Hay muchos tipos de virus que pueden afectar a tu instalación de WordPress y, del mismo modo, hay muchas formas de las que puedes enterarte que tu página está infectada:

  • De buenas a primeras has recibido un email de tu proveedor de hosting indicándote que han encontrado archivos sospechosos y los han renombrado; o directamente te han cerrado la web temporalmente por motivos de seguridad.
  • Tu página ha cambiado de aspecto de la noche a la mañana, sin que hayas tocado o actualizado nada.
  • Al intentar acceder a tu web, el explorador te muestra un pantallazo con un mensaje del tipo: “El sitio web al que intentas acceder es engañoso”.
  • Al intentar acceder a la página, ésta te redirecciona a otras webs de dudosa reputación.
  • Al buscar tu dominio en Google, aparecen resultados de páginas que tú no has publicado y que suelen contener mensajes sobre medicamentos o pornografía. El “Buy viagra” es un virus  clásico en la comunidad WordPress.

¡Que no cunda el pánico!

Si quieres que te limpie la web y te la deje como estaba antes, escríbeme a través del formulario de contacto. Si crees que puedes hacerlo tú sol@, sigue leyendo. Te lo cuento paso a paso.

¿Por qué se ha infectado tu web?

Cabe decir antes de entrar en materia que WordPress es un sistema muy seguro, pero también muy utilizado (léase ese muy con entonación y calma). Y como es un sistema muy extendido, los hackers le dedican su tiempo para buscar vulnerabilidades y crear todo tipo de malware.

No te lo tomes como algo personal. Estos algoritmos trabajan a destajo en busca de webs de WordPress que no sean seguras.

Precauciones para mantener tu WordPress limpio de virus

Tu página ha sido atacada. Vamos a limpiarla.

Entiendo que si has llegado hasta aquí es altamente probable que tu web esté infectada y estés tan alterad@ que este punto no te interese lo más mínimo. Bien, si no lo vas a leer, guárdalo para luego. Que una vez tengas la web limpia de virus, te será de utilidad.

  • Actualiza periódicamente los plugins, el tema y el WordPress. En este orden. Si WordPress ha sacado una actualización nueva, cerciórate primero de que los autores de plugins y el tema han sacado una última versión y han revisado que sea compatible. En caso contrario, espera unos días antes de actualizar.
  • No instales plugins ni temas obsoletos. Si los que tienes instalados no han sacado actualizaciones en mucho tiempo, plantéate seriamente cambiarlos por otros ya que son un blanco fácil para los malware.
  • Realiza copias de seguridad periódicas.

Limpieza completa de tu instalación de WordPress

Habrás visto que otros autores hacen un diagnóstico antes de limpiar la página. A mí, llegados a este punto, me gusta matar las moscas a cañonazos. ¿Por qué? Pues porque los virus se autoejecutan, se propagan y tu web puede contener varios tipos de malware, con lo que prefiero tomar todas las precauciones por si tienes la web más infectada de lo que pueda aparentar en primera instancia.

Por eso y porque me resulta mucho más sencillo explicarte cómo dejar la página 100% libre de virus en un solo tutorial y sin que tengas que preocuparte de tener que revisar de nuevo dentro de dos semanas.

Antes de entrar en materia, haz una copia de seguridad completa; que si te equivocas en algún paso, puedas recuperar tu web.

1. Descarga WordPress de la página oficial

  • Entra en la web oficial de WordPress y descarga la última versión.
  • Descomprímela en una carpeta de tu ordenador y renómbrala como wordpress-limpio.

2. Descarga lo imprescindible de tu web infectada de virus

  • Entra a tu web por FTP y descarga la carpeta uploads. Esta carpeta es la que contiene todas las fotos de tu página y se encuentra dentro de wp-content. Puede tardar bastante en descargar, en función de tu conexión y de la cantidad de fotografías que tengas en la página. Paciencia.
  • Si usas un tema hijo (theme child), descárgalo también.
  • Descarga los archivos HTML que tengas en la raíz, que puedan contener códigos de Google Analytics o similares.
  • Es lo único que vamos a aprovechar de la instalación actual. Sí. ¡A cañonazos! Todo lo demás lo vamos a instalar limpio.

3. Descarga el tema que utilizabas

Si el tema que estabas usando para tu web infectada era comprado, entra en la página del desarrollador y descarga la última versión. Comprueba que esté actualizado y sea compatible con la versión de WordPress que acabas de descargar; en caso contrario, plantéate cambiar de tema.

Una vez descargado, descomprímelo y mételo en la carpeta /wordpress-limpio/wp-content/themes/ que debes tener en tu escritorio.

En caso de que hubieras descargado en el punto anterior un tema hijo, revisa todos los archivos PHP en busca de código malicioso. Normalmente no tendrás muchos archivos, así que mira que no haya nada que no hayas incluido tú. Especialmente funciones del tipo eval() o base64(), que suelen tener un carro larguísimo de caracteres y pueden estar ocultos tras muchos tabuladores. Usa la función de buscar de tu editor de textos o busca desde Terminal.

Finalmente, si tienes acceso al panel de administración de tu WordPress con virus, comprueba en las opciones del tema si hay alguna herramienta para descargar la configuración actual. Hay algunos temas que no guardan las configuraciones en la base de datos y es imprescindible descargar el archivo para poder recuperarlas.

4. Comprueba que uploads sólo contiene imágenes

limpieza de un sistema de archivos de wordpress infectado con un virus

Limpieza completa del sistema de archivos de WP.

Revisa minuciosamente que en la carpeta uploads que has descargado y las consiguientes subcarpetas sólo haya imágenes. Todo lo que no sean imágenes (especialmente PHP), cárgatelo sin compasión. Si había caché o algún archivo CSS, se generarán de nuevo al instalar los plugins.

Si utilizas terminal, haz una búsqueda por todas las subcarpetas buscando archivos PHP.

Si no, ve carpeta por carpeta; ordena los archivos por extensión y revisa con cuidado que no se te cuele ningún archivo PHP. Es muy importante que no quede ninguno. Uno solo puede suponer una que tu web siga infectada de virus tras todo el trabajo.

Una vez corrobores que esta carpeta está limpia de virus, colócala en /wordpress-limpio/wp-content/.

5. Descarga los plugins imprescindibles

Si todavía tienes acceso al panel de administración de tu WordPress infectado, accede y revisa qué plugins tenías instalados y activados. En caso contrario, accede a la web del virus por FTP y revísalo en la carpeta /wp-content/plugins/

Dirígete al repositorio de WordPress y descarga uno a uno los plugins que tenías instalados y activados (si no has podido acceder al panel, no sabrás si estaban o no activos).

Es muy importante que revises que cada uno de ellos está actualizado y es compatible con la versión de WordPress que acabas de descargar. Si el plugin lleva más de 6 meses (por poner una fecha) sin actualizarse, plantéate sustituirlo por uno que haga las mismas funciones y esté al día. Un plugin obsoleto es un peligro y uno de los posibles motivos por el que tu página está infectada.

Ahora, descomprime todos los plugins y mételos en la carpeta /wordpress-limpio/wp-content/plugins/.

6. Configuración de la base de datos

Por último, abre desde el gestor FTP el archivo /wp-config.php de tu instalación infectada de malware y copia los siguientes datos al archivo /wp-config-sample.php que tienes en el escritorio dentro de la carpeta /wordpress-limpio/:

  • Nombre de la base de datos: Línea 19
  • Nombre de usuario de la base de datos: Línea 22
  • Contraseña de la base de datos: Línea 25

Y revisa que estas otras líneas coincidan. En caso contrario, cámbialas también:

  • Host de la base de datos: Línea 28
  • Codificación de caracteres: Línea 31
  • Prefijo de la base de datos: Línea 62

Por último, accede a https://api.wordpress.org/secret-key/1.1/salt/ y sustituye las líneas 45 a 52 por las frases aleatorias que te muestre el explorador.

Ahora, cambia el nombre del archivo por wp-config.php (Quita el -sample).

7. Sustituye la instalación infectada por la limpia

Para acabar, entra en el hosting y borra todos los archivos de la instalación de WordPress que tiene el malware. Recuerda hacer antes una copia de seguridad.

Una vez tengas la raíz de la web vacía, sube por FTP todo el contenido que tienes dentro de la carpeta /wordpress-limpio/ de tu escritorio.

Si has seguido todos los pasos, a estas alturas ya deberías poder acceder de nuevo a tu página. Entra al panel. Es posible que te diga que debes actualizar la base de datos; pincha en aceptar. Una vez dentro, activa todos los plugins que no se encuentren activos y, en caso de haber descargado las configuraciones del tema en un archivo, dirígete a las opciones del tema e impórtalas.

Revisa que no haya usuarios o contenidos indeseados

Ya tienes la web limpia, pero revisa que no haya páginas, entradas o usuarios (¡especialmente usuarios!) indeseados en tu panel. Es posible que el malware haya creado administradores o publicado contenidos mientras la página ha estado infectada.

Ahora cambia todas las contraseñas tanto del FTP como de los usuarios de WordPress.

No olvides mantener tu página actualizada periódicamente.

Instala un plugin de seguridad

Hay muchos plugins de seguridad que te ayudan a mantener tu página libre de virus. Puedes probar con WordFence, por ejemplo. Aunque de esto hablaremos en otro post.

 

¿Quieres que desinfecte yo tu WordPress?

¿Todo esto te abruma? Me has pillado con el antibiótico en las manos. Escríbeme y me pongo manos a la obra. En 48 horas tendrás tu web como nueva.