En nuestro trabajo diario en Raiola Networks cada vez nos encontramos con más clientes que llegan a nosotros con infecciones de malware en sus instalaciones de WordPress, ante este panorama, en muchas ocasiones es muy difícil limpiar la instalación de WordPress usando los métodos tradicionales como antivirus en el servidor y antivirus en forma de plugin, por esa razón tenemos que recurrir a métodos mucho más radicales y que dan mucho más trabajo que poner un antivirus a escanear.
© RioPatuca Images- Fotolia.com
Los atacantes no tienen reglas, pueden llegar a hacer cualquier cosa una vez que han tenido acceso a una instalación de WordPress, y eso incluye que pueden llegar a meter código en cualquier parte o archivo de WordPress sin que tu tengas porque enterarte ni el antivirus tenga porque detectarlo.
Ante este panorama…. ¿qué podemos hacer?
Nosotros tenemos un proceso mediante el cual nos aseguramos de que una instalación de WordPress queda totalmente limpia y sin rastro de malware, al menos en los archivos, de la base de datos no podemos decir exactamente lo mismo.
- Borramos todos los archivos de la instalación de WordPress, excepto la carpeta WP-CONTENT, el .HTACCESS y el archivo WP-CONFIG.PHP.
- Revisamos los archivos .HTACCESS y WP-CONFIG.PHP manualmente para garantizar que no tengan código inyectado.
- Entramos en la carpeta WP-CONTENT y revisamos los plugins de la carpeta PLUGINS que tiene la instalación, sacamos una lista de plugins, borramos TODOS los plugins (carpeta entera) y los volvemos a poner en la carpeta descargando las versiones desde los repositorios oficiales.
- Salimos y volvemos a hacer lo mismo con la carpeta THEMES, no sirve solo hacerlo con el theme activo, hay que asegurarse de que queda todo limpio.
- Hecho esto borramos todo lo que hay dentro de WP-CONTENT excepto las carpetas THEMES, PLUGINS y UPLOADS.
- Entramos a la carpeta UPLOADS y hacemos una búsqueda de archivos “*.PHP” (sin las comillas), si encontramos alguno lo borramos. Si, puede ser falso positivo, pero hay que garantizar que todo está limpio.
- Volvemos a copiar los archivos de WordPress a la carpeta de la instalación, ya que antes los hemos borrado.
- Una vez hecho todo esto volvemos a subir al servidor la web, pero…. Nada de sustituir, se debe borrar lo que hay, y volver a subir.
- Instalamos Wordfence y realizamos un análisis heurístico de la carpeta UPLOADS para garantizar que no hay archivos php ocultos en formato de imagen.
Hecho esto, tu instalación de WordPress quedara totalmente limpia en la parte de archivos.
NOTA 1: Los archivos, excepto de la carpeta UPLOADS deben cambiarse TODOS, sino esta limpieza no será efectiva.
NOTA 2: El theme debe cambiarse SÍ o SÍ, si tiene modificaciones debes volver a hacerlas, ya que uno de los principales sitios de infección es la carpeta THEMES.
Álvaro Fontela Sánchez centra su actividad profesional en WordPress, trabaja en la empresa de alojamiento y desarrollo de la que es Co-Founder, Raiola Networks, donde se dedican a las tecnologías web pero especializándose en WordPress y en tareas de administración y optimización de servidores Linux.
El malware es un problema de infección muy común en los sitios webs, y aunque poseas un buen antivirus y protecciones adicionales, siempre terminan por colarse. Muy valiosa la información que publicas y las tomaré en cuenta para proteger mi sitio.
Gracias!
¡Hola Álvaro!
Dices que revisemos los archivos manualmente y ¿cómo saber si los archivos no tienen código inyectado? ¿Cuál sería el código malicioso?
Gracias por la respuesta
Un Saludo.
Vladimir.
Wordfence realiza una revisión de todo el sitio y normalmente detecta trozos de código infeccioso (al menos por mi experiencia).
Si hay algunos códigos infecciosos que no puede detectar ya no estoy seguro, pero con Wordfence instalado y funcionando seguro que encuentra algunas infecciones y te ayuda a repararlas (o te dice el código infeccioso y tú lo borras manualmente).
También está el plugin de Sucuri Security, que es bastante bueno para encontrar infecciones.
Saludos!