Malware en wordpress-3

Eliminar Malware en WordPress

Existen múltiples métodos para asegurar o fortalecer WordPress, pero a menudo no se trata el tema de cómo limpiar o solucionar sitios web infectados, principalmente con malware, es por eso que te compartimos esta guía sobre cómo eliminar malware en WordPress.

Es crucial contar con un sitio web alojado en un Hosting WordPress de calidad, que incluya buenas medidas de seguridad, protección antispam, y detección de malware y otras infecciones. También es fundamental evitar el uso de plugins o temas descargados de sitios de dudosa reputación. Si este es tu caso, quizás te preguntes cómo eliminar malware en WordPress para no tener que empezar desde cero.

Es muy útil estar informado y comprender las diferentes vulnerabilidades que pueden afectar tus instalaciones de WordPress.

No existe una solución rápida y definitiva para erradicar vulnerabilidades, pero un conjunto de procedimientos y precauciones que tomes como usuario o administrador de sitios web contribuirá a tener un sistema más seguro.

Tabla de Contenidos

Métodos para detectar malware en WordPress

Aunque WordPress es bastante robusto, si vienes de versiones anteriores, en algunas ocasiones verás un mensaje indicando que «hay una versión disponible» y es recomendable que actualices.

Asegúrate siempre de que tu WordPress esté actualizado a la última versión disponible, ya que esto te protegerá contra vulnerabilidades de día cero. Sin embargo, si en algún momento descuidaste la seguridad de tu WordPress, es posible que tu sitio ya esté infectado sin que lo sepas. ¿Quieres verificarlo?

  • Revisa cuidadosamente los archivos de tu sitio web y, ante cualquier archivo extraño o sospechoso que no puedas reconocer, descárgalo para analizarlo en tu ordenador o elimínalo del sitio web. A veces, el malware se infiltra al agregar archivos nuevos al sitio.
  • Busca en la carpeta wp-content/plugins los plugins que no hayas instalado y cuyo funcionamiento desconozcas. Los atacantes a veces añaden plugins modificados con código malicioso para que parezcan legítimos. Desactiva o elimina cualquier plugin sospechoso.
  • Examina las tablas wp_posts y wp_comments de la base de datos del sitio web en busca de entradas o comentarios sospechosos. El malware también puede infiltrarse en forma de spam o enlaces maliciosos en los comentarios.
  • Revisa los archivos de registro del servidor web, si tienes acceso a ellos, para detectar cualquier actividad sospechosa, como intentos de inyección de SQL u otros ataques contra el sitio.
  • Instala y ejecuta un escáner de malware en WordPress, como Wordfence, Sucuri o WP Cerber Security, para buscar malware.
  • Asegúrate de estar utilizando siempre la última versión de WordPress y mantén actualizados tus plugins y temas, incluso si no están activos, para protegerlos contra posibles vulnerabilidades.
  • Cambia todas las contraseñas de acceso a tu instalación de WordPress infectada, especialmente las cuentas con rol de administrador y las de FTP, así como la base de datos. El malware puede capturar contraseñas no solo a través de troyanos.
  • Implementa una política de copias de seguridad, ya que en caso de infección por malware, estas serán un recurso valioso para restaurar rápidamente el sitio sin invertir mucho tiempo en limpiarlo.

En resumen, se trata de aplicar medidas de prevención, no usar plugins o temas descargados de sitios warez, y mantener una política estricta de copias de seguridad en WordPress ¡siempre!

Procedimientos para eliminar malware en WordPress

Después de identificar infecciones en un sitio construido con WordPress, es crucial evaluar la magnitud de la infección, identificar los archivos o grupos de archivos afectados y determinar el tipo de infección para abordarla de la manera más eficaz.

Algunas infecciones de malware requieren un tratamiento específico, por tal motivo, se debe realizar un análisis muy detallado antes de proceder, ya que toda solución requiere un tiempo importante.

Algunas formas de eliminar malware en WordPress incluyen:

  • Utilizar un plugin de seguridad y escaneo como Wordfence, WP Cerber Security, entre otros, para detectar y eliminar archivos infectados. Plugins como Wordfence pueden escanear tu sitio en busca de malware y limpiar automáticamente los archivos infectados.
  • Acceder por FTP y eliminar manualmente los archivos infectados, identificando previamente cuáles son y qué patrones de modificación presentan. Si conoces las rutas de los archivos infectados, puedes acceder vía FTP, ir a la carpeta wp-content y eliminarlos manualmente.
  • Desactivar todos los plugins y cambiar las contraseñas de FTP y de la administración del sitio web. A veces los plugins pueden estar comprometidos y al desactivarlos, se evita la ejecución del código malicioso. Cambiar las contraseñas es crucial para la seguridad.
  • Reinstalar WordPress por completo si la infección es severa. En este caso, puede ser más fácil hacer una copia de seguridad de la base de datos y archivos importantes, luego borrar WordPress e instalarlo nuevamente desde cero.
  • Utilizar un software anti-malware como Fixed, Malwarebytes o similares, que escanean y limpian sitios WordPress infectados, eliminando los archivos maliciosos. Estos servicios generalmente son de pago.
  • Desinfectar la base de datos si se sabe que el malware ha insertado código en ella. Existen herramientas que ayudan a identificar y eliminar código malicioso de la base de datos, aunque la mayoría son de pago.

Existen numerosas herramientas para analizar sitios WordPress, algunas en forma de plugins y otras como herramientas de escritorio que deben instalarse previamente en el ordenador, y la mayoría son comerciales. Algunas de las mencionadas son:

También hay herramientas en línea que analizan un sitio web en busca de indicios de malware, aunque generalmente de manera superficial:

Lo más importante es actuar rápidamente ante cualquier infección para evitar su propagación y hacer copias de seguridad regularmente. Una combinación de escaneo constante, buenos plugins y vigilancia manual puede ayudarte a mantener segura tu instalación de WordPress.

Uso de plugins para eliminar malware en WordPress

Para evaluar el estado de nuestras instalaciones de WordPress, utilizaremos el plugin Anti-malware and Brute-Force Security . Este plugin se centra en el análisis detallado de los archivos de la instalación donde se encuentre y en la detección de amenazas conocidas o patrones de amenazas no oficialmente reconocidas.

Este plugin fue diseñado para ayudar a los administradores de WordPress a limpiar infecciones en sus sitios web. Nació de la necesidad del autor de limpiar una de sus cuentas en un proveedor de hosting. El plugin busca malware, virus y otras amenazas en la instalación de WordPress y te ayuda a eliminarlas.

Las características más destacadas de Anti-malware Security and Brute-Force Firewall incluyen:

  • Eliminación automática de «amenazas conocidas».
  • Si haces una donación al autor, podrás descargar definiciones de nuevas amenazas a medida que se descubren.
  • Actualización automática de las versiones vulnerables del script TimThumb.
  • Parches automáticos para wp-login.php que bloquean ataques de fuerza bruta.
  • Ejecución de un análisis rápido desde el menú de administración.
  • Personalización de la configuración del escáner.
  • Protección del firewall contra malware como SoakSoak, evitando la explotación de vulnerabilidades en plugins como Revolution Slider u otros con vulnerabilidades conocidas.
  • Posibilidad de realizar un análisis completo desde la página de configuración.

Una vez instalado el plugin, es necesario registrarlo en GOTMLS.NET para obtener acceso a las nuevas definiciones de «amenazas conocidas» y a funciones adicionales como la actualización automática, además de parches para vulnerabilidades específicas de seguridad, como las versiones antiguas y vulnerables de TimThumb.

Los archivos de definiciones actualizados se pueden descargar automáticamente desde la administración una vez registrado y obtenida la clave (Key). De lo contrario, este plugin solo analiza «amenazas potenciales» y deja a tu criterio la identificación y eliminación de códigos maliciosos.

Malware en wordpress-1
Eliminar Malware en WordPress

Es crucial que, una vez hayas registrado el plugin para obtener la clave (Key), actualices las definiciones de amenazas conocidas. Luego, desde los Ajustes de exploración, podrás realizar un escaneo completo del sitio, de la carpeta wp-content o únicamente de la carpeta plugins.

Malware en wordpress-2
Eliminar Malware en WordPress

El tiempo que tome el análisis del sitio dependerá del tipo de escaneo que hayas elegido y de la cantidad de archivos y carpetas presentes en el sitio.

No interrumpas el análisis hasta que termine, ya que de lo contrario no obtendrás resultados concluyentes.

Aunque este tipo de revisión puede llevar mucho tiempo (más de 1 hora), los resultados suelen ser muy fiables si la lista de definiciones de amenazas está actualizada, por lo que vale la pena ejecutarlo si sospechas de una infección por malware en tu sitio web.

Si se detectan amenazas, se mostrará un botón azul llamado «Arreglar Archivos SELECCIONADOS Automáticamente Ahora«. Esta opción analizará las posibles amenazas detectadas y tratará de limpiar las infecciones, si es posible hacerlo. Posteriormente, se abrirá una ventana emergente con la información relevante sobre la acción realizada.

Una vez que los archivos han sido limpiados de la infección detectada, podrás ver el resultado junto con el siguiente aviso:


Los elementos marcados en amarillo contenían código malintencionado, han sido limpiados y los contenidos malintencionados han sido eliminados. Un registro de la infección se ha guardado en la cuarentena para tu valoración y puede ayudar en futuras investigaciones. El código ahora es seguro y no es necesario que hagas nada más con estos archivos.

Si se determina que las amenazas detectadas, ya sea todas o algunas de ellas, son en realidad «falsos positivos», tienes la opción de agregarlas a una Lista Blanca. Esto garantizará que dichos archivos queden excluidos de futuros análisis realizados por el plugin.

El plugin automáticamente añade archivos a la Lista Blanca durante el análisis, ya sea porque son de formatos que raramente contienen infecciones o porque han sido verificados previamente con un checksum en una base de datos externa. Por ejemplo, pueden incluir archivos JavaScript o ciertos archivos PHP.

Es fundamental hacer una copia de seguridad antes de llevar a cabo este tipo de análisis para prevenir cualquier efecto adverso en el sitio web como resultado de las acciones de reparación.

Es esencial usar el criterio adecuado al evaluar los resultados de los archivos «sospechosos» y abstenerse de eliminar cualquier elemento sin comprender claramente su función y legitimidad.

Recomendaciones y buenas prácticas en WordPress

Parte fundamental de fortificar WordPress implica adoptar buenas prácticas en el manejo del CMS, establecer políticas rigurosas de actualización y realizar copias de seguridad de forma regular, incluyendo copias diarias, semanales y mensuales. Además de esto, es crucial:

  • Mantener tu instalación de WordPress actualizada con las últimas versiones tanto del núcleo como de plugins y temas.
  • Reducir al mínimo la cantidad de plugins utilizados, eliminando aquellos que no estén activos.
  • Utilizar contraseñas sólidas en todo momento.
  • Implementar métodos de autenticación seguros como la autenticación de dos factores (2FA).
  • Aplicar una capa adicional de protección utilizando el archivo htaccess en WordPress.
  • Descargar únicamente temas y plugins de fuentes confiables.
  • Evaluar la frecuencia de las actualizaciones de plugins y temas antes de instalarlos, ya que los plugins desactualizados pueden ser vulnerables.

Aunque no existe una solución infalible para hacer que WordPress sea completamente seguro, al limitar los vectores de vulnerabilidad se pueden mitigar casi todos los ataques maliciosos o infecciones por malware.

Plugins más eficaces para eliminar malware en WordPress

Es cierto que el mercado de herramientas para analizar sitios web en busca de posibles amenazas, como malware, troyanos u otras infecciones, es bastante amplio. Hay soluciones para casi todas las amenazas conocidas e incluso para aquellas desconocidas mediante análisis heurísticos.

Algunos de los plugins más populares y ampliamente utilizados para detectar malware en WordPress incluyen:

  • Wordfence Security – Firewall, Malware Scan: Escanea archivos y la base de datos de WordPress en busca de malware. También incluye un firewall y bloqueo de direcciones IP maliciosas.
  • Sucuri Security – Auditing, Malware Scanner: Escanea malware, verifica la integridad de archivos y monitorea la vulnerabilidad de Heartbleed de SSL. Ofrece limpieza de malware y bloqueo de ataques.
  • iThemes Security: Escanea malware, bloquea ataques e impide accesos no autorizados. Además, facilita el mantenimiento de WordPress actualizado.
  • SecuPress Free — WordPress Security: Realiza escaneo de malware, protección mediante firewall, monitoreo de integridad de archivos y prevención de spam.
  • Malware Scanner: Desinfecta el sitio de virus, troyanos y malware. Escanea en busca de URL maliciosas.
  • AntiVirus: Escanea malware y troyanos, protegiendo contra inyecciones SQL y XSS. Detecta puertas traseras (backdoors).
  • Security Ninja – Secure Firewall & Secure Malware Scanner: Escanea vulnerabilidades. Es compatible con MainWP para la gestión centralizada de sitios web.

Es importante no instalar estas herramientas de manera indiscriminada, sino usar el sentido común. En muchos casos, los problemas de infecciones en sitios web de WordPress se resuelven al contratar un buen servicio de hosting que incluya medidas de seguridad rigurosas contra este tipo de amenazas, y al proporcionar a WordPress los recursos necesarios para realizar las tareas para las que fue creado.

Resumen:

Es fundamental implementar medidas de seguridad adicionales en WordPress para protegerse contra malware e infecciones. Esto es especialmente importante dado que WordPress es un CMS muy popular y, como resultado, es un objetivo frecuente de ataques.

Debido a su naturaleza de código abierto, los usuarios malintencionados pueden acceder al código fuente del núcleo de WordPress, así como de plugins y temas, lo que facilita la detección de vulnerabilidades y su posterior explotación.

Estas infecciones pueden dar lugar al robo de datos sensibles, campañas de phishing dirigidas a los usuarios del sitio web infectado o al uso indebido de recursos para actividades como la minería de criptomonedas o la propagación de malware.

La falta de medidas de protección y medidas correctivas, en caso de que el sitio ya esté infectado, puede provocar la propagación de la infección no solo en el sitio web, sino también en los servidores y bases de datos, especialmente si el proveedor de hosting no cuenta con medidas de seguridad adecuadas.

Si los motores de búsqueda, como Google (que representa el 95% de la cuota de búsquedas en Internet), detectan que un sitio está infectado, lo bloquearán y lo marcarán como peligroso, lo que afectará negativamente a la reputación del sitio y a su capacidad para atraer visitantes y clientes.

Es importante tener en cuenta que la implementación de medidas de seguridad adicionales en WordPress proporciona una capa adicional de protección que todos los sitios web deberían tener para salvaguardar su reputación, datos y disponibilidad frente a estas amenazas.

Si estás profundizando tus conocimientos en el mundo WordPress y necesitas un servicio de hosting que se adapte a tus necesidades, te invitamos a conocer los planes de WordPress Hosting que DonWeb tiene para ofrecerte.

Santiago Molina
Santiago Molina

Ingeniero Industrial / Especialista en marketing / Programador web