Como limpiar contenido pirateado en wordpress con Wordfence

Te despiertas una mañana coges el móvil y, cuando miras los correos, te encuentras con uno de Google que dice que tu sitio web ha sido hackeado! “Yasta!!”, empezamos bien el día, haces clic en la web en cuestión y se ve normal, pero claro, Google nunca se equivoca, piensas podría haber sido peor y ver la web con una pantalla negra y una bandera del ISIS, o podría haber sido mejor diciendo que Google, a través de la consola de webmaster en la que te has dado de alta dice que tienes errores técnicos en alguna web, pero, dice claramente que “a partir de ahora en los resultados de las búsquedas” en el mejor de los casos aparecerá el mensaje “este sitio está comprometido”. Así que me preparo para limpiar contenido pirateado en wordpress con Wordfence.

Pienso, al menos el cliente aún no se ha dado cuenta, pero antes de que un listillo le mande un mensaje y mi teléfono se empiece a calentar, es hora de cancelar todos los planes y meterse a investigar ¿Que ha pasado? … haces clic en el buscador con el nombre del dominio perseguido de site: y tachinnnn, ahi están, decenas de enlaces en japonés, ruso o vete a saber qué idioma que salen de la web de tu cliente. -Ya me han dado el día- Me preparo el desayuno y pongo a funciona la máquina. Así os cuento lo que se me pasa por la cabeza en menos de 10 minutos… y sin desayunar.

Pasos para limpiar contenido pirateado en wordpress

1) Entramos en el administrador… si podemos, claro, porque el hacker puede haber entrado y modificado los usuarios y sus permisos, si tu cuenta de administrador no funciona, hay que entrar por phpmyadmin y editar los usuarios, borrar los “extraños” cambiar contraseñas encriptadas y avisar a los usuarios de que tomen nota de sus nuevas contraseñas.

2) Cambiar contraseñas de ftp con tras contraseñas y nombres de usuarios.

3) Una vez cambiadas contraseñas y usuarios ir a la parte administrativa y hacer una copia de seguridad usando un buen plugin como UpdrafPlus. En el proceso de limpiar la web muchas veces borrarás muchos ficheros y otros los modificarás en base a tu experiencia, al tipo de archivo a su nombre, y muchas veces lo harás intuitivamente, si te equivocas y no sabes cual de ellos es, la forma más rápida será restaurar la web en el paso anterior. Depende de la cantidad de archivos suelo hacer comprobaciones cada 25% de errores corregidos, es decir, si una web tiene 100 problemas, cuando crea que he limpiado 1/4 paro, y hago comprobaciones no solo del visionado externo, sino otros como edición de entradas u otras partes de gestiones de un administrador.

4) Una vez hecha la copia, comienzo a actualizar plugins, en este punto también puede surgir problemas, como que te salga un aviso diciendo que según tal o cual archivo impide la actualización, empezaremos con las del wordpress, si te sale este mensaje, tienes que conseguir una copia de tu versión de wordpress en https://es.wordpress.org y sustituir por ftp los archivos problemáticos hasta poder actualizar wordpres a su última versión.

5) Otro de los casos que suelen suceder es que algún plugin, a pesar de que has actualizado WP te dice que no se puede actualizar, en esos casos, mejor borrar el plugin y volver a instalar la nueva version.

6) Instalamos Wordfence, y empezamos a hacer un Scan. En este tutorial podrás conocer mejor su funcionamiento y como configurarlo.

7) PRIMERA COMPROBACION DE LA WEB. Este es un buen momento para comprobar que la web funciona bien desde el principio hasta el fin, pedir a editores y administradores que hagan su trabajo por unas horas y reporten si tienen algún problema para trabajar.

8) Con Wordfence encontraremos dos tipos de archivos con problemas principalmente, los marcados con una x roja advirtiendo de que están pirateados y los con un triángulo de atención, que indican que pueden estarlo pero que también pueden haber sido modificados por algún plugin instalado y con alguna funcionalidad que el programa desconoce. Con los primeros hay que tener cuidado ya que algunos son archivos que forman parte del núcleo de wordpress y wordfence te da la posibilidad de sustituirlo por el original de la versión que tienes instalada y otros archivo que te marcan que puedes eliminarlos porque “según él no forma parte de wordpress o los plugins instalado” y con estos hay que tener cuidado, porque “a veces se equivoca” Mi consejo es que sustituyas los primeros, hagas una comprobación coomo el paso 7, y vuelvas a hacer una segunda copia de seguridad.

Wordfence, te da la posibilidad de ver que parte del archivo está infectado, suele estar encriptado, existen programas online que puede desincriptarlos como HexDeccoder que te descifrarán donde el hacker quiere llevar a tus visitas.

Ejemplo de archivo infectado:

Comienzan algunos con un php y acaban con su cierre, suelo borrar todo ese código, y para estar más seguro, busco en internet en repositorios (si no tengo una copia de seguridad de la web porque no la haya hecho yo) los archivos originales. Uso en Google el nombre del archivo seguido de “filetype:php”

Otras veces son archivos distintos que no corresponden a plugins o de WordPress, camuflados de imágenes o de favico con este, cuando en realidad son archivos php. Una vez limpios y si no afecta a WordPress cambio los permisos de las carpetas para que el hacker no pueda a volver a entrar.

9) Comprobación final y cuarentena. Supongamos que ya todo esta limpio, y te sale este anuncio:

Parece que todo está limpio, ¿NO? Pues no te fíes, vuelve dentro de dos días y vuelve a hacer un escaneo de la web, no sin antes completar todas las opciones que el tutorial que más arriba he puesto para establecer un firewall, Extender la protección y protegerse en modo Fuerza bruta.

10) El último paso es decirle a Google que nos hemos portado bien como webmaster y a través de las herramientas de Google Console enviarle una petición para que reconsidere nuestra web, no la penalice y enviar los resultados de que esta limpia. Un tutorial muy completo de José Facchin: Google Webmaster herramientas.

No suele tardar más de dos o tres dias en recibir contestación, si tarda más de una semana, vuelves a escanear y vuelves a pedirle a Google que por favor vuelva a enviar sus motores a que vean que la web está saneada.

Anexo para hacer una instalación segura en wordpress.

• Nunca usar Admin cuando vayas establecer el usuario principal administrador de la web.
• Contraseña segura al máximo.
• Cambiar el prefijo de la base de datos.
• E instala un buen plugin de seguridad.

Con relación a este último punto, hay cosas que wordfence es de pago como bloqueo de IP por países, en el caso de que tengas claro que los ataques vienen de un país concreto necestarías otros plugins pero que son incompatibles con Wordfence, por tanto tendrás que instalar éste e instalar Sucurit y los complementas con IQ Block Country y Exploit Scanner.

Espero que este tutorial de como limpiar contenido pirateado en wordpress os sirva para que cuando llegue el caso sea de utilidad.