hackeo de wordpress

Un hackeo de WordPress seguido de cerca

Un hackeo de WordPress es más común en el mundo, que no sorprende la cantidad de testimonios y pedidos de ayuda en los foros y en los correos de soporte de los proveedores de hosting.

El problema estriba en que muchos tomamos a la ligera el tema de actualizar todo componente de nuestro CMS y nuestra página.

WordPress en si mismo tiene todas las de ganar, pero solo no puede.

Como una película o de esas cosas que piensas  – a mi no me sucederá – puedes intentar ingresar desde el wp-login y te das cuenta que no entras. Contraseña equivocada o usuario incorrecto, lo intentas nuevamente una y otra vez copiando incluso por si estás digitando sin querer mayúsculas, pero el mensaje de password y usuario incorrecto sigue allí.

Si te das una vuelta por el front de tu página te das cuenta que lo que creías ficción, es una realidad.

Aparece allí en tu dominio principal, un mensaje de hacked by (un nombre raro) Algunos más peliculeros colocan una canción de terror, otros instrumental que suena a burla y una imagen en fondo negro. Si, todo el estereotipo allí en tu precioso dominio.

Entonces entras en pánico. 

Lo primero que se te ocurre es pedir ayuda a soporte pero soporte se lava las manos o al menos esa es la sensación que todo usuario tiene. Claro, ellos piensan que es correcto y justa su respuesta, pero eso a un usuario no ayuda. Se siente solo. Esto es terrible para un departamento de soporte. Pero ese es otro tema.

De pronto recuerdas ese plugin desactualizado, ese plugin desactivado y desactualizado, esa notificación de actualice su WordPress que no hiciste caso y como si de una gran revelación se tratara, aparece en tu mente la palabra “cpanel”

Claro, por allí puedes tener acceso a tu sitio y a los administradores.

¿Pero no habrán cambiado los accesos allí también?

Afortunadamente no. Pudiste ingresar. Vas a Php myAdmin ubicas tu base de datos y te vas a wp_users.

Allí aparecen todos los usuarios.

¿Qué ha pasado?

¿El hacker borro tu administrador, cambio algo?

Bueno, puede hacer cualquiera de estos pero en esta ocasión cambiaron el usuario. Entonces aunque nunca te pasó, estás preparado para enfrentar algo así.

Cambias el nombre de usuario por otro y cambias su contraseña, haciendo click en editar el usuario. En password seleccionas MD5 y colocas otra contraseña.

Listo. La pruebas y has ingresado a tu sitio.

Por supuesto, esto es un primer paso de muchos que debes hacer.

Lo sabes.

Entonces entras por ftp y ubicas los archivos extraños. Lo más fácil para ubicarlos es ver la fecha de creación. Allí por ftp encontraste un archivo index.html. Ese es el archivo que hace que tu dominio de un mensaje de hackeado por… el hackeo de WordPress

Lo borras y pudiste ver ahora tu página.

Pero no es todo. Ubicas cada archivo creado hace poco desde cuando sospechas que se hackeó tu sitio y empiezas a borrarlo.

En tus carpetas de wordpress te vas a wp-content y lo mejor es que borres los temas que no estés usando. Las otras carpetas wp-includes y wp-admin las borras y las reemplazas por carpetas limpias de una descarga reciente de wordpress.org.

Si. No hay problema. Borraste esas carpetas y las reemplazas por unas nuevas. No pasa nada. Es seguro, no perderás nada y puedes ganar mucho como por ejemplo tener al intruso fuera.

Busca más archivos en wp-content que se hayan creado recientemente sin que tu recuerdes haber modificado alguno. Antes de borrarlos comprueba que no sean archivos extraños a una instalación de wordpress. Lo mejor es comparar con tu reciente descarga de un wordpress limpio.

Lo otro es revisar tus archivos en búsqueda de código inyectado.

Bien. todo ok.

Procede a actualizar tus plugins.

Regresa a ftp y descarga tu archivo wp-config. Vas a cpanel y cambias también las contraseñas y usuarios de tu base de datos y las colocas en wp-config. Lo vuelves a subir y ahora te toca meter mano al archivo .htaccess

Colocas el siguiente código.

<files .htaccess>
Order allow,deny
Deny from all
</files>
<files readme.html>
Order allow,deny
Deny from all
</files>
<files readme.txt>
Order allow,deny
Deny from all
</files>
<files install.php>
Order allow,deny
Deny from all
</files>
<files wp-config.php>
Order allow,deny
Deny from all
</files>
<files xmlrpc.php>
Order allow,deny
Deny from all
</files>

Eso es todo. Ya le has  puesto un candado al sitio. Has limpiado y has puesto contraseñas seguras en la base de datos y en tu cuenta de administrador.

Antes de todo realiza es importante inhabilitar tu sitio antes que Google te baje de posiciones. con suerte harás esto mientras recuperas todo tu sitio.

Crea un archivo 503 y coloca allí este código:

<?php

header(“HTTP/1.1 503 Service Temporarily Unavailable”);

header(“Status: 503 Service Temporarily Unavailable”);

header(“Retry-After: 3600?);

?>

<html>

<h1>Esta página web está en mantenimiento, y pronto volveremos a estar online.</h1>

<h2>Por favor, vuelve a visitarnos en un rato.</h2>

</html>

Puedes respirar tranquilo.

¿Qué duda tienes sobre cómo recuperarte de un hackeo de WordPress?

Leave a Reply

Your email address will not be published.