En esta publicación, veremos cómo eliminar el malware de su instalación de WordPress. Puede comprobar fácilmente si su sitio de WordPress está infectado utilizando un escáner en línea como el verificador de sitios Securi’s site checker. Si ha identificado que su sitio ha sido comprometido, siga los pasos a continuación para reparar su instalación.
1. Escanea tu computadora
Las infecciones pueden llegar a su sitio de varias formas, una de las cuales es a través de un virus en su máquina que transmite su contraseña de FTP. Analice su computadora en busca de malware o infección con un antivirus de buena calidad, como ESET, AVG, u otros.
2. Cambie su panel de control y contraseñas de FTP.
- Cambie la contraseña de sus inicios de sesión en cPanel y cambie su contraseña de FTP.
- Le recomendamos que utilice un generador de contraseñas seguras como Strong Password Generator.
3. Descargue la última versión de WordPress.
- Ingrese a https://wordpress.org/download/, Click en Download
4. Ingresar a su cuenta de cPanel, generar una copia de seguridad de toda su cuenta cPanel y descárguelo.
5. Ubicar la descarga en su PC y antes de descomprimir desactive Windows defender.
Para descomprimir seleccione el backup, presione click derecho y click en Extraer aquí.
6. Ingrese al backup descompreso, carpeta Homedir y carpeta Public_html.
Si la página que desea limpiar es de un subdominio o dominio adicional, ingrese a la carpeta con el nombre del subdominio o dominio adicional y durante el proceso del manual tendrá que dirigirse a la carpeta con el nombre del dominio o subdominio en lugar de public_html.
7. Seleccione todo el contenido existente dentro de public_html excepto wp-content y wp-config.php, Click derecho y eliminar.
8. Abrir wp-config.php en tu editor de código o bloc de notas de Windows. Compruebe aquí si hay algún código inusual, en particular cadenas largas de texto aleatorio. Puede compararlo con el archivo wp-config-sample.php de su descarga limpia de WordPress. Si existe código inusual elimine dicho fragmento de código.
Ejemplo:
9. Ingresar a la carpeta wp-content y carpeta plugins. Copie el contenido de esta carpeta en otra ubicación para tenerlo como copia de seguridad y luego elimine todo el contenido de la carpeta original Plugins. (Al finalizar volverá a instalar los plugins que utilizaba).
10. Ingresar a la carpeta Themes, Copie el contenido de esta carpeta en otra ubicación para tenerlo como copia de seguridad y elimine todo el contenido de la carpeta Themes original.
11. Ingresar a la carpeta wp-content. Seleccione todo el contenido incluyendo los archivos ejecutables (.php) excepto las carpetas plugins, themes y uploads, si tiene una carpeta que usted utiliza puede incluir en la excepción y proceder a eliminar el resto.
12. Buscar archivo malicioso con Windows defender.
12.1 Activar Windows defender. Ingrese a Inicio en su computador, escribir Seguridad de Windows, click en Seguridad de Windows
12.2 Click en Protección contra virus y amenazas. activar Opciones de Antivirus de Microsoft defender.
12.3 Click en Opciones de examen.
12.4 Seleccionar Examen personalizado y Examinar ahora.
12.5 Ubicar y seleccionar la carpeta o archivo a examinar, click en seleccionar carpeta.
12.6 Si se encuentra una amenaza se mostrará de la siguiente manera.
12.7 Desplegar las opciones con la flecha hacia abajo, click en Ver detalles. En esta fase puede tomar una acción de las que se muestra: Poner en Cuarentena, Quitar o Permitir en el dispositivo.
12.8 Ubicar el archivo malicioso.
12.9 Ingrese a la dirección donde está ubicado el archivo malicioso y verifique su contenido, si su contenido es como se muestra en la imagen proceda a eliminar el archivo.
- Si se detectó más de un archivo malicioso revise y elimine cada uno.
13. Buscar archivo malicioso con antivirus de su preferencia. Es importante hacer doble examen para mayor seguridad.
13.1 Seleccionar la carpeta, click derecho, Analizar con su antivirus preferido.
- Si tiene carpetas adicionales a uploads realice la misma acción para todas las carpetas.
13.2 Si su antivirus encuentra alguna amenaza puede eliminar o poner en cuarentena dependiendo como tenga la configuración de su antivirus.
14. Revisión manual de malware.
14.1 Ingresar a la carpeta uploads, buscar archivos ejecutables (.php) o que tengan nombre de caracteres aleatorio.
14.2 Verificar el contenido de cada archivo ejecutable, si su contenido es como se muestra en la imagen proceda a eliminar.
- Revisar de igual manera todas las subcarpetas o carpetas adicionales.
15. Ingrese a Wordpress limpio que descargó, copie todo el contenido excepto wp-content y wp-config-sample.php.
16. Ingresar a la carpeta public-html, click derecho en un espacio en blanco y click en Pegar.
17. Comprimir la carpeta public_html en formato .ZIP.
- Seleccionar la carpeta public_html, click derecho, añadir al archivo, seleccionar ZIP y click en Aceptar.
18. Ubique e ingrese a la carpeta mail, ingrese a la carpeta que lleva el nombre de su dominio.
19. Examinar con Windows defender cada correo o directamente la carpeta que lleva el nombre de su dominio siguiendo los pasos 12 hasta 12.9 de examen personalizado así como lo hizo con la carpeta uploads.
Para seleccionar el correo ubique en homedir >> mail >> nombre de su dominio, seleccionar la carpeta (correo) y click en seleccionar carpeta.
19.1 Los virus podrían estar en los correos de spam ya que es la marera de propagación de los virus
Ubicar en la dirección que se muestra y verificar su contenido.
19.2 Si el contenido del archivo es como se muestra en la imagen proceda a eliminar el archivo.
20. Verificación manual.
Verifique si existe algún correo sospechoso (Nombre de caracteres aleatorios) o que usted nunca creó dicho correo, si se detecta correo sospechoso debe proceder a eliminar.
21. Comprima la carpeta de sus correos en formato .ZIP
Seleccionar la carpeta que lleva el nombre de su dominio, click derecho, añadir al archivo, seleccionar ZIP y Aceptar.
22. Ubique e ingrese a la carpeta etc, comprima en formato .ZIP la carpeta que lleva el nombre de su dominio.
Seleccionar la carpeta, click derecho, añadir al archivo, seleccionar ZIP y Aceptar.
23. Tomar captura de pantalla de los plugins y themes que utiliza.
23.1 Ingresar a su cPanel, Ingrese a Softaculous Apps Installer.
23.2 Ingresar al Administrador de Wordpress (Ícono W en la parte superior derecha)
23.3 Desplegar todas las opciones con la flecha hacia abajo y Click en Administrar plugins.
23.4 Tomar captura de pantalla o tomar nota de los plugins que se utilizan, guarde en una carpeta para revisar en la instalación de los plugins.
24.5 De la misma manera tome captura del theme que utiliza. Para acceder haga click en Administrar themes.
24. Solicite al área de soporte formatear la cuenta. Es importante llevar dicha acción por que el virus podría estar oculto en alguna otra carpeta.
25. Crear la base de datos
25.1 Ingresar a su backup descompreso >> homedir >> public-html >> wp-config.php. Averiguar el nombre de la base de datos, nombre de usurario y su contraseña.
25.2 Ingresar a su cpanel, ubicar la sección Base de datos y hacer click en Base de datos MySQL.
25.3 Ingresar al archivo wp-config.php, copiar el nombre de la base de datos solo después del subguión (Ejemplo wp85), pegar en la casilla de texto y click en Crear una nueva base de datos.
26. Crear usuario de base de datos.
En la misma ventana de Base de datos MySQL desplazar hasta la sección de Usuarios MySQL.
Abrir el archivo wp-config.php, Copiar el nombre del usuario solo después del subguión (Ejemplo wp85) y su contraseña, pegar en sus respectivas casillas de texto y hacer click en Crear Usuario
27. Agregar usuario a la base de datos.
En la misma ventana de Base de datos MySQL desplazarse hasta la sección de Añadir Usuarios a la Base de Datos.
Seleccionar el usuario y la base de datos que se desea agregar y hacer click en Añadir
28. Marcar Todo los privilegios y hacer click en hacer cambios.
29. Importar la base de datos
29.1 Ingresar a cpanel, sección Base de Datos y hacerclick en phpMyAdmin.
29.2 Seleccionar la base de datos y hacer click en Importar.
29.3 Click en Seleccionar archivo, ubicar la base de datos en Backup descompreso >> mysql, seleccionar la base de datos y hacer click en Abrir.
La base de datos debe pesar menos de 50 MB, si pesa más debe comprimir la base de datos.
29.4 Click en Continuar.
30. En su cPanel ingrese a Administrador de archivos (en la sección de Archivos),
31. Click en Cargar.
32. Presione Seleccionar archivo.
33. Ubicar el archivo en Backup descompreso >> homedir, Seleccione el archivo compreso de public_html y hacer click en Abrir. Espere que complete la carga.
34. Subir los correos.
En su Administrador de archivos ubique e ingrese a la carpeta mail. click en Cargar.
Cuando cargue la nueva ventana hacer click en Seleccionar archivo.
35. Ubique el archivo compreso en Backup >> homedir >> mail, seleccionar el archivo compreso que lleva el nombre del dominio y hacer click en Abrir. Espere que concluya la carga.
36. En su Administrador de archivos ubique e ingrese a la carpeta etc y hacer click en cargar.
Cuando cargue la nueva ventana hacer click en Seleccionar archivo.
37. Ubicar el archivo compreso en Backup >> homedir >> etc, seleccionar el archivo compreso que lleva el nombre del dominio, click en Abrir. Espere que concluya la carga.
38. Descomprimir los archivos subidos.
Seleccionar el archivo compreso de public-html, click derecho, Extract y Extract Files.
De la misma manera extraer los archivos compresos de correos (mail) y etc.
39. Revisar en las capturas de pantalla que se hizo anteriormente e instalar solamente los plugins que utilizaba.
Seleccionar Add Plugins, escribir el nombre del plugin y hacer click en Install
40. Instalar únicamente el theme que utilizaba, puede verificar en la capturas que realizó anteriormente.
Seleccionar Add Themes, escribir el nombre del tema y hacer click en Install
41. Activar las actualizaciones automáticas para su Wordpress, Plugins y Themes.
42. Para verificar la existencia de virus en su sitio web puede examinar con VirusTotal.
Seleccionar la opción de URL, Copiar y pegar la URL de su sitio web y Presionar la tecla Enter.
43. Los resultados se muestran de la siguiente manera: En la primera columna se muestran las empresas proveedoras de seguridad que identificaron la URL como maliciosa y en la segunda columna se muestran los tipos de ataque o virus existente en su web.
44. Debe proceder a realizar la limpieza de su sitio web instalando los antivirus de las empresas proveedoras de seguridad que detectaron la amenaza (primera columna) esto es por ser los antivirus más óptimos para su detección.
Si tiene alguna duda comuníquese con nuestro área de soporte, estaremos felices de ayudarle.
