Tutorial: Cómo eliminar malware de WordPress fácil y rápido

  • Autor Autor die beste
  • Fecha de inicio Fecha de inicio
D

die beste

Zeta
Domainer
Todos los que usamos WordPress tenemos 2 o 3 temas recurrentes:
- Actualizaciones
- Plugins
- Themes
Con los themes podemos ser víctimas de spammers, que no solo se aprovecharán de nuestras visitas sino que pueden hacer que Google penalice nuestro blog.
El problema es que todos estamos buscando hoy themes responsive, y gratis!!!! por lo que interesa es descargar free o nulled themes sin mirar bien de donde. Y entonces alguno puede venir con sorpresas.
En fin, instalamos nuestro bonito y flamante theme y aparentemente no hay problemas hasta que, o ya no podemos ingresar por /wp-login.php o como en el ejemplo que les muestro, el blog es solo una pantalla blanca :fatigue:
cefdea1c365d90c75715930d807daf5f.png


En este caso, un blog de pocos dias de vida, que al ser subido a Google Webmaster Tools, se "borra". En otro caso también la infección se manifestó al darle el alta en algún servicio de Google.
Bien, no hay nada que temer, tiene arreglo :encouragement:
Abrimos nuestro panel de hosting y vamos al Administrador de archivos
9a554ef743f9b6dd1540f01cf909cc87.png

Allí veremos los archivos de nuestro blog y entraremos a wp-content
a835bd013d12106fd6d949171504cb18.png

alli abrimos la carpeta themes
4a55f0a4e588530500a123847dbd4446.png

y elegimos el theme que estamos utilizando, que debe estar infectado, en mi caso el Iconic One
550705b390998f450926f4ce5b309db1.png

alli buscamos estos archivos: social.png y vemos ademas social0.png, pueden ser muchos mas, solo cambiara el numero, vean que estos se activaron ayer
9f130f04374d818d25ee76a92f7bf0e8.png


La solucion es borrarlos.

Para prevenir, cuando descarguen el theme en su equipo y abran el .zip, revisen en /images/ o en todos los archivos por si hay algun social.png, si está traten de verlo con el Visor de imágenes de Windows y verán que no puede visualizarse, esto es porque no es nigún .png sino que contiene un codigo eval, quieren ver que contiene?
5ef6cc25b1676e3970ccedc9bae21544.png

WTF!!!!!!!!!!

En fin, una vez borrados vemos qué pasa con nuestro blog
22f2da88bec2e95ea69f5fe23b69ba41.png


:s:s:s:s:s si, se va a ver todo roto, pero a no desesperar, porque apenas falta un paso mas para arreglar el problema.
donde estamos, en la carpeta de themes, vamos a editar el archivo functions.php, que como ven, ha sido modificado...
d6c64818d24c096bdddead5e2bcf926a.png

Asi que vamos al editor de codigo
0ebe0bc8105c578ad19ced93033f9a8c.png

y buscamos estas lineas al final del archivo
1e29a53ae702f55aab2079cc6bdf8c78.png

y las borramos, asi debe quedar la ultima linea
da6a8b186dd72ee0fa2a0720768de202.png

salvamos los cambios y vamos a ver nuestro sitio y...
7af836520f576e5849af64f11d6207f3.png

arreglado!!!!!

Precauciones:
mirar bien de donde se bajan themes
revisarlos que no haya nada raro antes de subirlos al hosting
utilizar un buen plugin de seguridad, por el momento utilizo Wordfence, pero estoy haciendo pruebas con varios mas
al final del enlace que les deje veran estos tags de mas plugins de seguridad, hay uno para cada necesidad
fe8d4b4a258949f8ade5e3f42036218a.png


podemos ayudar tambien con este Exploit Scanner
y si algo malo pasa, no apurarse a borrar cosas o tocaor codigo, mejor venir a Forobeta, consulta en el buscador y seguro aparece una solución como esta.

ACTUALIZO:
una vez hecho todo lo anterior el hack puede regresar...
asi que hay que instalar el plugin Wordfence, ir a sus Options y alli marcar estas opciones:
Scan theme files against repository versions for changes
Scan plugin files against repository versions for changes
Scan image files as if they were executable
Una vez borrado el script de functions.php, cambiarle el permiso a 444, para que no pueda ser reescrito
 
Última edición:
No uso WP, pero seguro me servirá, gracias 😛7:
 
Y si me creo plantillas propias, no sucederia nada, verdad?
 
RaikND dijo:
Y si me creo plantillas propias, no sucederia nada, verdad?
Hacer clic para expandir...
no, y con las descargadas tampoco, solo que a veces tenemos mala suerte y alguien le puso un codigo y la resubio infectada
hay que ser cuidadoso y revisar antes de subir algo a nuestro hosting, nada mas
 
die beste dijo:
no, y con las descargadas tampoco, solo que a veces tenemos mala suerte y alguien le puso un codigo y la resubio infectada
hay que ser cuidadoso y revisar antes de subir algo a nuestro hosting, nada mas
Hacer clic para expandir...

Entonces muchas gracias por la información! 🙂
 
hola ...
una consulta solo lo infectan de esa manera por un social0.png?? quizas porque no usaran un "cart.png" o alguno otro?

suelen ser en .png o guardar ese archivo en esa determinada carpeta?... disculpa mi inquietud..

yo me bajo themes aunque medio feitos pero con estructuras y le doy css a full. tengo muchisimas webs con wordpress y a veces imaginar que alguno este infectado y que solo esperan que cojan buen trafico para hacer de las suyas :S
 
Lenny Creative dijo:
una consulta solo lo infectan de esa manera por un social0.png?? quizas porque no usaran un "cart.png" o alguno otro?

suelen ser en .png o guardar ese archivo en esa determinada carpeta?... disculpa mi inquietud..
Hacer clic para expandir...
cuando descomprimes el theme en tu equipo, revisa tus .png con el visor de imagenes de windows, abres una por una si tienes dudas
la imagen que no puedas abrir es porque no es una imagen, solo lleva el nombre pero dentro tiene un codigo eval que mete enlaces salientes invisibles y puede comprometer tu blog en google, porque tambien puede escribirtus meta con keys no aceptadas por adsense, por lo que pueden banearte en google y en adsense
hay que actuar rapido, antes que google te ponga el cartel de sitio malicioso
si logras abrir el falso png, vas a ver algo como esto
PHP: 
 Some Malware hidden inside a PNG Nov/2013 - Pastebin.com[/url]
 
Espero nunca ser infectado, pero si sucede ya encontré la solución. gracias por el tuto
 
el problema puede ser mas grave de lo que pensaba, he estado haciendo pruebas y esta vulnerabilidad es indetectable
-no detectan nada los plugins de seguridad como Wordfence, o alguno de los mas conocidos
- el Sucuri Site Check tampoco lo detecta
- el plugin All In One WP Security detecta cambios en los permisos del config.php 😱 aparentemente, ahi y en functions.php y en wp-includes/load.php puede meterse el codigo eval base64 que termina accediendo a tu BD
- los plugins Antivirus o WP Antivirus Site Protection tampoco lo detectan
- el plugin exploit scanner si detecta el eval, pero hay que limpiarlo manualmente
- revisar que puedan estar cambiados la meta y el .htacces
- cualquier descarga de themes nulled o de sitios no oficiales de cualquier theme free pueden tener este codigo metido
hay identificado un spammer ruso que inyecta este codigo, y este spammer es cliente de un beta que vende themes aqui, apenas lo vea conectado le voy a advertir :ambivalence:
 
me pasa lo mismo , no puedo acceder a mi blog, he realizado la siguiente consulta:
wp-content/themes/index.php

y al editarlo me sale esto:

solo tres lineas:

<?php
// Silence is golden.
?>
 
Última edición:
hola yo uso word press y no he sido infectado ojala no pase sino ya tengo la solucion en este tutorial que esta muy bueno
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

N
Eliminar malware en WordPress
2 3
Respuestas
59
Visitas
578
ramonjosegn
R
R
¿Cómo eliminar Malware en mi sitio web al usar arc.io?
Respuestas
7
Visitas
318
zahard
zahard
P
Tutorial: Cómo identificar y eliminar malware en WordPress de forma sencilla
Respuestas
0
Visitas
2K
Playmaax
P
E
¿Cómo eliminar malware de mi sitio web en Wordpress?
Respuestas
8
Visitas
451
grupocreamoswebs
G
colombiano3454
¿Cómo eliminar malware de mi sitio web?
Respuestas
5
Visitas
542
forowac
F
Atrás
Arriba