Me hackearon mi página WordPress ¿ahora qué hago?

DEBATES:

Publicado por: Frank Luzón 13/01/2020

Una mañana cualquiera recibí un correo electrónico de mi proveedor de hospedaje que decía en el asunto “malware files found …”, puse cara de extrañeza y luego de investigar un poco más me di cuenta de lo que había pasado, mi sitio web WordPress había sido hackeado.

Describiré en este post todos los pasos que tuve que realizar para poder levantar de nuevo mi sitio web WordPress y al final, te daré algunas recomendaciones para minimizar la probabilidad de que pueda ocurrirte nuevamente.

Los síntomas

Si ya en tu sitio web WordPress tienes algunos de los siguientes inconvenientes (en mi caso fueron todos) es muy probable que efectivamente tu página haya sido hackeada:

  • No se muestra la página: Cuando trataba de cargar mi web site WordPress sólo se mostraba una página en blanco con un mensaje que decía “403 Forbidden” (prohibido en inglés). Normalmente está asociado a permisos incorrectos en carpetas y archivos del site, punto que tuve que corregir para levantar la página.
  • Archivos creados con nombres extraños: Cuando empecé a revisar los archivos de mi sitio web, encontré en varias carpetas incluso en la raíz del sitio archivos que no me eran familiares, a continuación, te muestro una imagen del correo del asunto “malware files found” que me envió mi proveedor de hospedaje donde se visualizan nombres de archivos sin sentido:


  • Archivos modificados con código extraño: Además de archivos extraños nuevos en el host, revisé varios archivos de WordPress (index.php, wp-config.php entre otros) y me di cuenta contenían código sospechoso tal como te muestro a continuación:



  • Finalmente, la base de datos: Uno de los puntos más escalofriantes fue cuando me di cuenta que también habían modificado la base de datos del sitio web, en mi caso el agregar nuevos Post y dejaron otros mensajes en el “transient feed” que tuve que eliminar.

    A continuación, te muestro un extracto del archivo extraído de la base de datos en donde se evidencia que colocaron datos sobre unos enlaces a otras páginas de novias rusas (nada que ver con el contenido de mi site):

Pasos para levantar el sitio web

El ataque que le hicieron a mi sitio web no permitía que entrara a nada, ni siquiera a la sección administrativa de WordPress, por lo tanto, mi objetivo fue levantar el sitio web sin perder el contenido que ya tenía guardado. Para ello realicé lo siguientes pasos:

  1. Cambié los permisos de los archivos a 0745 debido a que el hacker dejó muchos archivos sin ningún tipo de permiso por lo que no podía acceder a ellos.
  2. Respaldé todo el sitio (con archivos malware incluidos) pero revisé a detalle la carpeta wp-content/uploads (porque contiene las fotos del sitio) y eliminé archivos extraños, si hubiese.
  3. Busqué el último respaldo de archivos de mi sitio web.
  4. Eliminé del sitio web todos los archivos y restauré el respaldo que (afortunadamente) tenía.
  5. Restauré la carpeta wp-content/uploads.
  6. Me aseguré que todos los archivos y carpetas del sitio tuviesen permisos 0745 (que permite acceso de lectura para todos, escritura sólo para el propietario y ejecución para el propietario y para el público) como se ve en la siguiente figura:


  7. Finalmente pude entrar al administrativo de WordPress, entonces pude cambiar la contraseña del administrador a una contraseña ultra-segura.
  8. Desde el mismo administrativo eliminé los post creados por el hacker.
  9. Finalmente eliminé los transient feed directamente desde la base de datos ejecutando el siguiente query:

    DELETE FROM wp_options WHERE option_name LIKE (‘%_transient_%’);

Nuevas medidas

A este punto, ya tenía mi sitio web arriba y aproveché de tomar otras medidas adicionales:

  • Cambié todas las contraseñas de acceso al host por una mucho más seguras.
  • Instalé un plugin que me permita hacerle un escaneo de archivos malware al sitio, en mi caso utilicé: Anti-Malware Security and Brute-Force Firewall by Eli Scheetz (que hasta ahora me ha ido bien con él).

Recomendaciones finales

Sólo una vez que te hackean tu página (que con tanto amor has construido) es cuando te comprometes con la prevención, por lo tanto, te recomiendo que hagas de ahí a futuro lo siguiente:

  • Escanear el sitio web periódicamente (con la herramienta que decidas).
  • Cambiar claves del administrador frecuentemente.
  • Respaldos periódicos. Tanto de los archivos como de la base de datos, para ser honesto, yo creo más en los respaldos frecuentes que en la última herramienta anti-ataques-cibernéticos-ultra-wow porque siempre hay un hacker más astuto suelto por ahí.

Espero te haya servido la información de este post, si quieres deja algún comentario.

Imagen principal del post de Gerd Altmann en Pixabay

Comparte en Facebook
Comparte en Twitter

Sobre el autor

Frank Luzón
Ingeniero de Sistemas graduado en Universidad Metropolitana de Caracas, Venezuela 1998. Erradicado en Chile desde 2014. Actualmente trabajo como Especialista SQA para TSOFT Chile. Comparto conocimientos sobre desarrollo de software. Esposo, papá y amante del cine y de la música hasta la muerte.

¡Comenta! sobre "Me hackearon mi página WordPress ¿ahora qué hago?"

Déjanos tu comentario

Tu correo no será publicado.


*


Puedes seguir los comentarios de este post SIN comentar haciendo clic aquí.