WordPress es una de las aplicaciones (gestor de contenidos o CMS) más usadas para la creación de páginas web y blogs debido a su facilidad de uso y flexibilidad. Por este motivo, existen gran cantidad de atacantes que buscan aprovechar vulnerabilidades de la aplicación para llevar a cabo inserciones de código o todo tipo de modificaciones maliciosas de la página. Estas vulnerabilidades pueden aparecer debido a la utilización de versiones obsoletas de WordPress o cualquiera de sus plugins/temas, que se conozca públicamente una vulnerabilidad crítica en ellos que aún no ha sido solucionada o haber descargado un plugin/tema de pago o premium de forma ilícita (descargado desde un sitio web no oficial) en el que pueden haber añadido código malicioso.
Estas vulnerabilidades pueden ser aprovechadas posteriormente para llevar a cabo ataques de phishing, recolección de datos, redirecciones fraudulentas, infección local de equipos, etc.
En esta ayuda vamos a explicar cómo eliminar el malware en WordPress al haber sido víctima de un ataque de este tipo. Los siguientes pasos nos servirán para eliminar la mayoría de las infecciones comunes que afectan a WordPress, no obstante es posible que algunas infecciones requieran de acciones adicionales para su resolución.
¡ATENCIÓN!: Esta ayuda es avanzada y puede dejar tu WordPress inaccesible si no se realiza correctamente. Recomendamos solo seguir estos pasos si se conoce el funcionamiento de la aplicación y se sabe interpretar el LOG de errores que se pueda generar.
Recomendamos realizar un backup completo de tu WordPress antes de realizar ningún cambio.
Paso 1. Revisar nuestro equipo
La infección de nuestra página puede deberse a múltiples causas, desde un fallo de seguridad en el propio WordPress, algún theme, plugin… Hasta la obtención de nuestras credenciales de acceso, al mismo WordPress o al FTP, a causa de una infección en nuestro equipo (pc).
Lo primero que debemos hacer es asegurarnos que todos los dispositivos desde los que accedemos a administrar el WordPress y el FTP estén limpios y sean seguros. Para ello podemos usar uno de los muchos antivirus y antimalware existentes.
Paso 2. Cambiar la contraseña de acceso al FTP
Una vez tenemos nuestro equipo limpio, vamos a modificar la contraseña de acceso al FTP.
Al generar la nueva contraseña nos aseguraremos de que esta sea segura y de no repetir una contraseña que usemos en otra plataforma, puedes hacer uso de herramientas online que generan contraseñas seguras, como por ejemplo LastPass.
Paso 3. Descargar la última versión de WordPress
Vamos a descargar la última versión de WordPress para asegurarnos de que disponemos de las últimas actualizaciones de seguridad aplicadas, es importante actualizar frecuentemente todos los componentes de nuestra web para tal efecto. Para ello, accederemos al apartado de descargas de su página web. Se nos descargará un archivo comprimido, tendremos que descomprimirlo para poder acceder a los archivos de WordPress.
Una vez hemos descargado WordPress y descomprimido los archivos, vamos a dejarlos en espera hasta dentro de unos pasos.
Paso 4. Eliminar la infección
Este paso deberemos realizarlo accediendo vía FTP al alojamiento. Podemos usar la herramienta «Administrador de archivos» que hay disponible en el cPanel, o usar algún gestor FTP externo como FileZilla, cuteFTP, etc.
Una vez hemos accedido al alojamiento vía FTP debemos entrar al directorio en el que está instalado WordPress. Nuestros alojamientos usan por defecto la carpeta /public_html/ por lo que si no la has cambiado durante su instalación será la carpeta en la que encontrarás tu WordPress, en caso contrario deberás acceder a la carpeta en la que instalaste la aplicación.
Tras localizar los archivos que conforman WordPress, nos aparecerá un listado similar a este:
ÚNICAMENTE deben quedar:
– El archivo “wp-config.php”, que guarda la configuración de conexión de la web con la base de datos
– La carpeta “wp-content”. que almacena todos los archivos relacionados con nuestro contenido web
Todos los otros archivos o carpetas restantes deben eliminarse. Quedando nuestra carpeta de instalación que forma el WordPress de la siguiente manera:
Acto seguido vamos a acceder a la edición del archivo “wp-config.php” para asegurarnos que no esté afectado por el malware. Para acceder a dicha edición pulsamos con el botón derecho sobre el archivo y en el menú desplegable pulsamos en “Editar”.
En el modo edición del archivo veremos el código fuente del mismo, es importante asegurarse de no realizar ningún cambio accidental pues podría suponer que dejase de funcionar.
Para saber si este archivo ha sido infectado, te recomendamos compararlo con el archivo “wp- config-sample.php” que descargaste desde la página oficial de WordPress. Si está infectado lo más probable es que tenga alguna cadena de caracteres bastante larga en algún sitio distinto a los que te aparezcan en el “wp-config-sample.php”. (En la siguiente imagen puedes ver un ejemplo de código malicioso que debemos eliminar)
Tras revisar el archivo “wp-config.php” y asegurarnos de que está correcto accederemos a la carpeta “wp-content” y dentro de ella a la carpeta “plugins”, hacemos una lista de los plugins que usamos.
A continuación, borramos todo el contenido de la carpeta “Plugins”
Acto seguido vamos a realizar el mismo proceso en la carpeta “themes” que encontraremos dentro de “wp-content”.
Finalmente, revisamos la carpeta “uploads” y su contenido para asegurarnos que no hay ningún fichero ejecutable (php) en ella, si existe alguno será necesario revisar su contenido y eliminarlo en caso de determinar que se trata de un archivo infectado.
Paso 5. Subir nuevamente WordPress
Ha llegado el momento de recuperar los archivos de WordPress que descargamos antes y subirlo vía FTP.
Ten en cuenta que es necesario que vuelvas a instalar de cero los plugins y temas eliminados, que hemos apuntado en una lista en el paso anterior.
Una vez restablecida la aplicación accede al área de gestión de WordPress y modifica las contraseñas para que sean seguras (recuerda el paso 2) y distintas a las que utilices en otros servicios.
Paso 6. Eliminar el aviso de Google
Una vez solucionada la infección hay que solicitar a Google que elimine el aviso de infección (en caso de que lo muestre). Para ello debes acceder a tu cuenta de usuario de Search Console de Google (en caso de no tener cuenta puede crearse desde ese mismo enlace), añadir tu página y pulsar en “Problemas de seguridad”. A partir de aquí sigue los pasos que te aparecerán para solicitar la revisión.