Parece que últimamente está bastante de moda hablar de qué hacer si te han hackeado WordPress, debido al asunto de los papeles de Panamá. Por lo visto la información se obtuvo aprovechando una vulnerabilidad en un plugin de WordPress que nadie se había preocupado de actualizar en mucho tiempo.
Ante todo decir que WordPress es un software muy seguro, o al menos tanto como cualquier otro: si te preocupas un poco de la seguridad (nada especial, simplemente aplicar el sentido común y un plugin de seguridad) y lo mantienes actualizado, no tiene por qué haber problema.
Tabla de contenidos
WordPress hackeado
El problema es que no siempre se aplica el sentido común, ni se instala un plugin de seguridad, ni (por desgracia) se mantiene WordPress actualizado, porque en muchas empresas no hay nadie que se ocupe del tema, y en el caso de los autónomos o freelances bastante trabajo tienen para estar pendientes de estas cosas.
Por cierto, si es tu caso (tanto si sois una empresa donde nadie se ocupa del mantenimiento de la web como si eres un freelance que no puede ocuparse del tema) échale un vistazo a mi servicio de mantenimiento y soporte WordPress. Como mejor puede estar el asunto es externalizado en manos de un profesional. 🙂
Sitio engañoso
Pero en fin, vamos a lo que vamos. El caso es que por algún motivo se ha producido un fallo de seguridad, y te han hackeado la web que tenías en WordPress. Un buen día entras a tu web y te encuentras con algo así:
O, peor aún, con esto (caso real de una web desde la que me contactaron para arreglar el desaguisado):
Los atacantes de tuwebhackeada.com podrían engañarte para que hagas algo peligroso, como instalar software o divulgar información personal (por ejemplo, contraseñas, números de teléfono o tarjetas de crédito).
Lo que significa que tu web ha sido reportada a Google como portadora de código malicioso, y cada vez que alguien intente acceder a ella desde el buscador verá esa pantalla tan preocupante.
Tu WordPress hackeado, tu web manipulada (y sin posibilidad de saber qué archivos pueden estar infectados) y, lo que es mucho peor, tu imagen ante tus clientes irremediablemente dañada. ¿Qué toca hacer ahora?
Recuperar tu WordPress hackeado
Si tienes la mala suerte de que, además de hackearte, han reportado la web como infectada, peligrosa o engañosa a Google, vas a tener que solicitar una reconsideración para que quiten ese aviso. Eso lo puedes hacer utilizando este formulario.
Por supuesto, para ello la web tiene que estar de nuevo limpia. Y asegurarte de que no queda nada, ya que si la limpieza no se realiza a fondo pueden quedar puertas traseras (backdoors) que permitan de nuevo la entrada, por lo que el problema se reproduciría de nuevo poco después. Y un incidente es una cosa, pero te aseguro que Google no verá con muy buenos ojos una web reincidente…
Bien, afortunadamente esto tiene un arreglo bastante menos drástico que borrarlo todo y comenzar de cero. Para ello vamos a utilizar un plugin, Sucuri Security, que sirve para varias cosas:
- Mejorar la seguridad de tu instalación (si te han hackeado ya es tarde para eso, aunque puedes hacerlo tras repararlo)
- Detección de malware
- Monitorización de la integridad de la instalación
- Acciones de limpieza post-hackeo
Una vez instalado y activado (te ofrece generar una API gratuita para acceder a algunas características extra, no es necesario hacerlo pero es gratis, así que lo que prefieras) verás que aparece una nueva opción en el menú de administración con varios submenús.
Detección de la integridad de archivos
Si vas al submenú Sucuri Security > Dashboard podrás ver un listado de los archivos que no coinciden con una instalación limpia de WordPress: añadidos, modificados o eliminados. Te da también la opción de revertir los cambios en cada uno de ellos.
Esta opción es bastante común entre los plugins de seguridad para WordPress. Yo suelo recomendar (y usar) Wordfence Security, que también monitoriza los cambios en la instalación de WordPress (detecta incluso si cambias uno de los smileys que tiene la instalación por defecto) y te avisa por email en el momento de detectarlo.
Avisos de Wordfence de violación de la integridad de los archivos de WordPress
Así que, en este momento, ya sabemos qué archivos faltan, cuáles se han eliminado, y cuáles han sufrido algún tipo de modificación. Habrá algunos bastante comunes. Es por ejemplo muy corriente que se haya eliminado el archivo wp-config-sample.php (sólo es útil durante la instalación, después es corriente eliminarlo), o el archivo readme.html (ése es mejor que no esté, ya que WordPress no lo necesita para funcionar e informa de la versión que hay instalada).
Los archivos que hayan sido añadidos a la instalación (Added) márcalos y, sin compasión, indícale que los elimine. Los que hayan sido modificados, los seleccionas y que los recupere a su estado original, ya sea mediante Wordfence o mediante Sucuri.
Acciones post-hack
En este punto es muy probable que nuestra web haya recuperado su aspecto original y que esté todo arreglado, al menos en apariencia. Pero no hemos terminado aún de recuperar el WordPress hackeado.
Esta vez sí hemos de dejar de lado Wordfence y acudir a Sucuri, que es el experto en esto. Así que si habías estado utilizando el primero, desactívalo (ambos plugins son incompatibles, para activar uno debes tener primero el otro desactivado). Activamos Sucuri y vamos a Sucuri Security > Post-Hack.
Ahí encontramos tres pestañas: Security Keys, Reset User’s Password y Reset Plugins.
En la primera pestaña puedes modificar las claves de autentificación que hay guardadas en el archivo wp-config.php.
Como el propio archivo indica, al cambiarlas todas las cookies quedan invalidadas, y cualquiera que tenga una sesión abierta tendrá que volver a hacer login. Es decir, si alguien ha obtenido acceso y ha guardado cookie (tú normalmente harías eso marcando el Recuérdame en la pantalla de login para no tener que poner usuario y contraseña cada vez que quieras entrar a la web), al cambiar estas claves se le cerrará la sesión.
Incluido tú, ya que al hacerlo tendrás que volver a entrar (como normalmente, con el usuario y la contraseña). Así nos aseguramos que nadie más mantiene acceso tras la limpieza.
La segunda pestaña resetea la contraseña de todos los usuarios que haya registrados en la web. Genera una aleatoria para cada una y se la comunica por correo electrónico, a la dirección de email que haya en su perfil.
Y por último la tercera pestaña resetea los plugins, es decir, borra todo el contenido de la carpeta /wp-content/plugins/, descarga otra vez los archivos correspondientes del repositorio oficial de WordPress y los instala, completamente limpios.
Tu web hackeada, de nuevo operativa
Y ahora sí, tras realizar estas tres acciones podemos tener la confianza de que la web está de nuevo limpia y operativa. Si has sido reportado a Google como sitio malicioso puedes solicitar ya la reconsideración.
Pero ahora no te duermas en los laureles. Instala un plugin que revise las incidencias de seguridad, te proponga cómo mejorarlas, y que escanee de forma periódica la integridad de los archivos. Ya sabes que yo recomiendo Wordfence, más aún ahora que incluye la nueva función de cortafuegos.
Además, asegúrate de mantener tu instalación siempre actualizada y al día, tanto el core de WordPress como los temas y los plugins.
Y ya sabes, si no sabes cómo hacerlo correctamente o no tienes tiempo para ello, tienes a tu disposición un servicio profesional de mantenimiento y soporte WordPress por sólo 50 €/mes que, por supuesto, incluye la resolución de este tipo de incidencias. No dudes en contactarme.
