¿Control perdido en WordPress? Posibles causas y soluciones

[eruizr82]

Hola,

Pues como lo dice el titulo, tengo en un sitio web algun especie de bot, script o algo así que me crea un monton de post y usuarios, ya contacté a soporte de mi hosting y ellos me dicen que malware no tengo. Mi duda es: ¿hay alguna forma de saber si el problema lo origina algun plugin, script o me sacaron la contraseña del wordpress?

Gracias.

 

[bromasaparte]

Instálate un plugin de seguridad tipo - iThemes Security

Puedes verlo aquí - https://es.wordpress.org/plugins/better-wp-security/

También puedes ver si tienes algún tipo de infección con herramientas online. https://geekflare.com/es/find-wordpress-vulnerabilities/

 

[ramonjosegn]

Hola @eruizr82

Tendrás que pasarte a Cloudflare, al menos mientras resuelves el problema. Sólo que a veces son lentos con ese tema, mientras tanto revisa qué tipo de opciones de seguridad tienes en tu hosting y activa las que consideres oportunas.

También revisa que no te hayan creado usuarios nuevos, esa es otra opción típica de tomar el control, borra todos los que haya y crea un nuevo administrador o cambia al menos la contraseña y los datos de acceso. También puedes usar algún plugin que cambie la página de login, añada algún captcha o sólo permita ingreso desde el celular, o borre por completo el acceso al administrador (todo eso se puede hacer con plugins y también sin plugins en algunos casos).

Por otro lado esas acciones suelen ser creadas ingresando al cpanel (cambia la contraseña ya mismo) y generando scripts en la sección TRABAJOS DE CRON en la sección AVANZADA.

Ingresa lo antes posible y BORRA TODOS LOS TRABAJOS que te hayan añadido ahí.

También revisa por FTP que no haya archivos extraños. Puedes hacer una reinstalación de WordPress limpia también.

Nota - también puedes INSTALAR WORDFENCE, trae una opción para revisar todos los archivos e incluso restaurar los archivos originales de Wordpress o los que han sido modificados (tiene un pequeño bug con la versión en español, ya que te dice que algunos archivos como el de cambios no es original, y te pide que lo cambies por el mismo archivo en inglés, no sé si ya lo hayan corregido).

Pero cuando hagas el escaneo ACTIVA LA OPCIÓN DE REVISAR ARCHIVOS FUERA DE WORDPRESS, ya que por defecto no viene activa.

Además te protegerá temporalmente mientras lo tengas activo, si el hosting soporta su uso (consume bastante CPU realizando ciertas acciones).

Si nada de eso funciona pide al hosting que restauren una COPIA DE SEGURIDAD antes de que ocurriera el problema y toma las medidas oportunas para que no ocurra de nuevo.

 

[macomparte]

Yo lo solucione utilizando el plugin Wordfence, en su version free funciona muy bien, tenes que activar la autenticación en dos pasos y listo

 

[eruizr82]

Instálate un plugin de seguridad tipo - iThemes Security

Puedes verlo aquí - https://es.wordpress.org/plugins/better-wp-security/

También puedes ver si tienes algún tipo de infección con herramientas online. https://geekflare.com/es/find-wordpress-vulnerabilities/

Eso me detectó geekflare:

 

[eruizr82]

Hola @eruizr82

Tendrás que pasarte a Cloudflare, al menos mientras resuelves el problema. Sólo que a veces son lentos con ese tema, mientras tanto revisa qué tipo de opciones de seguridad tienes en tu hosting y activa las que consideres oportunas.

También revisa que no te hayan creado usuarios nuevos, esa es otra opción típica de tomar el control, borra todos los que haya y crea un nuevo administrador o cambia al menos la contraseña y los datos de acceso. También puedes usar algún plugin que cambie la página de login, añada algún captcha o sólo permita ingreso desde el celular, o borre por completo el acceso al administrador (todo eso se puede hacer con plugins y también sin plugins en algunos casos).

Por otro lado esas acciones suelen ser creadas ingresando al cpanel (cambia la contraseña ya mismo) y generando scripts en la sección TRABAJOS DE CRON en la sección AVANZADA.

Ingresa lo antes posible y BORRA TODOS LOS TRABAJOS que te hayan añadido ahí.

También revisa por FTP que no haya archivos extraños. Puedes hacer una reinstalación de WordPress limpia también.


Ver el archivo adjunto 772448


Ver el archivo adjunto 772450

Nota - también puedes INSTALAR WORDFENCE, trae una opción para revisar todos los archivos e incluso restaurar los archivos originales de Wordpress o los que han sido modificados (tiene un pequeño bug con la versión en español, ya que te dice que algunos archivos como el de cambios no es original, y te pide que lo cambies por el mismo archivo en inglés, no sé si ya lo hayan corregido).

Pero cuando hagas el escaneo ACTIVA LA OPCIÓN DE REVISAR ARCHIVOS FUERA DE WORDPRESS, ya que por defecto no viene activa.

Además te protegerá temporalmente mientras lo tengas activo, si el hosting soporta su uso (consume bastante CPU realizando ciertas acciones).

Si nada de eso funciona pide al hosting que restauren una COPIA DE SEGURIDAD antes de que ocurriera el problema y toma las medidas oportunas para que no ocurra de nuevo.

Revisé los crons, parece que todo está bien, no hay nada sospechoso

 

[eruizr82]

Yo lo solucione utilizando el plugin Wordfence, en su version free funciona muy bien, tenes que activar la autenticación en dos pasos y listo

Lo checaré. gracias.

 

[ramonjosegn]

Revisé los crons, parece que todo está bien, no hay nada sospechoso

Usa Wordfence y haz un escaneo, activando que escanee también los archivos exteriores (no viene la opción activada por defecto).

¿Ya revisaste que no te hayan creado ADMINISTRADORES o usuarios nuevos??

 

[Seontext]

Ese elementor es pagado de la tienda real, conjunta o simplemente lo sacaste de la web?

 

[eruizr82]

Usa Wordfence y haz un escaneo, activando que escanee también los archivos exteriores (no viene la opción activada por defecto).

Lo acabo de instalar, ahora mismo haré un escaneo

 

[ramonjosegn]

Lo acabo de instalar, ahora mismo haré un escaneo

Revisa que no te hayan creado usuarios adminsitradores (o incluso usuarios) nuevos. Esa es otra de las formas en que suelen colarse.

Seguro wordfence te detectará algo.

 

[Seontext]

Revisa que no te hayan creado usuarios adminsitradores (o incluso usuarios) nuevos. Esa es otra de las formas en que suelen colarse.

Seguro wordfence te detectará algo.

Si tienes plugin o temas descargado fuera de WordPress también.

 

[eruizr82]

Ese elementor es pagado de la tienda real, conjunta o simplemente lo sacaste de la web?

Es la version free, lo instalé desde plugins de wordpress

 

[eruizr82]

Si tienes plugin o temas descargado fuera de WordPress también.

Esque el problema es, que de la nada aparecen usuarios admin

 

[Darkfrost]

cambiar la claves de ftp, las claves de tu base de datos, revisa si puedes cambiar incluso la clave del cpanel, a veces la infeccion es producida por fuga de informacion, pero no se sabe en que nivel, lo otro pudo ser el uso de plugins o licencias nulleadas, instalate el wordfence como te dicen arriba, escaneas, borras todos los usuarios, y cambias la clave de todo, revisa todos los plugins, y borra archivos php sospechosos, en el administrador de archivos trata de buscar los archivos por fecha de modificacion, a veces eso te dice un poco sobre la parte donde el virus o el script puede estar alojado, lo mas comun es que dejen backdoors, archivos javascript o php escondidos en algun folder con una funcion secreta que luego es usada por los atacantes.

 

[Seontext]

Es la version free, lo instalé desde plugins de wordpress

Usa wordfence como dice el de arriba es bueno.

 

[eruizr82]

cambiar la claves de ftp, las claves de tu base de datos, revisa si puedes cambiar incluso la clave del cpanel, a veces la infeccion es producida por fuga de informacion, pero no se sabe en que nivel, lo otro pudo ser el uso de plugins o licencias nulleadas, instalate el wordfence como te dicen arriba, escaneas, borras todos los usuarios, y cambias la clave de todo, revisa todos los plugins, y borra archivos php sospechosos, en el administrador de archivos trata de buscar los archivos por fecha de modificacion, a veces eso te dice un poco sobre la parte donde el virus o el script puede estar alojado, lo mas comun es que dejen backdoors, archivos javascript o php escondidos en algun folder con una funcion secreta que luego es usada por los atacantes.

Gracias, ya estoy cambiando las contraseñas de todo

 

[Seontext]

cambiar la claves de ftp, las claves de tu base de datos, revisa si puedes cambiar incluso la clave del cpanel, a veces la infeccion es producida por fuga de informacion, pero no se sabe en que nivel, lo otro pudo ser el uso de plugins o licencias nulleadas, instalate el wordfence como te dicen arriba, escaneas, borras todos los usuarios, y cambias la clave de todo, revisa todos los plugins, y borra archivos php sospechosos, en el administrador de archivos trata de buscar los archivos por fecha de modificacion, a veces eso te dice un poco sobre la parte donde el virus o el script puede estar alojado, lo mas comun es que dejen backdoors, archivos javascript o php escondidos en algun folder con una funcion secreta que luego es usada por los atacantes.

Adicional a lo que dice el amigo @Darkfrost el uso de plugins que tienen años que no se actualizan, puede ser una causa.

 

[eruizr82]

Adicional a lo que dice el amigo @Darkfrost el uso de plugins que tienen años que no se actualizan, puede ser una causa.

Si tengo varios sin actualizar, lo voy a checar tambien

 

[Seontext]

Gracias, ya estoy cambiando las contraseñas de todo

Amigo véase este video se lo recomiendo así mantienes seguro el acceso a tu WordPress.