En esta ocasión voy a mostrarte como he limpiado una página web hackeada hecha con WordPress.
A estas alturas ya estarás cansado de escuchar que WordPress es el sistema más utilizado de Internet. Lo que no se suele comentar es que también es el más atacado. Encontrar una vulnerabilidad en su código es una mina de oro para la ciber-gentuza que pueden explotarla para conseguir tráfico web que redirigir a donde quieran.
La página web hackeada utilizaba WordPress como gestor de contenido principal y Woocommerce como plugin para la tienda. La infección modificaba el proceso de compra y mostraba publicidad de una página web de otra temática que no tenía nada que ver, sólo a los usuarios que accedían desde el móvil (tanto Android como iPhone).
Esta peculiaridad hacía que fuera un poco más difícil de detectar, pues el propietario de la página entraba y no veía nada extraño. Es algo común que suelen hacer para no evitar ser detectados mostrándose sólo de forma aleatoria.
Buscando el código del hackeo manualmente
Como otras veces, lo primero que te recomiendo es que contactes con quien te haya hecho la web o bien contrates un servicio profesional de limpieza o mantenimiento.
Pero si quieres probar a solucionarlo por tu cuenta, puedes revisar el código de tu página web para ver si encuentras alguna pista sobre el hackeo.
Todos los navegadores web permiten ver el código fuente de cualquier web, haciendo click derecho en algún espacio vacío y eligiendo inspeccionar código o ver código fuente dependiendo de navegadores.
Copia de seguridad por lo que pueda pasar
El primer paso que suelo hacer cuando entro a revisar un caso de este tipo, es hacer una copia de seguridad. Tiene que ser una copia de seguridad fácil de restaurar frente a un fallo que afecte a la web.
Yo utilizo Softaculous, incluido gratuitamente en todos los planes de hosting. En caso de problemas, podrás restaurar sólo la web sin que afecte a los emails y el resto de configuraciones de tu cuenta.
Probando cómo se ve el hackeo
Hice dos pruebas:
- Una desde mi propio móvil Android
- Otra desde el navegador web imitando a un teléfono móvil.
En ambos casos se mostraba la publicidad durante el primer paso del proceso de compra.
Es un hackeo especialmente molesto porque ataca a la confianza de un posible comprador, alguien que está con la tarjeta en la mano dispuesto a pagarnos dinero y que ve como en su navegador aparece algo extraño.
¿Y si es un hackeo más grave?
Una página web comprometida puede indicar un problema de seguridad más grave, así que aprovecho que todos los planes de hosting incluyen un antivirus gratuito para hacer un escaneo completo de todo el plan. Es recomendable hacerlo de vez en cuando porque podemos borrar virus que seguramente tengamos en la bandeja de correo basura o en la papelera (no abiertos, pero se quedan ahí hasta que vaciamos).
En este caso el antivirus de cPanel no detecto ningún virus así que la infección era simplemente del código fuente de la web.
Revisión de la seguridad de WordPress
Encontré doce usuarios registrados en la base de datos cuando sólo tenía que haber uno. No tenían acceso como administrador pero igualmente aproveche para borrarlos todos y cambiar tanto el usuario como la contraseña del administrador.
Evita ataques a tu usuario principal
Cambiando el nombre de usuario de una web de admin a cualquier otro evitas los ataques de fuerza bruta destinados a encontrar tu constraseña a base de prueba y error. Tu nombre o algún otro pseudónimo se lo pondrá más dificil a los próximos atacantes.
Ejemplo: administrador, gestión, manuel, amparo, webmaster, etc.
Poniendo todo al día
Una vez dentro de una página web comprometida, la característica principal suele ser una cantidad enorme de actualizaciones pendientes, temas gráficos instalados que ya no se están utilizando, plugins inactivos…
En este punto toca actualizar todo, desinstalar lo que no se utilice, borrar los plugins inactivos y dejar el sistema lo más limpio que podamos.
También recomendable, hacer una nueva copia de seguridad como punto de control frente a posibles incompatibilidades durante la actualización.
Limpieza del hackeo
Hasta ahora, todo el trabajo realizado ha sido simplemente para preparar el entorno y poder buscar al culpable. Existen muchas herramientas que ayudan a buscar al intruso en una página web. Muchas se ofrecen como servicios externos como por ejemplo el caso del servicio Sitelock del que Honesting es distribuidor.
En el caso que nos ocupa opté por instalar Wordfence, uno de los plugins de seguridad que más me ayudan a mantener segura esta misma web www.honesting.es
Wordfence es un plugin muy completo que en su versión gratuita ofrece, entre muchas funciones, un escaneo de seguridad. A diferencia de lo que hace un antivirus, este escaneo aprovecha la ventaja de que WordPress utiliza una licencia de código abierto GNU y comparara los ficheros que tenemos instalados en nuestro servidor con los ficheros originales.
Wordfence puede encontrar incongruencias o código modificado en los códigos de todos los ficheros de los plugins, temas y casi todo lo que tengas instalado. No te dirá el virus o agujero de seguridad que ha aprovechado el atacante, pero si te dirá aquellos ficheros que están modificados para que puedas revisarlos con más detalle.
Ensuciándose las manos
Es la parte de limpieza como tal. No hay una fórmula mágica ni nada automático pues cada caso es diferente y este tipo de aplicaciones suelen dejar mucho rastro de porquería digital.
Si has comprobado que tu web ha sido infectada con alguno de los pasos anteriores, necesitarás la ayuda de un profesional para que le dedique el tiempo necesario a desinfectar tu web.
Evitando nuevos hackeos
Con tu página web limpia, es hora tomar las medidas necesarias para que no te vuelva a pasar.
- Realiza un mantenimiento de todos los plugins y demás complementos.
- Valora la posibilidad de contratar un mantenimiento web.
- Programa copias de seguridad automáticas y haz alguna de forma manual cada vez que hagas un cambio importante.
Espero que este artículo te haya podido servir de ayuda. Si tienes algún comentario puedes dejarlo a continuación. ¿Has tenido un problema con una página web hackeada? ¿qué hiciste para solucionarlo? ¿qué otros consejos puedes darle al resto de visitantes?