¿Cómo detectar y eliminar malware en un sitio de WordPress?
Seguridad Ene 19, 2019

Uno de los grandes problemas de las webs creadas con WordPress es que son relativamente fáciles de infectar por hackers o atacantes; al estar basado en PHP resulta un blanco fácil para inyecciones de código que pueden poner en peligro nuestros datos personales y además dañar la reputación de nuestro sitio en los motores de búsqueda.
¿Qué síntomas presenta una página infectada?
Uno de los comportamientos más comunes que produce un sitio con código malicioso es la suspensión del mismo; así es, normalmente los hostings hacen análisis rutinarios en busca de virus en las páginas de sus clientes, si el software detecta alguna actividad inusual o líneas de código sospechoso que no deberían estar ahí, nuestro sitio de WordPress será automáticamente dado de baja hasta que eliminemos la amenaza del servidor.
Otro síntoma muy habitual es el redireccionamiento de tu sitio a páginas no deseadas, esto puede ocurrir al ingresar la dirección electrónica de tu sitio en WordPress y/o al tratar de entrar a algún enlace dentro de tu página; si al hacer esto eres redirigido a alguna web externa, como por ejemplo un sitio de apuestas, lo más seguro es que tu website ha sido contaminado con código malicioso o malware.
Por último, el escenario con el que mayormente nos hemos topado es cuando tratamos de acceder al sitio en cuestión, la página carga normalmente pero el tema es revertido a uno de los que vienen por default en la instalación de WordPress; esto sucede comúnmente cuando descargamos e instalamos temas premium de forma gratuita en sitios de dudosa procedencia, ya que además de que desbloquean estos templates o temas y los ofrecen gratuitamente también aprovechan para agregar malware dentro de los archivos de instalación, mismos que infectan las ubicaciones clave de toda tu instalación de WordPress.
Este comportamiento se puede detectar relativamente fácil a través de tu cPanel entrando a la Administración de Archivos, ubicando la carpeta donde está instalado WordPress; dentro de WP-Content/Themes verás todos los temas que tienes instalado en tu plataforma, debes poner mucha atención en la columna de permisos, si el tema cuestión tiene los permisos en ceros ahí es donde debes empezar a buscar la infección (o de plano borrar la carpeta y comprar el tema legalmente).

¿Cómo solucionamos una infección por malware?
Limpiar un sitio de WordPress puede ser una tarea muy tediosa pero necesaria si no dispones de un respaldo de tu sitio antes de la infección o si no quieres perder todo el contenido generado dentro de él.
Uno de los mejores métodos es la eliminación manual con asistencia de tu hosting: levanta un ticket al servicio de soporte técnico y solicita un escaneo de tus ficheros, esto te ahorrará bastante tiempo para encontrar los archivos modificados, puedes editarlos directamente desde tu cPanel, al abrirlos encontrarás algo similar a esto:

La imagen de arriba es un ejemplo de código inyectado dentro de un archivo de la instalación de WordPress, podrás notar que hace referencia a otro archivo llamado «wp_vcd», dicho archivo no forma parte del sistema de WordPress y se camuflajea dentro de las carpetas usando los mismos prefijos.
Todo ese código debe borrarse inmediatamente desde donde se abre el código de PHP (es decir a partir de <?php) hasta donde se cierra (el primer símbolo de ?> que encuentres), algo muy parecido a esto:

Ayudará que te guíes de los comentarios en el código para saber donde realmente empieza el código legítimo de WordPress.
Algunas ubicaciones usuales de infecciones por exploit en WordPress son:
- ‘wp-includes/wp-vcd.php’ (No forma parte de la instalación original, puede borrarse)
- ‘wp-includes/wp-tmp.php’ (Puede borrarse)
- ‘wp-content/themes/nombre-del-tema/functions.php’ (Solamente limpia el código inyectado como en el ejemplo anterior)
- ‘wp-content/themes/tema-hijo/functions.php’ (Solamente limpia el código inyectado como en el ejemplo anterior).
Instala un Antivirus para WordPress
El procedimiento anterior puede realizarse con la ayuda de un antivirus, el directorio de plugins de WordPress cuenta con una amplia variedad de herramientas gratuitas de seguridad, una de las mejores es Wordfence, un escaner que te ayudará a detectar archivos sospechosos y modificaciones a componentes en WordPress. Instálalo y corre un análisis para ubicar las posibles amenazas en tu sitio.

Últimos detalles
- De ser necesario, realiza varios escaneos para asegurarte que las vulnerabilidades han sido corregidas o eliminadas.
- Cambia tus credenciales de acceso, tanto nombre de usuario (de ser posible nunca utilizar «admin») como contraseña (Google Chrome puede generarte una contraseña bastante segura)
- Jamás descargues plugins ni temas piratas, son una de las principales causas de infecciones en WordPress.
- Asegúrate de contar con un certificado de seguridad SSL siempre activo en todo momento.
- Mantén siempre actualizado tus plugins, temas y versión de WordPress.
- Realiza respaldos periódicos de tu sitio utilizando plugins confiables como VaultPress o UpdraftPlus o BlogVault.