pasada, eso podría ser una señal de juego sucio.

Esto puede ser un poco más difícil de detectar en los complementos, ya que tienden a actualizarse con más frecuencia. Pero si algo no se ve bien, consulte el registro de cambios del complemento. Eso puede decirle cuándo fue la última actualización. Incluso si no actualizó el momento en que se lanzó la nueva versión, al menos tendrá un rango de tiempo para buscar.

Abrir archivos sospechosos (con cuidado)

Si ha encontrado algunos archivos que parecen sospechosos, es posible que desee abrirlos e inspeccionar su código. Antes de hacer eso, puede ser una buena idea pasarlos por un escáner de malware, solo para estar seguros.

El código malicioso parece sobresalir como un pulgar dolorido, pero la prueba del globo ocular por sí sola puede no ser suficiente para estar seguro. En este caso, puede obtener otra copia del archivo, una que se sepa que está limpia, y compararla. Si detecta alguna diferencia, sabrá que algo está pasando.

Busca en la web

Los foros de soporte de WordPress.org pueden ser un excelente lugar para recopilar información. Si sospecha de un complemento específico o incluso del núcleo de WordPress, es probable que otros usuarios hayan experimentado algo similar. Es posible que descubras que no estás solo en tu sufrimiento.

Además, la base de datos de vulnerabilidades de WPScan ofrece una larga lista de información de seguridad de temas, complementos y núcleos. Es un gran lugar para buscar problemas conocidos.

Póngase en contacto con su proveedor de alojamiento web

No hay garantía de que su servidor web pueda haber evitado un ataque en particular. Pero aun así, vale la pena acercarse a ellos en estas situaciones. Esto es especialmente cierto si no está seguro del culpable. Y es simplemente una buena práctica si tiene una cuenta de alojamiento compartido, ya que puede afectar a otros usuarios (u otros sitios que esté alojando).

Si no puede identificar una vulnerabilidad específica que condujo al ataque, su host puede ser un gran recurso. Es posible que hayan visto a otros clientes con problemas similares, o puede desencadenar una señal de alerta que conduce a la reparación de un agujero de seguridad.

Además, algunos hosts también ofrecen escaneos de seguridad y limpieza de malware. Si bien es probable que le cuesten un poco de dinero en efectivo, podría ayudarlo a eliminar un problema recurrente. Solo asegúrese de preguntar acerca de las garantías y averiguar qué está cubierto antes de realizar la inversión.

Tome nota de las lecciones aprendidas

Cuando todo esté dicho y hecho, es muy probable que haya aprendido una o dos cosas sobre la seguridad de WordPress. Esas son buenas noticias, porque puede aplicar este nuevo conocimiento para mantener su sitio web seguro.

Por ejemplo, recuperarse de un sitio web pirateado podría llevar a usar contraseñas más seguras o actualizar el software con más frecuencia. Incluso podría implementar medidas como la autenticación de dos factores. También puede informarle sobre la configuración del servidor que puede dificultar que un actor malintencionado haga daño.

El objetivo es reforzar la seguridad hasta el punto en que al menos pueda defenderse de los tipos de ataques más comunes. Más allá de eso, se trata de mantenerse alerta y nunca dar por sentada la seguridad.