Cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo

¿Su sitio web de WordPress ha sido pirateado?

Los piratas informáticos a menudo instalarán una puerta trasera para asegurarse de que puedan volver a ingresar incluso después de proteger su sitio web. A menos que pueda eliminar esa puerta trasera, no hay forma de detenerlos.

En este artículo, le mostraremos cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo.

Cómo saber si su sitio web ha sido pirateado

Si está ejecutando un sitio web de WordPress, entonces debe tomarse la seguridad en serio. Esto se debe a que los sitios web son atacados una media de 44 veces al día.

Puede aprender las mejores prácticas para mantener su sitio seguro en nuestra última guía de seguridad de WordPress.

Pero, ¿y si su sitio ya ha sido pirateado?

Algunas señales de que su sitio de WordPress ha sido pirateado incluyen una caída en el tráfico o el rendimiento del sitio web, enlaces defectuosos agregados o archivos desconocidos, una página de inicio desfigurada, la imposibilidad de iniciar sesión, nuevas cuentas de usuario sospechosas y más.

Limpiar un sitio web pirateado puede ser increíblemente doloroso y difícil. Lo llevamos a través del proceso paso a paso en nuestra guía para principiantes para reparar su sitio de WordPress pirateado. También debe asegurarse de escanear su sitio en busca de malware que hayan dejado los piratas informáticos.

Y no te olvides de cerrar la puerta trasera.

Un hacker inteligente sabe que eventualmente limpiará su sitio web. Lo primero que podrían hacer es instalar una puerta trasera, para que puedan volver a colarse después de asegurar la puerta principal de su sitio web de WordPress.

¿Qué es una puerta trasera?

Una puerta trasera es un código agregado a un sitio web que permite que un pirata informático acceda al servidor sin ser detectado y sin pasar por el inicio de sesión normal. Permite que un pirata informático recupere el acceso incluso después de que encuentre y elimine el complemento explotado o la vulnerabilidad de su sitio web.

Las puertas traseras son el siguiente paso de un hackeo después de que el usuario haya ingresado. Puede aprender cómo lo han hecho en nuestra guía sobre cómo los sitios de WordPress son pirateados y cómo prevenirlo.

Las puertas traseras a menudo sobreviven a las actualizaciones de WordPress. Eso significa que su sitio seguirá siendo vulnerable hasta que encuentre y arregle cada puerta trasera.

¿Cómo funcionan las puertas traseras?

Algunas puertas traseras son simplemente nombres de usuario de administrador ocultos. Permiten que el pirata informático inicie sesión normalmente escribiendo un nombre de usuario y una contraseña. Debido a que el nombre de usuario está oculto, ni siquiera sabe que alguien más tiene acceso a su sitio web.

Las puertas traseras más complejas pueden permitir que el hacker ejecute código PHP. Ellos envían manualmente el código a su sitio web utilizando su navegador web.

Otros tienen una interfaz de usuario completa que les permite enviar correos electrónicos como su servidor de alojamiento de WordPress, ejecutar consultas de bases de datos SQL y mucho más.

Algunos piratas informáticos dejarán más de un archivo de puerta trasera. Después de cargar uno, agregarán otro para garantizar su acceso.

¿Dónde están ocultas las puertas traseras?

En todos los casos que hemos encontrado, la puerta trasera estaba disfrazada para que pareciera un archivo de WordPress. El código para puertas traseras en un sitio de WordPress se almacena más comúnmente en las siguientes ubicaciones:

1. Un tema de WordPress, pero probablemente no el que estás usando actualmente. El código de un tema no se sobrescribe cuando actualiza WordPress, por lo que es un buen lugar para poner una puerta trasera. Es por eso que recomendamos eliminar todos los temas inactivos.
2. Los complementos de WordPress son otro buen lugar para ocultar una puerta trasera. Al igual que los temas, las actualizaciones de WordPress no los sobrescriben y muchos usuarios son reacios a actualizar los complementos.
3. La carpeta de cargas puede contener cientos o miles de archivos multimedia, por lo que es otro buen lugar para ocultar una puerta trasera. Los blogueros casi nunca revisan su contenido porque simplemente cargan una imagen y luego la usan en una publicación.
4. El archivo wp-config.php contiene información confidencial utilizada para configurar WordPress. Es uno de los archivos más atacados por los piratas informáticos.
5. La carpeta wp-includes contiene los archivos PHP necesarios para que WordPress funcione correctamente. Es otro lugar donde encontramos puertas traseras porque la mayoría de los propietarios de sitios web no verifican qué contiene la carpeta.

Ejemplos de puertas traseras que hemos encontrado

Estos son algunos ejemplos de dónde los piratas informáticos han cargado puertas traseras. En un sitio que limpiamos, la puerta trasera estaba en la carpeta wp-includes . El archivo se llamaba wp-user.php , que parece bastante inocente, pero ese archivo en realidad no existe en una instalación normal de WordPress.

En otro caso, encontramos un archivo PHP llamado hello.php en la carpeta de carga. Estaba disfrazado como el complemento Hello Dolly. Lo extraño es que el hacker lo puso en la carpeta de subidas en lugar de en la carpeta de complementos.

También hemos encontrado puertas traseras que no usan la extensión de archivo .php . Un ejemplo fue un archivo llamado wp-content.old.tmp , y también encontramos puertas traseras en archivos con una extensión .zip .

Como puede ver, los piratas informáticos pueden adoptar enfoques muy creativos al ocultar una puerta trasera.

En la mayoría de los casos, los archivos se codificaron con código Base64 que puede realizar todo tipo de operaciones. Por ejemplo, pueden agregar enlaces de spam, agregar páginas adicionales, redirigir el sitio principal a páginas de spam y más.

Dicho esto, echemos un vistazo a cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo.

Cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo

Ahora ya sabe qué es una puerta trasera y dónde puede estar escondida. ¡Lo difícil es encontrarlo! Después de eso, limpiarlo es tan fácil como borrar el archivo o el código.

1. Escanea en busca de código potencialmente malicioso

La forma más fácil de escanear su sitio web en busca de puertas traseras y vulnerabilidades es con un complemento de escáner de malware de WordPress. Recomendamos Securi porque nos ayudó a bloquear 450 000 ataques de WordPress en 3 meses, incluidos 29 690 ataques relacionados con puertas traseras.

Ofrecen un complemento gratuito de Sucuri Security para WordPress que le permite escanear su sitio web en busca de amenazas comunes y fortalecer su seguridad de WordPress. La versión paga incluye un escáner del lado del servidor que se ejecuta una vez al día y busca puertas traseras y otros problemas de seguridad.

Obtenga más información en nuestra guía sobre cómo escanear su sitio de WordPress en busca de código potencialmente malicioso.

2. Elimine su carpeta de complementos

La búsqueda en las carpetas de complementos en busca de archivos y códigos sospechosos lleva mucho tiempo. Y debido a que los piratas informáticos son tan astutos, no hay garantía de que encuentre una puerta trasera.

Lo mejor que puede hacer es eliminar su directorio de complementos y luego reinstalarlos desde cero. Esta es la única forma de saber con certeza que no hay puertas traseras en sus complementos.

Puede acceder a su directorio de complementos utilizando un cliente FTP o el administrador de archivos de su host de WordPress. Si no ha usado FTP antes, puede consultar nuestra guía sobre cómo usar FTP para cargar archivos en WordPress.

Deberá usar el software para navegar a la carpeta wp-content de su sitio web. Una vez allí, debe hacer clic derecho en la carpeta de plugins y seleccionar 'Eliminar'.

3. Elimina tu carpeta de temas

De la misma manera, en lugar de perder tiempo buscando una puerta trasera entre los archivos de su tema, es mejor eliminarlos.

Después de eliminar la carpeta de plugin , simplemente resalte la carpeta de themes y elimínela de la misma manera.

No sabes si había una puerta trasera en esa carpeta, pero si la había, ya no está. Acabas de ahorrar tiempo y eliminaste un punto extra de ataque.

Ahora puede reinstalar cualquier tema que necesite.

4. Busque en la carpeta Cargas archivos PHP

A continuación, debe echar un vistazo a la carpeta de uploads y asegurarse de que no haya archivos PHP dentro.

No hay una buena razón para que un archivo PHP esté en esta carpeta porque está diseñado para almacenar archivos multimedia como imágenes. Si encuentra un archivo PHP allí, debe eliminarlo.

Al igual que las carpetas de plugins y themes , encontrará la carpeta de uploads en la carpeta wp-content . Dentro de la carpeta encontrará varias carpetas para cada año y mes en que haya cargado archivos. Deberá verificar cada carpeta en busca de archivos PHP.

Algunos clientes FTP ofrecen herramientas que buscarán en la carpeta de forma recursiva. Por ejemplo, si usa FileZilla, puede hacer clic derecho en la carpeta y seleccionar 'Agregar archivos a la cola'. Cualquier archivo que se encuentre en cualquier subdirectorio de la carpeta se agregará a la cola en el panel inferior.

Ahora puede desplazarse por la lista en busca de archivos con la extensión .php.

Alternativamente, los usuarios avanzados que están familiarizados con SSH pueden escribir el siguiente comando:

find uploads -name "*.php" -print

5. Eliminar el archivo .htaccess

Algunos piratas informáticos pueden agregar códigos de redirección a su archivo .htaccess que enviarán a sus visitantes a un sitio web diferente.

Con un cliente FTP o un administrador de archivos, simplemente elimine el archivo del directorio raíz de su sitio web y se volverá a crear automáticamente.

Si por alguna razón no se vuelve a crear, debe ir a Configuración » Enlaces permanentes en su panel de administración de WordPress. Al hacer clic en el botón 'Guardar cambios' se guardará un nuevo archivo .htaccess.

6. Verifique el archivo wp-config.php

El archivo wp-config.php es un archivo central de WordPress que contiene información que permite que WordPress se comunique con la base de datos, las claves de seguridad para su instalación de WordPress y las opciones de desarrollador.

El archivo se encuentra en la carpeta raíz de su sitio web. Puede ver el contenido del archivo seleccionando las opciones Abrir o Editar en su cliente FTP.

Ahora debe mirar detenidamente el contenido del archivo para ver si hay algo que parezca fuera de lugar. Puede ser útil comparar el archivo con el archivo predeterminado wp-config-sample.php que se encuentra en la misma carpeta.

Debe eliminar cualquier código que esté seguro de que no pertenece.

7. Restaurar una copia de seguridad del sitio web

Si ha estado haciendo copias de seguridad periódicas de su sitio web y todavía le preocupa que su sitio web no esté completamente limpio, restaurar una copia de seguridad es una buena solución.

Deberá eliminar completamente su sitio web y luego restaurar una copia de seguridad que se realizó antes de que su sitio web fuera pirateado. Esta no es una opción para todos, pero te dejará 100% seguro de que tu sitio es seguro.

Para obtener más información, consulte nuestra guía para principiantes sobre cómo restaurar WordPress desde una copia de seguridad.

¿Cómo prevenir hacks en el futuro?

Ahora que ha limpiado su sitio web, es hora de mejorar la seguridad de su sitio para evitar ataques en el futuro. No vale la pena ser tacaño o apático cuando se trata de la seguridad del sitio web.

1. Haga una copia de seguridad regular de su sitio web

Si aún no realiza copias de seguridad periódicas de su sitio web, hoy es el día para comenzar.

WordPress no viene con una solución de copia de seguridad integrada. Sin embargo, hay varios complementos de copia de seguridad de WordPress que le permiten hacer una copia de seguridad y restaurar automáticamente su sitio web de WordPress.

UpdraftPlus es uno de los mejores complementos de copia de seguridad de WordPress. Le permite configurar programas de respaldo automáticos y lo ayudará a restaurar su sitio de WordPress si sucede algo malo.

Obtenga más información en nuestra guía sobre cómo hacer una copia de seguridad y restaurar su sitio de WordPress con UpdraftPlus.

2. Instale un complemento de seguridad

No es posible monitorear todo lo que aparece en su sitio web cuando está ocupado trabajando en su negocio. Es por eso que le recomendamos que use un complemento de seguridad como Sucuri.

Recomendamos Sucuri porque son buenos en lo que hacen. Las principales publicaciones como CNN, USA Today, PC World, TechCrunch, The Next Web y otras están de acuerdo. Además, confiamos en él para mantener seguro a WPBeginner.

3. Haga que el inicio de sesión de WordPress sea más seguro

También es importante que haga que su inicio de sesión de WordPress sea más seguro. La mejor manera de comenzar es hacer cumplir el uso de contraseñas seguras cuando los usuarios crean una cuenta en su sitio web. También le recomendamos que comience a usar una utilidad de administrador de contraseñas como 1Password.

Lo siguiente que debe hacer es agregar autenticación de dos factores. Esto protegerá su sitio web contra contraseñas robadas y ataques de fuerza bruta. Significa que incluso si un pirata informático conoce su nombre de usuario y contraseña, no podrá iniciar sesión en su sitio web.

Finalmente, debe limitar los intentos de inicio de sesión en WordPress. WordPress permite a los usuarios ingresar contraseñas tantas veces como quieran. Bloquear a un usuario después de cinco intentos fallidos de inicio de sesión reducirá significativamente la posibilidad de que un hacker descubra sus datos de inicio de sesión.

4. Proteja su área de administración de WordPress

Proteger el área de administración del acceso no autorizado le permite bloquear muchas amenazas de seguridad comunes. Tenemos una larga lista de consejos sobre cómo puede mantener seguro al administrador de WordPress.

Por ejemplo, puede proteger con contraseña el directorio wp-admin. Esto agrega otra capa de protección al punto de entrada más importante a su sitio web.

También puede limitar el acceso al área de administración a las direcciones IP utilizadas por su equipo. Esta es otra forma de bloquear a los piratas informáticos que descubren su nombre de usuario y contraseña.

5. Deshabilitar editores de temas y complementos

¿Sabías que WordPress viene con un editor de complementos y temas integrado? Este editor de texto sin formato le permite editar su tema y archivos de complementos directamente desde el panel de control de WordPress.

Si bien esto es útil, puede generar posibles problemas de seguridad. Por ejemplo, si un pirata informático ingresa a su área de administración de WordPress, puede usar el editor incorporado para obtener acceso a todos sus datos de WordPress.

Después de eso, podrán distribuir malware o lanzar ataques DDoS desde su sitio web de WordPress.

Para mejorar la seguridad de WordPress, recomendamos eliminar por completo los editores de archivos incorporados.

6. Deshabilite la ejecución de PHP en ciertas carpetas de WordPress

De forma predeterminada, los scripts PHP se pueden ejecutar en cualquier carpeta de su sitio web. Puede hacer que su sitio web sea más seguro al deshabilitar la ejecución de PHP en las carpetas que no lo necesitan.

Por ejemplo, WordPress nunca necesita ejecutar el código almacenado en su carpeta de uploads . Si deshabilita la ejecución de PHP para esa carpeta, entonces un pirata informático no podrá ejecutar una puerta trasera, incluso si la carga allí con éxito.

7. Mantenga su sitio web actualizado

Cada nueva versión de WordPress es más segura que la anterior. Cada vez que se informa una vulnerabilidad de seguridad, el equipo central de WordPress trabaja diligentemente para lanzar una actualización que solucione el problema.

Esto significa que si no mantiene WordPress actualizado, entonces está utilizando un software con vulnerabilidades de seguridad conocidas. Los piratas informáticos pueden buscar sitios web que ejecuten la versión anterior y usar la vulnerabilidad para obtener acceso.

Es por eso que siempre debes usar la última versión de WordPress.

No se limite a mantener WordPress actualizado. Debe asegurarse de mantener actualizados sus complementos y temas de WordPress.

Esperamos que este tutorial lo haya ayudado a aprender cómo encontrar y reparar una puerta trasera en un sitio web de WordPress pirateado. También puede querer aprender cómo mover WordPress de HTTP a HTTPS, o consultar nuestra lista de errores de WordPress y cómo solucionarlos.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de WordPress. También puede encontrarnos en Twitter y Facebook.