blog webempresa

¿Cómo eliminar malware en WordPress?

por | Jul 27, 2023 | Plugins WordPress, Seguridad WordPress

Imagen destacada - Cómo eliminar un malware en WordPress

Hay muchas formas de asegurar o fortificar WordPress, pero no siempre se aborda el tema de cómo solucionar o limpiar sitios web infectados principalmente con malware en WordPress y es de lo que quiero hablarte en este artículo.

Tan importante es tener un sitio web alojado en un Hosting WordPress de calidad, con buenas medidas de seguridad, protección antispam, detección de malware y otros tipos de infecciones, como no utilizar plugins o temas descargados de sitios de dudosa reputación, por lo que si es tu caso, quizás debas saber ¿cómo eliminar malware en WordPress? para no tener que empezar de cero.

Ayuda mucho estar documentado y entender las diferentes vulnerabilidades que pueden afectar a tus instalaciones de WordPress.

No hay ninguna regla radical y rápida que erradique vulnerabilidades, pero un conjunto de procedimientos y precauciones que se tomen como usuario o administrador de sitios web conducirán hacia un sistema más seguro.

  ¿Cómo detectar malware en WordPress?

 

Aunque WordPress es lo suficientemente bueno, si vienes de versiones anteriores, entonces en determinadas ocasiones verás un mensaje diciendo que “hay una versión disponible” y que es bueno que actualices.

Asegúrate siempre de que tu WordPress trabaja con la última versión disponible, ya que eso te librará de un 0-day. No obstante, si en algún momento obviaste la seguridad de WordPress, es posible que ya tengas la web infectada y que incluso no lo sepas, ¿quieres verificarlo?.

  • Revisa los archivos del sitio web con cuidado y ante cualquier archivo extraño o sospechoso que no puedas reconocer, descárgalo para analizarlo en local (tu ordenador) o elimínalo del sitio web. A veces el malware se inyecta al añadir archivos nuevos al sitio web.

  • Busca en la carpeta wp-content/plugins por plugins que no hayas instalado, de los cuales desconozcas su funcionalidad. Los usuarios malintencionados a veces añaden plugins modificados, con código malicioso, para hacerlos pasar por plugins válidos. Desactiva o elimina cualquier plugin sospechoso.

  • Busca en las tablas wp_posts y wp_comments, de la base de datos del sitio web, por entradas o comentarios sospechosos. El malware también se inyecta como entradas spam o enlaces en comentarios de las publicaciones.

  • Revisa los archivos de registro del servidor web, si tienes acceso a dichos logs, con el fin de detectar cualquier actividad sospechosa, como intentos de inyección de SQL en WordPress u otros ataques contra el sitio.

  • Instala y ejecuta un escáner de malware en WordPress, como Wordfence, Sucuri o WP Cerber Security en WordPress, para buscar malware.

  • Asegúrate de estar ejecutando siempre la última versión de WordPress y mantén tus plugins y temas (aunque no estén activos) actualizados para protegerlos contra posibles vulnerabilidades.

  • Cambia todas las contraseñas de acceso a tu instalación infectada de WordPress, especialmente las cuentas de “rol” administrador y de FTP, también de la base de datos. Ten en cuenta que utilizando malware se pueden capturar contraseñas, no solo mediante troyanos.

  • Ten una política de copias de seguridad, ya que en casos de infección por malware son un recurso valioso para restaurar la web de forma rápida sin invertir ingentes cantidades de tiempo en limpiar el sitio.

Al final, de lo que se trata es de aplicar medidas de prevención, no utilizar plugins o temas que hayan sido descargados de sitios warez y tener una férrea política de backups WordPress ¡siempre!

  ¿Cómo eliminar malware en WordPress?

 

Tras detectar infecciones en un sitio creado con WordPress, es momento de determinar el alcance de la infección, a qué archivo o grupo de archivos afecta y de qué tipo de infección se trata, para combatirla de la manera más efectiva posible.

Determinadas infecciones por malware tienen una manera específica de ser tratadas, y no es cuestión de “matar moscas a cañonazos”, pues el tiempo invertido en esta tarea también es importante.

Algunas formas de eliminar malware en WordPress son:

  • Usar un plugin de seguridad y escaneo como Wordfence, WP Cerber Security, u otros, para encontrar y eliminar archivos infectados. Plugins como Wordfence pueden escanear tu sitio en busca de malware y limpiar archivos infectados automáticamente.

  • Acceder por FTP y eliminar manualmente los archivos infectados, sabiendo previamente cuáles son y qué patrones de modificación contienen. Si conoces las rutas de los archivos infectados, puedes acceder vía FTP, ir hasta la carpeta wp-content y eliminar los archivos manualmente.

  • Desactivar todos los plugins y cambiar la contraseña de FTP y de la administración del sitio web. A veces los plugins pueden estar infectados y al desactivarlos todos evitas que el código malicioso se ejecute. Es importante cambiar las contraseñas por seguridad.

  • Reinstalar WordPress completamente si la infección es grave, ya que puede ser más fácil hacer un respaldo de la base de datos y archivos importantes, y luego borrar WordPress y volver a instalarlo desde cero.

  • Utilizar un software anti-malware como Fixed, Malwarebytes o similar, que escanea y limpia sitios WordPress infectados, eliminando los archivos maliciosos. Estos servicios suelen ser de pago.

  • Desinfectar la base de datos si se tiene certeza de que el malware ha insertado código en la misma. Hay herramientas que te ayudan a identificar y remover código malicioso de la base de datos, aunque prácticamente todas son de pago.

Herramientas para analizar sitios WordPress hay muchísimas, algunas en formato de plugin y otras como herramientas de escritorio, que debes instalar previamente en tu ordenador, y que en casi su totalidad son comerciales. Algunas de las citadas son:

También existen herramientas online que analizan, casi siempre de forma un poco precaria y externamente, un sitio web, en busca de algunas trazas que puedan indicar que el sitio está infectado por algún tipo de malware.

Lo más importante es actuar rápido ante cualquier infección para evitar que se propague y hacer backups regularmente. Una combinación de escaneo constante, buenos plugins y vigilancia manual puede ayudarte a mantener tu instalación de WordPress segura.

  Eliminar malware en WordPress con un plugin

 

Para poder analizar el estado de salud de nuestras instalaciones de WordPress vamos a utilizar el plugin Anti-malware and Brute-Force Security by ELI desarrollado por Eli Scheetz y enfocado en el análisis exhaustivo de los archivos de la instalación donde este se instale y detectar amenazas reconocidas o posibles patrones de amenazas no reconocidas oficialmente.

Este plugin ha sido creado para ayudar a los administradores de WordPress a limpiar infecciones en su sitio web. Fue inspirado en la necesidad de su autor por limpiar una de sus cuentas en un proveedor de Hosting.

Plugin Anti-Malware Security and Brute-Force Firewall

Este plugin es gratuito, pero ofrece actualizaciones o soporte comercial de pago

El plugin busca malware y otras amenazas como virus y vulnerabilidades en la instalación de WordPress y te ayuda a eliminarlos.

Las características más destacadas de Anti-malware Security and Brute-Force Firewall son:

  • Eliminación automática de “Amenazas conocidas”.
  • Si realizas una donación al autor podrás descargar definiciones de nuevas amenazas a medida que se descubren.
  • Actualiza de forma automática las versiones vulnerables del script TimThumb.
  • Parchea automáticamente wp-login.php para bloquear ataques de fuerza bruta.
  • Ejecuta un análisis rápido desde el menú de administración.
  • Es posible personalizar la configuración de escáner.
  • El firewall protege contra malware como SoakSoak para que no explote vulnerabilidades en plugins como Revolution Slider u otros con vulnerabilidades publicadas.
  • Es posible realizar un análisis completo desde la página de configuración.

Una vez instalado el plugin hay que registrarlo en GOTMLS.NET para obtener acceso a las nuevas definiciones de “amenazas conocidas” y funciones adicionales como la renovación automática, además de parches para vulnerabilidades específicas de seguridad, como las versiones antiguas y vulnerables de TimThumb.

Los archivos de definiciones actualizados se pueden descargar automáticamente desde la administración una vez que se ha registrado y obtenido la clave (Key), de lo contrario, este plugin solo analiza “amenazas potenciales” y deja a tu criterio el identificar y eliminar los códigos maliciosos.

Obtener Key de GOTMLS gratis

Es importante que una vez registres el plugin para obtener la Key, actualices las definiciones de amenazas conocidas para que luego desde los Ajustes de exploración puedas lanzar un escaneo del sitio completo, de la carpeta wp-content o solamente de la carpeta plugins.

Análisis anti malware de un sitio WordPress

La duración del análisis del sitio va a depender del tipo de análisis que hayas seleccionado y de la cantidad de archivos y carpetas existentes en el sitio.

Resultado del análisis anti malware de un sitio WordPress

No interrumpas el análisis hasta que no finalice, de lo contrario no obtendrás resultados concluyentes.

En el caso de este ejemplo, el análisis ha durado 64 minutos, para una instalación de WordPress de 33.543 archivos, de los cuales ha excluido de la revisión 9.412, posiblemente por ser formatos que no requieren análisis y ha encontrado una posible amenaza, en un archivo, que a primera vista puede tratarse de un falso positivo.

A pesar de ser un tipo de revisión que tarda mucho tiempo en completarse, los resultados suelen ser muy fiables si la lista de definiciones de amenazas está debidamente actualizada, por lo que merece la pena ejecutarlo ante la sospecha de infección por malware en la web.

Lista de definiciones de amenazas actualizada

Si se detectan amenazas, aparecerá un botón azul nombrado como Arreglar Archivos SELECCIONADOS Automáticamente Ahora, opción que analizará las posibles amenazas detectadas y tratará de limpiar dichas infecciones, en caso de ser esto posible, desplegando una ventana emergente con la información pertinente de la acción.

Opción de reparación de archivos infectados

Cuando estos archivos son limpiados de la infección detectada, verás el resultado y el siguiente aviso:

Los elementos marcados en amarillo contenían código malintencionado, han sido limpiados y los contenidos malintencionados han sido eliminados. Un registro de la infección se ha guardado en la cuarentena para tu valoración y puede ayudar en futuras investigaciones. El código ahora es seguro y no es necesario que hagas nada más con estos archivos.

En caso de que las amenazas detectadas, todas o algunas, sean finalmente «falsos positivos», es posible añadirlos a una Lista Blanca para que queden excluidos de futuros análisis por parte del plugin.

Lista blanca de archivos excluidos

El plugin añade por su cuenta archivos a la Lista Blanca que va excluyendo durante el análisis, ya sea porque se trate de formatos que no suelen contener infecciones, o porque han sido previamente cotejados con una base de datos externa previa verificación de su checksum. Un ejemplo podrían ser archivos JavaScript o determinados archivos PHP.

Es importante realizar una copia de seguridad siempre antes de este tipo de análisis por si la acción de reparación afecta al sitio web.

Es importante tener criterio a la hora de evaluar los resultados de archivos “sospechosos” y no eliminar nada sin tener clara su función y legitimidad.

Por ejemplo, si Anti-malware and Brute-Force Security indica en el log de resultados que ha detectado como sospechoso el archivo /wp-admin/press-this.php sería útil hacer una búsqueda en Google, Yahoo, etc., sobre este archivo para entender su función en WordPress.

La función “Press This” permite la publicación rápida con un bookmarklet especial desde el navegador. Se puede crear un mensaje citando algunos textos, imágenes y vídeos en cualquier página web.

Aplicar la acción adecuada a cada caso pasa por evaluar de forma individual cada archivo detectado como “sospechoso”, ver el código correspondiente a los enlaces que el aviso muestre, etc., y filtrarlo como archivo legítimo para futuros análisis desde el botón Lista blanca.

Este plugin hace uso de una función de “teléfono de casa” para comprobar si hay actualizaciones. Esto no es diferente a lo que WordPress ya hace con todos sus plugins. Mantenerse al día es una parte esencial de cualquier plugin de seguridad, por lo que vale la pena saber cuándo hay actualizaciones de definiciones disponibles.

  Vídeo sobre detección y eliminación de malware con un plugin

 

En el siguiente vídeo te muestro lo explicado con el plugin Anti-malware and Brute-Force Security by ELI.

 

  Buenas prácticas en WordPress

 

Algunas de las cosas más importantes para la fortificación de WordPress pasan por una buena práctica de uso del CMS, severas políticas de actualizaciones, copias de seguridad alternas, diarias, semanales, mensuales, y además:

  • Asegurate que tu instalación de WordPress tiene las últimas actualizaciones tanto del núcleo, como de plugins y temas.
  • Reduce al mínimo el número de plugins que utilizas (elimina los que no estén activos).
  • Utiliza siempre contraseñas robustas.
  • Implementa métodos de autenticación seguros como 2FA.
  • Aplica una protección extra de usando el archivo htaccess en WordPress.
  • Descarga solo temas y plugins de sitios confiables.
  • Evalúa los tiempos de actualizaciones de plugins y temas antes de instalarlos (plugins desfasados pueden ser vulnerables).

No hay una fórmula para hacer WordPress 100% seguro, pero limitando los vectores vulnerables repelerás casi todos los ataques maliciosos o infecciones por malware.

  Mejores plugins para borrar malware en WordPress

 

Es cierto que el mercado de herramientas para analizar sitios web en busca de posibles amenazas, ya sea malware, troyanos u otro tipo de infecciones, es bastante amplio y hay soluciones para casi todo lo que se haya descubierto, e inclusive, mediante análisis heurísticos, para lo desconocido.

Algunos de los plugins más conocidos y utilizados para detectar malware en WordPress son:

No se trata de instalar indiscriminadamente este tipo de herramientas, sino más bien de usar el sentido común, ya que en la mayoría de casos los problemas de infecciones de webs WordPress se solucionan contratando un buen Hosting WordPress, que incluya severas medidas de seguridad contra este tipo de amenazas y dejar a WordPress los recursos necesarios para las tareas para las que fue creado.

  Conclusiones

 

Es importante tener medidas de seguridad extras en WordPress para protegerse de malware e infecciones, principalmente porque al tratarse de un CMS muy popular suele ser un objetivo frecuente de ataques.

Al ser código abierto, los usuarios malintencionados pueden acceder al código fuente del núcleo de WordPress, de plugins y temas para detectar más fácilmente vulnerabilidades y luego poder explotarlas en su beneficio.

Estas infecciones pueden llevar a robo de datos sensibles, campañas de phishing centradas en los usuarios del sitio web infectado o al uso de recursos para minar criptomonedas o para seguir difundiendo su de malware.

Si no se toman medidas de protección y correctivas, en caso de estar el sitio ya infectado, se corre el riesgo de infectar no solo la web, sino también los servidores y bases de datos, si el proveedor de Hosting no tiene buenas medidas de seguridad.

Si los buscadores como Google (95% de cuota de búsquedas en Internet) detectan que un sitio está infectado, lo bloquearán y lo marcarán como peligroso, impidiendo que los usuarios puedan acceder al mismo, lo que afectará a la reputación del sitio, y a sus ventas o difusión de servicios, si fuese el caso.

No obvies que la seguridad extra en WordPress aporta una capa adicional de protección que todo sitio web debería tener para proteger su reputación, datos y disponibilidad frente a este tipo de amenazas.

¿Te ha resultado útil este artículo?

Promo hosting marzo webempresa