Como recuperar un WordPress hackeado

como recuperar un wordpress hackeado

Según datos de Interpol desde marzo de 2020 ha aumentado alarmantemente el número de ataques informáticos contra las redes y sistemas informáticos de particulares, empresas y organizaciones internacionales.
Y lo peor de todo es que tal avalancha de ataques se realiza en un momento en el que probablemente los mecanismos de defensa del ciberespacio se encuentren en su nivel más bajo al estar toda la atención centrada en la crisis sanitaria del covid-19.

Y no sólo se centran en redes o sistemas informáticos, las páginas web de todo el mundo son susceptibles de ser atacadas por los ciberdelincuentes y WordPress no es una excepción. Con una presencia de más de un 30% del total de páginas web en todo internet, un WordPress desprotegido es un objetivo apetecible para cualquier pirata informático.
En este artículo te proporcionaré una guía paso a paso acerca de cómo recuperar un WordPress hackeado.

Índice de contenidos

Recuperar un WordPress hackeado

Antes de nada es necesario aclarar que cualquier página web o tienda online puede ser hackeado independientemente de su CMS. WordPress, Prestashop, Joomla, Drupal, etc, todos los gestores de contenidos tienen vulnerabilidades que pueden ser explotadas por piratas informáticos.

Si tu página web resulta hackeada puedes perder tu actual clasificación en los motores de búsqueda, difundir virus a tus usuarios, sufrir una crisis de reputación y en el peor de los casos perder todos tus datos, pedidos y transacciones. Debe primar la seguridad si tu página web es tu negocio. Disponer de un firewall y realizar frecuentes copias de seguridad es crucial para mantener un nivel de seguridad adecuado.

Esto está muy bien si tu web todavía no ha sido hackeada, pero si lamentablemente este no es tu caso, voy a tratar de ayudarte con esta guía para recuperar un WordPress hackeado.

Antes de comenzar

Los hackers esconden sus secuencias de comandos en múltiples partes de tu web permitiendo que las modificaciones indeseadas vuelvan una y otra vez.
Los proveedores de hosting de calidad suelen contar con sistemas de análisis automatizados y personal experimentado que se ocupa de este tipo de ataques a diario.
Es posible que sean ellos los que primero adviertan el problema y se pongan en contacto contigo, así que habla con ellos y sigue sus instrucciones.
Dependiendo de tu proveedor, este puede ser capaz de proporcionarte información adicional sobre el ataque y que pasos puedes llevar a cabo para eliminar la infección en tu caso particular.

La seguridad de tu negocio es un asunto muy serio y si no tienes unos mínimos conocimientos o no te sientes cómodo con estas prácticas siempre será mejor que la recuperación de tu web la haga un profesional.

Pero si te animas a hacerlo por tu cuenta, sigue los pasos a continuación para recuperar un WordPress hackeado.

1.- Cambia todas las contraseñas de tu página web

Para prevenir que la «infección» se extienda, es necesario que cambies la contraseña de cada uno de los usuarios con el rol de administrador en WordPress, la contraseña del panel de hosting, la del acceso ftp y la contraseña de la base de datos.

Si además has empleado esta misma contraseña en cualquier otro sitio, cámbiala también ya que posiblemente dicha contraseña esté comprometida. Te recomiendo que emplees una contraseña fuerte y si te resulta difícil de recordar emplea una libreta en un lugar seguro o un gestor de contraseñas en tu móvil.

2.- Restaura la web desde tu copia de seguridad

Para mí, esta es la opción ideal fuera de toda duda. En el caso que realices copias de seguridad frecuentes de tu página web en WordPress, lo mejor es restaurar tu copia de seguridad desde un punto anterior al hackeo.

En anteriores artículos hemos hablado acerca de la importancia de realizar copias periódicas de una página web WordPress, sobre todo en el caso de tiendas online o blogs personales con amplia difusión de contenido. En estos casos mi recomendación es que realices copias de seguridad diarias para evitar en la medida de lo posible la pérdida de datos en caso de ataque.

Aún así, es posible que tengas una mínima pérdida de datos como algún pedido, entrada de blog o comentario. Valora las ventajas e inconvenientes, en el caso de una tienda online puedes tomar nota del pedido y volverlo a crear una vez hayas restaurado la tienda.

Si no realizas copias de seguridad frecuentes o no quieres perder el contenido, continua con la eliminación manual del hackeo.

3.- Pon tu página web en modo mantenimiento

El primer paso que debes realizar para recuperar un WordPress hackeado es poner tu página web WordPress en modo mantenimiento de manera que no afecte al SEO. Este paso es indispensable si no quieres perder tu posición en Google, ya que para poder limpiar tu página web es necesario que esté en modo fuera de línea.

Para ello, la manera más sencilla de hacerlo en cualquier caso que nos podamos encontrar, es editar el archivo functions.php del tema que estés empleando y pegar el siguiente código al final del mismo.

  1. // Activate WordPress Maintenance Mode
  2. function wp_maintenance_mode() {if (!current_user_can(‘edit_themes’) || !is_user_logged_in()) {wp_die(‘<h1>En Mantenimiento</h1><br />Página web bajo mantenimiento programado. Por favor, vuelve pasados unos minutos.’);}}
  3. add_action(‘get_header’, ‘wp_maintenance_mode’);

4.- Cambia las claves secretas de WordPress

WordPress genera automáticamente un conjunto de claves de seguridad que encriptan todas tus contraseñas. Si sufriste un ataque y consiguieron robar tu contraseña es posible que el hacker todavía se encuentre conectado. Para forzar la salida del pirata de tu web WordPress debes crear un nuevo conjunto de claves secretas.

Abre tu fichero wp-config.php y localiza las claves secretas de WordPress.

recuperar un wordpress hackeado

Recuperar un WordPress Hackeado – Claves secretas de WordPress

Encima del bloque de claves puedes encontrar un texto indicando que puedes cambiar tus claves para invalidar todas las cookies y forzar a todos los usuarios a tener que iniciar sesión de nuevo.

Para ello dirígete al link que está justo encima de las claves secretas, https://api.wordpress.org/secret-key/1.1/salt/ y obtendrás, cada vez que regeneres la página, un conjunto de claves nuevo. Cópialo a tu wp-config.php y guarda los cambios.

5.- Realiza una copia de tus ficheros importantes

Ahora haz una copia de seguridad de los archivos importantes de tu WordPress y ponla en cuarentena. Los ficheros que son más relevantes en tu WordPress incluyen los siguientes:

  • La carpeta wp-content ya que contiene los temas, plugins y todas las imágenes y archivos de medios.
  • El archivo wp-config.php donde se guarda la información importante de WordPress.
  • El archivo htaccess.
  • El archivo robots.txt.

Además, deberás hacer una copia de tu base de datos empleando phpMyAdmin. Tienes una guía paso a paso en este enlace, Cómo hacer una copia de seguridad de la base de datos de WordPress.

6.- Examen preliminar

Los hackers no tienen ningún tipo de escrúpulos y atacan a todo el mundo indiscriminadamente. Si tu página web es tu negocio y sospechas que has sido víctima de un hackeo estarás enfadado, estresado y de los nervios. Intenta mantener la calma y toma nota de todo lo que puedas sobre el ataque.

Puedes empezar por hacerte las siguientes preguntas:

  • ¿Puedo loguearmee en WordPress y acceder al panel de administración?
  • ¿Hay enlaces no autorizados a otras web? o ¿el sitio entero está apuntando a otro dominio?
  • ¿Ha marcado Google mi página web como insegura?

Para esta última pregunta será muy útil que emplees el informe de transparencia de Google

https://transparencyreport.google.com/safe-browsing/search?url=tudominio.com

Esta herramienta además te indicará dónde han insertado los hackers el código malicioso, mostrándote un listado con los links infectados.

7.- Análisis en profundidad y eliminación del malware

Por regla general los hackers insertan puertas traseras en los archivos de los plugins y temas de WordPress para así poder volver a tomar el control de tu página web siempre que quieran. Es por este motivo que vamos a eliminar todos los plugins y temas inactivos para poder proceder a escanear nuestra página web.

Cuando hayamos eliminado los plugins y temas inactivos procederemos a realizar un análisis de nuestro WordPress mediante dos herramientas.
Nota (En nuestra guía, Los mejores escáneres de seguridad para WordPress, puedes encontrar un listado de las herramientas más eficaces para realizar este tipo de un test a una página web)

La primera herramenta que instalaremos es el plugin Sucuri Scanner el cual nos permitirá comprobar la integridad de los archivos del núcleo de WordPress. Y la segunda será el plugin Theme Authenticity Checker (TAC) que hará lo mismo con nuestro tema de WordPress.

El primero de ellos, el plugin Sucuri, nos mostrará el estado de la integridad de todos los archivos principales de WordPress y desvelará dónde se esconde el malware.

recuperar un wordpress hackeado 2

Comprobar la integridad del núcleo de WordPress

Los sitios más comunes donde los hackers esconden el malware son los directorios wp-content, ya que contiene los plugins y temas, wp-includes y uploads y los archivos htaccess y wp-config.php.

Después nos desplazaremos al menú de WordPress Apariencia -> TAC y se nos mostrará el resultado del análisis de integridad del tema instalado.

recuperar un wordpress hackeado 3

Comprobar la integridad del tema de WordPress

En el caso de que el plugin encuentre código malicioso, se mostrará un botón para acceder a los detalles junto al tema infectado. Al pulsar el botón podrás ver un informe con el archivo infectado y el malware encontrado.

Ahora, para eliminar el código modificado te recomiendo reemplazar el archivo hackeado por una copia original del archivo infectado en lugar de eliminarlo de manera manual.
Si lo que se ha visto comprometido son los archivos del núcleo de WordPress, deberás descargarte de nuevo el Zip de WordPress extraer el fichero o ficheros que han sido dañados en tu web y sustituirlos por los nuevos.
Deberás hacer lo mismo con los temas o plugins, descárgate el Zip del tema o plugin dañado y sustituye los archivos hackeados por los nuevos.

Asegúrate además de que la estructura de ficheros de estos directorios coincide con la estructura original de los plugins que has vuelto a descargarte desde el repositorio de WordPress. Elimina cualquier archivo extraño que veas y que no coincida con la versión original.

Es importante recordar que cualquier cambio que hayas hecho intencionadamente en el código de tu tema lo perderás al sustituirlo por los nuevos ficheros.

8.- Comprueba si hay usuarios ocultos

Algunos hackers además de infectar tus archivos de temas o plugins, crean usuarios con rol de administrador para volver a entrar en tu sitio web si sus puertas traseras no funcionan.

Mira en la sección de usuarios de WordPress y asegúrate de que solamente tú eres el administrador de tu WordPress. Si localizas algún usuario sospechoso, bórralo.

9.- Análisis final

Llegados a este punto deberías tener un WordPress libre de hacks y funcionando correctamente.
Es el momento de desactivar el modo de mantenimiento eliminando el código que añadimos al final del archivo functions.php, tal y como vimos en el paso 3 y volver a comprobar el estado del sitio mediante la página del informe de transparencia de Google que tratamos en el paso 6.

Si tu sitio fue marcado por Google como infectado, solicita una revisión a través de Google Search Console para que te eliminen de sus listados.

Una vez tu página web haya vuelto a la normalidad vuelve a ejecutar el paso 4 y después el paso 1 para regenerar de nuevo tanto las claves secretas de WordPress como tus contraseñas.

Blindar tu WordPress para que no te vuelvan a hackear

Volvemos a lo comentado en el paso 2, el mejor seguro para tu web es realizar copias de seguridad diarias. Los hosting de calidad ofrecen esta característica de manera automática por un poco más. Sin embargo también existen plugins gratuitos y de pago que pueden hacer esta tarea de manera eficaz.
Además de la indispensable copia de seguridad, puedes realizar las siguientes acciones para blindar tu WordPress frente ataques:

  • Instala un cortafuegos: WordFence o Sucuri te ahorrarán quebraderos de cabeza impidiendo y bloqueando los intentos repetidos de ataque.
  • Deshabilita el editor de temas y plugins por defecto en WordPress: En realidad no es necesario y puede ser empleado como puerta de acceso para los hackers.
  • Limita los intentos de inicio de sesión en WordPress: De esta forma inhabilitarás los ataques de fuerza bruta.
  • Imposibilita la ejecución de PHP en según que directorios: Esto evitará que los hackers empleen sus trucos en los directorios que no sean estrictamente necesarios.

Estas y otras muchas acciones más están detalladas en nuestra Guía de seguridad en WordPress, la cual te recomiendo leer ya que te ayudará a blindar tu página web con unas sencillas pero eficaces prácticas.

Conclusión

Lo mejor sería que no tengas que emplear nunca esta guía para recuperar un WordPress hackeado, pero si no es el caso espero que te haya resultado de ayuda.

Como recomendación final, si tu WordPress ha sido infectado y tu proveedor de hosting no se ha puesto en contacto contigo, ya sabes que este proveedor no está tomando las medidas necesarias referentes a la seguridad de tu sitio. De poco nos va a valer conocer cómo recuperar un WordPress hackeado, si nos lo vuelven a hackear continuamente.

Fotografía destacada por Markus Spiske en Unsplash

¿Te ha resultado útil este artículo? Compártelo

Share on facebook
Share on twitter