Mi web no carga  

Os cuento, restauro la copia de seguridad todo funciona perfectamente, como decía, pasado unos minutos dejaba de funcionar por??, Me encuentro las páginas de WP en la papelera, así constantemente.

He cambiado la contraseña de mi usuario que soy el único administrador.

¿Cuál es vuestra opinión al respecto?

Hola Tomas, 

Revisa si algun plugin genera este comportamiento extraño en tu sitio web, de igual forma revisa si tienes algun código personalizado dentro del function.php de tu tema. Es muy raro que esto sucede a menos que tenga algo programado en tu sitio web. 

También puedes probar renombrar el archivo .htaccess a .htaccess_old que se encuentra dentro de tu cuenta de hosting → administrador de archivos → public_html → carpeta de tu sitio web

Luego de ello accedes a Ajustes → enlaces permanentes y sin realizar ningún cambio pulsa en el boton de guardar cambios. 

Puedes hacer estas comprobaciones y revisar como va todo

Un Saludo 

Siento mucho aparecer de nuevo, pero tengo nuevas noticias. He estado observando la web a lo largo de la tarde, viendo las cosas tan raras que hace, por ejemplo, poco a poco me va metiendo páginas publicadas a la papelera, empezando siempre por la página de contacto. Es como si fuera con la frecuencia de los 15 minutos a lo que tengo configurado wp-cron. Y poco a poco va llevando más páginas a la papelera y lógicamente termina por romper visualmente la web.

También borra alguna imagen, pero esto más lentamente.

Me he encontrado la configuración de php del sitio en 7.3, cosa que esto no he tocado nada, lo he vuelto a dejar en 7.4

Tengo los plugin desactivados todo el tiempo más sospechosos, sobre todo los que me han dado un poco de conflicto hoy. Sin embargo, a pesar de ello, cuando entro en la administración de WP para procesar por ejemplo un pedido, al pasar a completado me pega un fallo.

He realizado lo que me has dicho del archivo .hatches, lo he renombrado y le ha dado a los enlaces permanentes.

Pero en fin, la web de forma autónoma va desmembrando páginas, imágenes y demás, jamás me he enfrentado a algo así y mira que llevo pasado en muchos años.

Hola Tomas,

Entiendo, verifiquemos lo siguiente prueba activar el siguiente plugin para llevar un seguimiento sobre los cambios en ti sitio web y que puede estar ejecutándolos -> https://wordpress.org/plugins/wp-security-audit-log/

Una vez tengas algunos resultados adjuntanos algunas capturas para verificar con detalle

Un saludo 

@karen lo he instalado, pero de momento solo configurado para monitorizar usuarios, no he instalado las extensiones de Yoast Seo y woocommerce para monitorizar más cosas.

Suficiente de momento verdad?

Ya he pillado esto, borrado de la página de contacto justo ahora:

formación(14ID de usuario actual=>nuloTargetUserData=>CstdClassobjeto()ID de usuario de destino=>2ClienteIP=>Gravedad=>400Objeto=>usuario
archivodrwxr-xr-xTipo de evento=>eliminadoAgente de usuario=>Roles de usuario actuales=>Nombre de usuario=>nuloID de sesión=>Estado de la publicación=>Tipo de mensaje=>Publicaciones=>0)

formación(16ID de usuario actual=>nuloEditorEnlacePublicar=>Posfechar=>2014-04-21 18:25:36
fecha-9 años UTCTítulo de la entrada=>ContactoPostUrl=> https://waterluxe-osmosis.es/contacto/ ClienteIP=>Gravedad=>300Objeto=>correoTipo de evento=>eliminadoAgente de usuario=>Roles de usuario actuales=>Nombre de usuario=>nuloID de sesión=>Estado de la publicación=>publicarTipo de mensaje=>páginaPublicaciones=>345)

Hola Tomas, 

Cuáles usuarios tienes ahora añadidos en tu sitio web?, tienes algun rol de editor adicional?, aunque el mensaje indica sobre un movimiento en las publicaciones no menciona sobre la página en sí, verifica si tienes algun otro error relacionado con tus páginas o WooCommerce y nos comentas como va todo.

De igual forma revisa si dentro de tu archivo wp-config.php tienes algunas líneas de código que puedan ser fuera de lo comun

Un Saludo 

@karen

En wp-config tengo lo siguiente:

define('WP_POST_REVISIONS', 3);
define('DISALLOW_FILE_EDIT', true );
define( 'EMPTY_TRASH_DAYS', 7 );

y ESTO OTRO QUE ME ACABO DE DAR CUENTA (Y YO NO UTILIZO ESE PLUGIN DE CACHÉ):

define( 'WP_CACHE', false ); // Added by WP Rocket

//define( 'WP_CACHE', false ); // Added by WP Rocket

Hola Tomas, 

Elimina esta líneas de momento y veamos el comportamiento del sitio web, antes realiza una copia de seguridad de este archivo por si se genera algun error puedes restaurarla. 

Un Saludo 

De nuevo estoy aquí con vosotros y lo siento de verdad, pero mi grado de desesperación va en aumento, ya que ayer dormí tranquilo pensando en que hoy sería otro día mejor, pero lejos de la realidad.....

Contraté a un técnico y hoy a primera hora de la mañana me dice lo siguiente:

Buenos días Tomás

He estado dando un repaso a la web y no he visto nada raro, todo parece funcionar con normalidad. He dado una pasada con Securi y ha encontrado algunos archivos modificados, pero no veo nada que sea realmente sospechoso, te adjunto el resultado por si quieres echarle un vistazo. Lo más raro que veo es que falta wp-content/index.php (es un archivo que no se utiliza), pero eso no supone ningún peligro.

De todos modos, recuperar webs hackeadas tampoco es mi especialidad, lo he tenido que hacer algunas veces pero no soy ningún experto en ello. Sí te puedo dar algunos consejos ante una situación así, que son básicos pero que he visto que descuidas un poco:

1. No des tus datos de acceso a nadie. Si alguien tiene que acceder (como yo ahora) le creas una cuenta nueva y luego la eliminas. Por cierto, por favor, cambia las contraseñas de las cuentas que me has dado.
2. Instala un plugin de seguridad. Wordfence es muy bueno y funciona muy bien, incluso en su versión gratuita (es la que uso yo). Ante cualquier actividad mínimamente sospechosa bloquea al usuario (con muy pocos falsos positivos) y previene disgustos.
3. Mantén los plugins actualizados. Todos. Esto es muy importante aunque no lo parezca tanto. Un plugin con una vulnerabilidad conocida es un coladero.

Específicamente ahora:

1. Elimina las cuentas con acceso superior a cliente y, si las necesitas para tus colaboradores, vuelve a crearlas (con nombre de usuario diferente al que tengan ahora).
2. Reinstala WordPress. No tienes que hacer nada engorroso, sólo ir a Escritorio > Actualizaciones y usar el botón de "Reinstalar la versión xxx".

Y si te siguen ocurriendo cosas que no deberían, busca a alguien especializado en estas cosas. Será caro pero merece la pena. Yo, como te digo, no soy especialista en estas cosas.

P.S. Me acaba de llegar tu email. He revisado el activity log y cada 15-30 minutos se genera un "Borrado el usuario tomas" aparte de que sí, efectivamente se están borrando cosas continuamente. De verdad yo no puedo ayudarte con esto y lo siento, cuando me escribiste me dijiste que la web se quedaba en blanco, pero si me hubieras dicho esto directamente te habría dicho que buscaras a alguien especializado en estas cosas.

P.S.2. Si te lo solucionan y restauras después una copia de seguridad anterior posiblemente estés recuperando también el problema, tenlo en cuenta.

Un saludo,

Hola, alguien me puede ayudar por favor?

Hola Tomas,

Comprendemos que puede ser frustrante, pero el propio especialista te ha indicado lo que debes hacer, contactar a alguien que se especialice en esta área de seguridad para que validen que puede estar sucediendo, desde foro no podemos más que orientarte y ayudarte lo más posible, pero recuerda que no podemos ingresar a tu sitio y poder realizar una validación a fondo de él.

Algo más que puedes hacer en vista de que te comentaron que hay una petición de tu usuario para eliminar las páginas, crear un nuevo usuario administrador y eliminar el que tienes actualmente usando como tuyo, teniendo en cuenta que debes asignarle el contenido que tu usuario creo para que no se elimine toda la web, quizás de esta forma se detenga esta tarea que se hace por medio de tu usuario.

También puedes comentarnos que colaborador no se comunica contigo para poder comentarlo en nuestro departamento y que puedan verificar que pasa con ellos; sin embargo, como comentas la mayoría de nuestros colaboradores responden con rapidez a los correos.

Un saludo 

@karen gracias, pero si ya habéis analizado a nivel de servidor y el a nivel de la web y no aparecen rastros de infección....

Voy a darle vuelta a cambiar mi usuario de administrador.

Hola Tomas,

Quedamos atentos.

Un saludo 🖐️ 

Buenas tardes, este mensaje es solo para trasladar mi situación a día de hoy.

Tras un fin de semana de auténtico calvario, por fin pudimos rescatar "mi web". Lo dejo entre comillas porque un 25% de imágenes y unos 20 pedidos no pudieron ser recuperados.

El problema lo generaba, lo voy a explicar a mi manera, un scrip cuyo comando era mover ficheros.
Un plugin que me recomendó instalar un miembro de vuestro foro (Karen, gracias Karen por ello), monitorizaba lo que ocurría dentro de WP. Básicamente lo que hacía este scrip era borrar, no sé excatamente en qué orden, entradas, páginas, imágenes, comentarios, etc.., constantemente en intervalos de 10 minutos aproximadamente.

Es decir, mi sitio estaba infectado. Todo inició el pasado jueves de madrugada. Entrando al archivo de errores da espanto ver los registros que hay entonces. Si revisas el uso de recursos de esa madrugada también se ven cosas raras.

Además ese virus, troyano, fichero lo que fuera, en cierta manera estaba muy bien hecho en cuanto a estrategia se refiere. Me explico mejor, yo podía restaurar cuantas veces como quisera la web, que a los pocos minutos empezaba su desmembramiento. Insisto, ya te podías ir al punto de restauración que quisieras. Es como si eso estuviera tiempo ahí y fuese activado esa noche, pero destruyendo con caracter retroactivo en las copias de seguridad.

Quiero trasladar lo siguiente y espero no aburrir demasiado:

Tengo que decir que en todo momento fui respondido a cuantas preguntas hice, por aquí sobre todo Agradecer al miembro Karen que fue la que más estuvo en guardia, aunque para mí, todos formáis un buen equipo.

Sin embargo, no entiendo......

No sé como tras pasar vuestra herramienta de escaneo de seguridad todo os daba luz verde.

Bueno, por fortuna di con un desconocido (nadie asomó antes y eso que lancé muchas piedras, entre algunos a vuestros colaboradores, el primero en responder lo hizo el lunes), y esta vez me salió bien. En 12 horas dió con la rata y me salvé. Pero esas 12 horas fueron semanas para mi y mi familia.

Gracias por toda vuestra colaboración y servicio que prestáis..