Nou passos per netejar un WordPress infectat per malware
Sempre pensem que això no ens pot passar a nosaltres. Que un WordPress infectat per malware és una cosa que ens queda molt lluny. Que els hackers busquen webs i blogs amb molta audiència o que generen molts ingressos per atacar-los i robar les dades dels seus usuaris. O que els atacs formen part de serveis del nivell de Yahoo!, Dropbox o Linkedin. Fins que ens passa a nosaltres. I llavors no entenem què ha passat, perquè i com solucionar-ho. En aquest post t'explico els passos que has de seguir des del moment que tens coneixement que el teu web fet amb WordPress ha estat hackejat.
Abans de començar és necessari que sàpigues que el procés de neteja d'un WordPress infectat per malware no sempre és fàcil i ràpid. A més, en alguns casos, requereix d'alguns coneixements avançats.
És per això que a solucions360 hem creat els Serveis WordPress Bàsic i Plus. Ara sí, comencem!
No és res contra tu ni el teu projecte
El primer que has de saber és que si pateixes un atac hacker al teu web o blog fet amb WordPress no és que algú et tingui mania o vulgui enfosar el teu projecte. Vaja, almenys en una situació normal 🙂
El cert és que WordPress és una plataforma d'ús massiu per construir de manera relativament ràpida tot tipus d'espais web: blogs, botigues online o webs corporatius, entre altres. Es calcula que al voltant d'un 25% dels webs de tot el món estan fets amb WordPress, per tant, no és difícil imaginar que si es detecta un forat de seguretat en una versió determinada i s'aconsegueix entrar al servidor i prendre el control del mateix, és molt fàcil replicar aquest atac. Per suposat, això no ho fan humans. Ho fan programes informàtics creats especialment per això.
La infecció per malware de WordPress és relativament freqüent
Una altra manera de buscar "víctimes" és per la tècnica de la força bruta. Això consisteix en localitzar webs fets amb WordPress i intentar esbrinar una i altra vegada la combinació de nom d'usuari i contrasenya.
Què volen del meu web fet amb WordPress?
La majoria de vegades, els atacants no estaran interessats en les dades que puguis tenir en el teu servidor, com podrien ser dades de contacte d'usuaris registrats, comandes d'una botiga online etc. El que volen és tenir un servidor a la seva disposició per poder enviar spam o allotjar virus i malware per tal que puguin ser descarregats per altres persones. En altres ocasions busquen fer accions de phishing, és a dir, simular l'aparença d'una altra pàgina amb l'objectiu de cometre estafes. D'aquesta manera podran crear una xarxa fantasma de servidors controlats, el que també es coneix com una botnet, i aprofitar-se de la potència de milers de màquines intentant estafar a algú i, de pas, sense deixar proves de qui és l'estafador.
I sí a sobre guardes dades, el caramel encara serà més desitjat.
La seguretat del teu WordPress és molt important per al teu projecte
Com saber si m'han hackejat el WordPress
De vegades, visualment, no ho podràs saber. Perquè? Doncs perquè els atacants no estaran interessats en fastidiar el funcionament normal del teu web sinó més aviat passar desapercebuts i "anar fent". Altres vegades sí que podràs veure que t'han modificat el contingut de determinades pàgines o entrades amb missatges en anglès generalment.
Per altra banda, un proveïdor de hosting seriós t'avisarà d'una activitat inusual al teu espai. I Google, tard o d'hora, també ho farà. I això si que és perillós, ja que el teu web apareixerà en els resultats de cerca com a infectat, el que farà que els visitants desconfiïn i no entrin, amb la conseqüent pèrdua de clients i la mala imatge que això comporta.
Molt bé…i ara què faig?
Ara que ja saps que darrere d'un atac hacker a un web fet amb WordPress no hi ha cap conspiració de ningú contra tu ni contra el teu projecte/negoci/activitat, que un hackeig de WordPress és relativament freqüent degut a l'ús massiu de la plataforma i -tot s'ha de dir- la poca cura que de vegades tenim en mantenir uns estàndards mínims de seguretat- i com detectar que t'han piratejat el teu espai…és moment de passar a l'acció, netejar, fer-los fora i procurar que no tornin oi? Som-hi!
I, ara què faig…
Pas zero: restauració d'una còpia de seguretat
Si sabem la data de la infecció, aquesta és molt recent i el nostre web no pateix grans canvis en molt poc temps (per exemple, si no és una botiga amb comandes diàries o un web amb molta activitat) podem optar per restaurar una còpia de seguretat recent.
Això ho podem fer de tres maneres: manualment, amb un plugin o des del panell de control de l'allotjament.
La manera més fàcil és fer-ho des del panell de control del hosting, on trobarem una eina per seleccionar la data de restauració. Hem d'escollir l'opció de restaurar fitxers i base de dades, tenint en compte que els canvis que s'hagin fet fins a la data de la infecció, es perdran.
Una altra manera senzilla de restaurar un backup de WordPress és amb el plugin Updraftplus. En parlem al sisè pas:
https://es.wordpress.org/plugins/updraftplus
Una tercera opció es fer una restauració manual a partir d'una còpia existent.
Acció de complexitat moderada – alta –> Consulta a un expert si no et veus amb cor de fer això.
Si tot això no és possible, hem de començar la neteja.
Primer pas: habilita el mode de manteniment (opcional)
El primer de tot és posar el teu web en mode de manteniment. Ho poso com a opcional ja que durant l'execució de la resta de passos, el funcionament del web no s'ha de veure afectat. Només ho faria en cas que ens hagin modificat el contingut de pàgines i/o entrades i, per tant, estiguem oferint una imatge deplorable a la nostra audiència 🙁
És aconsellable fer-ho també si preveiem que el procés de neteja i restauració serà llarg. D'aquesta manera, encara que no ens hagin modificat el contingut de les nostres pàgines, estarem deixant de mostrar aquelles pàgines que ens hagin creat amb codi maliciós i que Google ha recopilat en els seus resultats de cerca (!!).
Per habilitar el mode de manteniment de WordPress descarrega i instal·la el plugin WP Maintenance Mode.
Plugin per posar el teu WordPress en mode manteniment
No entrarem en detalls sobre les possibilitats d'aquest plugin ja que no és l'objectiu d'aquest post. A mode d'apunt et diré que permet mostrar una pàgina amb un missatge del tipus "El nostre web està en procés d'actualització. Disculpa les molèsties." i, fins i tot, posar un compte enrere fins al moment en què el web tornarà a estar actiu.
https://wordpress.org/plugins/wp-maintenance-mode/
Segon pas: canvia totes les contrasenyes
Totes. Quantes contrasenyes tenim associades al nostre WordPress? Bàsicament tres: la d'accés a l'escriptori, la de la base de dades i la del servei FTP.
En el cas de la contrasenya d'accés al panell de control tingues en compte que hauràs de canviar les de tots els usuaris que tinguis donats d'alta. També és una bona idea no posar noms d'usuari del tipus "admin" o el mateix nom del teu web. Crea un nou usuari amb permisos d'administrador si és aquest el cas.
La contrasenya de la base de dades es canvia des del fitxer wp-config.php que trobaràs al directori arrel d'instal·lació del teu WordPress. Recorda que primer l'hauràs de canviar des del panell de control del teu allotjament.
També és molt important que canviïs la contrasenya del servei FTP per tal que l'atacant no pugui tornar a pujar arxius lliurement.
Fes servir contrasenyes complexes, amb números, lletres, majúscules i minúscules i caràcters especials. I que no siguin massa curtes, mínim vuit caràcters.
Tercer pas: demana al teu proveïdor que deshabiliti l'enviament de mails per PHP
Abans deiem que un dels objectius dels atacs a webs fets amb WordPress és la d'enviar SPAM fent servir el teu allotjament. L'enviament de mails a través de PHP permet a WordPress enviar mails com el que sol·licitem quan hem perdut la contrasenya. Doncs aquesta mateixa característica es pot aprofitar per enviar spam o malware.
Demana al teu proveïdor que deshabiliti aquesta prestació de forma temporal fins que hagis pogut solucionar el problema. De fet, si ells han detectat la infecció, ho hauran fet de forma automàtica.
Quart pas: Fes un escaneig
Una vegada hem identificat el problema i hem barrat el pas, toca posar-se a netejar la casa.
El primer de tot és fer un escaneig del nostre hosting amb un antivirus, com si del nostre ordinador es tractés. Hi han plugins per a WordPress per fer això però els que he provat no m'han convençut i he arribat a la conclusió que el millor és demanar al teu proveïdor que faci un escaneig i t'indiqui els fitxers infectats.
Alguns serveis d'allotjament, com el de solucions360, t'ofereix la possibilitat de fer-ho tu mateix des del panell de control del hosting.
Escaneja el teu hosting
Cinquè pas: Elimina tot el contingut sospitós
Un cop ha finalitzat l'escaneig i sabem quins són els fitxers infectats els hem d'eliminar. Ho farem via FTP i, en la majoria de casos, seran fitxers amb noms estranys i ubicats en directoris on no és habitual. Per exemple, et trobaràs fitxers php o html dins la carpeta d'imatges.
També pot passar que l'atacant hagi modificat els fitxers originals de WordPress. En aquest cas, la cosa és més complicada. Haurem d'editar el fitxer amb algun programa com Bluefish, i buscar el codi maliciós, normalment al principi i final de l'arxiu i composat per llargues cadenes de text codificat.
Acció de complexitat moderada – alta –> Consulta a un expert si no et veus amb cor de fer això.
També has de revisar les taules de la base de dades de WordPress en busca de codi maliciós. Això es pot fer amb el programa web PHPMyAdmin, instal·lat en tots els allotjaments amb WordPress. Busca textos estranys, sobretot en la taula wp_posts, i també elimina els possibles usuaris que l'atacant hagi pogut crear.
Acció de complexitat moderada – alta –> Consulta a un expert si no et veus amb cor de fer això.
Sisè pas: fes una còpia de seguretat
Si has aconseguit netejar tot el contingut infectat, tant els fitxers com els registres de la base de dades, és moment de fer una còpia de seguretat de tot plegat. Això ho pots fer amb el plugin Updraftplus.
https://es.wordpress.org/plugins/updraftplus/
Amb aquest plugin -que en realitat és molt potent- podràs fer una còpia de seguretat de tot el teu WordPress i restaurar-lo de manera fàcil i segura. Les còpies les guarda en un compte de Google Drive, amb la qual cosa sempre estaran disponibles.
També pots fer una còpia manual dels fitxers i base de dades.
Acció de complexitat moderada – alta –> Consulta a un expert si no et veus amb cor de fer això.
Fer un Backup del teu WordPress és molt important i necessari
Setè pas: actualitza
Ha arribat el moment de posar solució a una de les causes que han provocat el hackeig del teu WordPress: les actualitzacions. És molt important mantenir actualitzada la teva plataforma, els plugins i temes que facis servir. I els que no facis servir, també. De fet, si no fas servir algun component és millor desinstal·lar-lo.
Un component no actualitzat és una via d'entrada per a hackers. Fes-ho ara des de l'escriptori de WordPress.
Vuitè pas: revisa la seguretat
El penúltim pas consisteix en reforçar la seguretat del teu espai. En el segon pas ja hem canviat totes les contrasenyes però no és suficient. Et recomano dues accions més: limitar les vegades que es pot provar d'entrar al teu WordPress (impedint l'accés per força bruta) i canviant el nom d'accés a l'escriptori. Anem a veure com es fa això.
Limitar el número d'accessos
Amb el plugin WP Limit Login Attempts aconseguirem el bloqueig d'un usuari que intenti accedir més de 5 vegades seguides i no aconsegueixi endevinar la combinació d'usuari i contrasenya. El bloqueig es produirà per espai d'uns 30 minuts.
https://es.wordpress.org/plugins/wp-limit-login-attempts/
Canviar el nom de l'accés a l'escriptori
Per defecte, la ruta d'accés a l'administració de WordPress és: www.elteudomini.cat/wp-admin. És a dir, la mateixa que la de milions i milions de webs fets amb WordPress. Si l'aconseguim canviar per una del tipus www.elteudomini.cat/gestiodelweb serà més difícil que els hackers endevinin la ruta d'accés al WordPress, ja que el que buscaran és "wp-admin".
https://es.wordpress.org/plugins/protect-wp-admin/
Novè pas: notifica a Google que ja has solucionat el problema
Si tot ha anat bé ja podem notificar a Google que hem netejat el nostre web i, per tant, no som un espai perillós ni emissor d'SPAM. Això només cal fer-ho si Google ens ha notificat la infecció del nostre web, cosa que normalment triga una mica de temps des del moment en que es produeix la infecció.
La notificació a Google s'ha de fer des del servei Google Search Console.
Ara també podem aprofitar per demanar al nostre proveïdor de hosting que torni a activar l'enviament de mails des de PHP.
Conclusió
Si tot ha anat bé has aconseguit tornar a la normalitat el teu WordPress. Com tot en la vida, no es pot garantir que el teu espai web no torni a ser infectat per malware, igual que no es pot assegurar del tot que uns lladres no tornin a entrar a robar a un negoci o una llar, per moltes accions preventives que es portin a terme.
Almenys ara saps què has de fer (o què ha de fer algú) en cas que pateixis un atac hacker al teu espai web fet amb WordPress, perquè es donen, quins són els seus objectius i les mesures que s'han de prendre per tal que la propera vegada els atacants ho tinguin una mica més dificil.
Conscients d'aquest problema, a solucions360 hem creat els Serveis WordPress Bàsic i Plus. Per ajudar-te si et fa falta 🙂
I si aquesta guia t'ha agradat comparteix l'enllaç amb els teus contactes a les xarxes socials. Gràcies!