Cómo encontrar y reparar una puerta trasera en un sitio de WordPress pirateado

¿Tu sitio web de WordPress está pirateado?

Los hackers a menudo instalan puertas traseras para asegurarse de que puedan volver a iniciar sesión incluso después de proteger su sitio web. Si no puedes quitar esa puerta trasera, no te detendrá.

En este artículo, le mostraremos cómo encontrar y reparar una puerta trasera en un sitio de WordPress pirateado.

Cómo saber si tu sitio web ha sido pirateado

Si ejecuta un sitio web de WordPress, debe tomarse la seguridad en serio, ya que los sitios web son atacados un promedio de 44 veces al día.

Puede aprender las mejores prácticas para mantener su sitio web seguro con nuestra mejor guía de seguridad de WordPress.

Pero, ¿y si su sitio web ya ha sido pirateado?

Algunas señales de que su sitio de WordPress ha sido pirateado incluyen una caída en el tráfico o el rendimiento del sitio, enlaces defectuosos o archivos desconocidos agregados, una página de inicio dañada, incapacidad para iniciar sesión, nuevas cuentas de usuario sospechosas y más.

Limpiar un sitio web pirateado puede ser increíblemente doloroso y difícil. En nuestra guía para principiantes para reparar su sitio web de WordPress pirateado, lo guiaremos a través del proceso paso a paso. También debe escanear su sitio web en busca de malware dejado por piratas informáticos.

Y no te olvides de cerrar la puerta trasera.

Un hacker inteligente sabe que eventualmente limpiará su sitio web. Lo primero que puede hacer es instalar una puerta trasera para que pueda volver a entrar después de que haya asegurado la puerta principal de su sitio de WordPress.

¿Qué es una puerta trasera?

La puerta trasera es un código agregado a un sitio web que permite que un pirata informático acceda al servidor sin ser detectado y evite el inicio de sesión normal. Permite que un pirata informático recupere el acceso incluso después de que encuentre y elimine un complemento explotado o una vulnerabilidad en su sitio web.

Las puertas traseras son el siguiente paso de la piratería una vez que el usuario ingresa. Descubra cómo pueden haberlo hecho en nuestra guía sobre cómo se piratean los sitios de WordPress y cómo prevenirlo.

Las puertas traseras a menudo pasan por actualizaciones de WordPress, lo que significa que su sitio sigue siendo vulnerable hasta que encuentre y arregle todas las puertas traseras.

¿Cómo funcionan las puertas traseras?

Algunas puertas traseras son solo nombres de usuario ocultos de administradores. Permiten que el pirata informático inicie sesión como de costumbre ingresando un nombre de usuario y una contraseña. Debido a que su nombre de usuario está oculto, ni siquiera sabe que alguien más tiene acceso a su sitio web.

Las puertas traseras más sofisticadas pueden permitir que los piratas informáticos ejecuten código PHP al enviar manualmente el código a su sitio web a través de su navegador web.

Otros tienen una interfaz de usuario con todas las funciones que les permite enviar correos electrónicos como su servidor de alojamiento de WordPress, ejecutar consultas de bases de datos SQL y más.

Algunos piratas informáticos dejan más de un archivo de puerta trasera. Una vez que cargan uno, agregan otro para un acceso seguro.

¿Dónde están escondidas las puertas traseras?

En cualquier caso, encontramos que la puerta trasera estaba disfrazada para parecerse a un archivo de WordPress. El código de puerta trasera de un sitio de WordPress se almacena con mayor frecuencia en los siguientes lugares:

1. WordPress temapero probablemente no el que está utilizando actualmente. El código del tema no se sobrescribe cuando actualiza WordPress, por lo que este es un buen lugar para colocar una puerta trasera. Por lo tanto, le recomendamos que elimine todos los temas inactivos.
2. WordPress complementos representan otro buen lugar para esconder puertas traseras. Al igual que los temas, las actualizaciones de WordPress no los sobrescriben y muchos usuarios son reacios a actualizar los complementos.
3. en cargando La carpeta puede contener cientos o miles de archivos multimedia, por lo que es otro buen lugar para ocultar su puerta trasera. Los blogueros casi nunca verifican el contenido porque simplemente cargan una imagen y luego la usan en una publicación.
4. en wp-config.php El archivo contiene información confidencial utilizada para configurar WordPress y es uno de los archivos más comúnmente atacados por piratas informáticos.
5. en wp-incluye La carpeta contiene archivos PHP que son necesarios para el correcto funcionamiento de WordPress. Este es otro lugar donde encontramos puertas traseras, ya que la mayoría de los propietarios de sitios web no verifican qué contiene la carpeta.

Encontramos ejemplos de puertas traseras

Estos son algunos ejemplos de dónde los piratas informáticos cargaron puertas traseras: en una página que limpiamos, la puerta trasera estaba en wp-includes Carpeta Archivo fue llamado wp-user.phplo que parece inofensivo, pero este archivo en realidad no existe en una instalación normal de WordPress.

En otro caso, encontramos un archivo PHP llamado hello.php en la carpeta de carga. Estaba disfrazado como un complemento de Hello Dolly. Extrañamente, el hacker lo colocó en la carpeta Cargas en lugar de la carpeta Complementos.

También encontramos puertas traseras que no usan .php Extensión de archivo Un ejemplo fue un archivo llamado wp-content.old.tmpy también descubrimos puertas traseras en archivos con un .zip Renovación.

Como puede ver, los piratas informáticos pueden adoptar muchos enfoques creativos para ocultar una puerta trasera.

En la mayoría de los casos, los archivos están codificados con código Base64, que puede realizar todo tipo de operaciones, como agregar enlaces de spam, agregar páginas adicionales, redirigir la página principal a páginas de spam y mucho más.

Veamos cómo encontrar y reparar una puerta trasera en un sitio de WordPress pirateado.

Cómo encontrar y reparar una puerta trasera en un sitio de WordPress pirateado

Ahora ya sabes qué es una puerta trasera y dónde se puede ocultar. ¡Lo difícil es encontrarlos! Luego, la limpieza es tan simple como eliminar el archivo o el código.

1. Escanea en busca de código potencialmente malicioso

La forma más fácil de escanear su sitio en busca de puertas traseras y vulnerabilidades es con el complemento de escáner de malware de WordPress. Recomendamos Securi porque nos ayudó a bloquear 450 000 ataques de WordPress en 3 meses, incluidos 29 690 ataques relacionados con puertas traseras.

Ofrecen el complemento gratuito Sucuri Security para WordPress, que le permite escanear su sitio web en busca de amenazas comunes y mejorar la seguridad de WordPress. La versión paga incluye un escáner del lado del servidor que se ejecuta una vez al día en busca de puertas traseras y otros problemas de seguridad.

Obtenga más información sobre cómo escanear su sitio de WordPress en busca de código potencialmente malicioso con nuestra guía.

2. Eliminar la carpeta de complementos

Escanear carpetas con complementos de archivos y códigos sospechosos lleva mucho tiempo, y debido a que los piratas informáticos son tan astutos, no hay garantía de que encuentre una puerta trasera.

Lo mejor que puede hacer es eliminar su directorio de complementos y luego reinstalarlos desde cero. Esta es la única forma de asegurarse de que sus complementos no contengan puertas traseras.

Puede acceder a su directorio de complementos utilizando un cliente FTP o el administrador de archivos de su host de WordPress. Si nunca antes ha usado FTP, puede consultar nuestra guía sobre cómo usar FTP para cargar archivos de WordPress.

Necesita usar el software para ir a su sitio web wp-content Cuando llegue allí, debe hacer clic con el botón derecho plugins carpeta y seleccione Eliminar.

3. Eliminar la carpeta de temas

Del mismo modo, en lugar de pasar tiempo mirando sus archivos de diseño, es mejor buscar una puerta trasera, simplemente elimínelos.

Una vez que elimines el tuyo plugin carpeta, simplemente resalte themes carpeta y elimínela de la misma manera.

No sabe si había una puerta trasera en esta carpeta, pero si la había, ahora no la hay. Simplemente ahorras tiempo y eliminas un punto extra de ataque.

Ahora puedes reinstalar todos los temas que necesites.

4. Explore la carpeta Cargas para archivos PHP

Entonces tienes que mirar uploads carpeta y asegúrese de que no haya archivos PHP en ella.

No hay una buena razón para un archivo PHP en esta carpeta, ya que se usa para almacenar archivos multimedia como imágenes. Si encuentra un archivo PHP allí, debe eliminarlo.

cómo plugins y themes carpeta en la que encontraras uploads carpeta en wp-content Carpeta. En la carpeta encontrará muchas carpetas para cada año y mes en el que cargó archivos. Debe verificar cada carpeta en busca de archivos PHP.

Algunos clientes FTP ofrecen herramientas que buscan en la carpeta de forma recursiva. Por ejemplo, si usa FileZilla, puede hacer clic derecho en la carpeta y seleccionar "Agregar archivos a la cola". Todos los archivos que se encuentran en las subcarpetas de la carpeta se agregan a la cola en la parte inferior.

Ahora puede desplazarse por la lista y buscar archivos .php.

Alternativamente, los usuarios avanzados familiarizados con SSH pueden escribir el siguiente comando:

find uploads -name "*.php" -print

5. Elimina el archivo .htaccess

Algunos piratas informáticos agregan códigos de redirección a su archivo .htaccess, que redirigen a sus visitantes a otro sitio web.

Simplemente elimine el archivo de la raíz de su sitio web utilizando un cliente FTP o un administrador de archivos y se volverá a crear automáticamente.

Si por alguna razón no se recupera, debe ir Ajustes »Conexiones permanentes Haga clic en el botón "Guardar cambios" para guardar un nuevo archivo .htaccess.

6. Revisa el archivo wp-config.php

El archivo wp-config.php es un archivo básico de WordPress que contiene información que permite que WordPress se comunique con la base de datos, claves de seguridad para su instalación de WordPress y opciones de desarrollador.

El archivo se encuentra en la carpeta principal de su sitio web. Puede ver el contenido del archivo seleccionando Abrir o Editar en su cliente FTP.

Ahora debe mirar detenidamente el contenido del archivo para ver si algo parece fuera de lugar. Puede ayudar comparar el archivo con el archivo predeterminado wp-config-sample.php Archivo ubicado en la misma carpeta.

Debe eliminar cualquier código que esté seguro de que no pertenece.

7. Restaurar una copia de seguridad del sitio web

Si ha realizado una copia de seguridad de su sitio web regularmente y todavía le preocupa que su sitio web no esté completamente limpio, restaurar una copia de seguridad es una buena solución.

Debe eliminar completamente su sitio web y luego restaurar la copia de seguridad realizada antes de la piratería de su sitio web. Esta no es una opción para todos, pero puedes estar 100% seguro de que tu sitio es seguro.

Consulte nuestra Guía para principiantes para restaurar WordPress desde una copia de seguridad para obtener más información.

¿Cómo prevenir hacks en el futuro?

Una vez que haya limpiado su sitio web, es hora de mejorar la seguridad de su sitio web para evitar futuros ataques. No vale la pena ser tacaño o indiferente cuando se trata de seguridad web.

1. Haz una copia de seguridad de tu sitio web regularmente

Si aún no realiza copias de seguridad de su sitio web con regularidad, hoy es el día para comenzar.

WordPress no tiene una solución de copia de seguridad integrada, pero hay algunos complementos de copia de seguridad de WordPress que puede usar para realizar una copia de seguridad y restaurar automáticamente su sitio web de WordPress.

UpdraftPlus es uno de los mejores complementos para realizar copias de seguridad de WordPress. Le permite configurar programas de respaldo automáticos y lo ayuda a restaurar su sitio de WordPress si sucede algo malo.

Obtenga más información en nuestra guía para realizar copias de seguridad y restaurar su sitio de WordPress con UpdraftPlus.

2. Instala un complemento de seguridad

No hay forma de realizar un seguimiento de todo lo que sucede en su sitio web cuando está ocupado con su negocio. Es por eso que recomendamos usar un complemento de seguridad como Sucuri.

Recomendamos Sucuri porque son buenos en lo que hacen. Las principales publicaciones como CNN, USA Today, PC World, TechCrunch, The Next Web y otras están de acuerdo. Además, confiamos en él para proteger WPBeginner.

3. Haz que el inicio de sesión en WordPress sea más seguro

También es importante hacer que su inicio de sesión de WordPress sea más seguro. Lo mejor es comenzar aplicando contraseñas seguras cuando los usuarios crean una cuenta en su sitio. También le recomendamos que utilice una utilidad de administración de contraseñas como 1Password.

Luego, debe agregar la autenticación de dos factores. Esto protege su sitio web de contraseñas robadas y ataques de fuerza bruta. Esto significa que incluso si un pirata informático conoce su nombre de usuario y contraseña, no podrá acceder a su sitio web.

Finalmente, debe limitar los intentos de iniciar sesión en WordPress. WordPress permite a los usuarios ingresar contraseñas tantas veces como quieran. Prohibir a un usuario después de cinco intentos de inicio de sesión fallidos reduce significativamente la posibilidad de que el hacker descubra sus credenciales.

4. Protege a tu administrador de WordPress

Al proteger el panel de administración del acceso no autorizado, puede bloquear muchas amenazas de seguridad comunes. Tenemos una larga lista de consejos sobre cómo proteger a su administrador de WordPress.

Por ejemplo, puede proteger con contraseña el directorio wp-admin, lo que agrega otra capa de protección al punto de entrada principal a su sitio web.

También puede restringir el acceso al panel administrativo a las direcciones IP utilizadas por su equipo para bloquear el acceso a los piratas informáticos que descubren su nombre de usuario y contraseña.

5. Deshabilitar los editores de temas y complementos

¿Sabías que WordPress viene con un editor de temas y complementos integrados? Este sencillo editor de texto le permite editar sus temas y archivos de complementos directamente desde el panel de control de WordPress.

Si bien esto es útil, puede generar posibles problemas de seguridad: por ejemplo, si un pirata informático ingresa a su administrador de WordPress, puede usar el editor incorporado para acceder a todos sus datos de WordPress.

Luego pueden distribuir malware o lanzar ataques DDoS desde su sitio web de WordPress.

Para mejorar la seguridad de WordPress, le recomendamos que elimine por completo los editores de archivos integrados.

6. Deshabilite la ejecución de PHP en carpetas específicas de WordPress

De forma predeterminada, los scripts PHP pueden ejecutarse en cualquier carpeta de su sitio web. Puede hacer que su sitio web sea más seguro al deshabilitar la implementación de PHP en las carpetas que no lo necesitan.

Por ejemplo, WordPress nunca debería ejecutar código almacenado en el tuyo uploads Si deshabilita la ejecución de PHP para esta carpeta, el pirata informático no puede ejecutar la puerta trasera por sí mismo si ha subido una con éxito. allí.

7. Mantén tu sitio web actualizado

Cada nueva versión de WordPress es más segura que la anterior. Cada vez que se informa una vulnerabilidad de seguridad, el equipo central de WordPress trabaja incansablemente para lanzar una actualización que solucione el problema.

Esto significa que si no mantiene WordPress actualizado, usa software con vulnerabilidades de seguridad conocidas, los piratas informáticos pueden buscar sitios que ejecutan versiones anteriores y usar la vulnerabilidad para obtener acceso.

Es por eso que siempre debes usar la última versión de WordPress.

No se limite a mantener WordPress actualizado. Debe asegurarse de mantener actualizados sus complementos y temas de WordPress.

Esperamos que este tutorial lo haya ayudado a encontrar y reparar una puerta trasera en un sitio web de WordPress pirateado. También puede querer aprender cómo cambiar WordPress de HTTP a HTTPS, o navegar por nuestra lista de errores de WordPress y cómo corregirlos.

Si te ha gustado este artículo, suscríbete al nuestro. canal de Youtube para videos tutoriales para WordPress. También puedes encontrarnos en Closermarketing.es y Facebook.