Mi experiencia frustrante con BanaHosting: Problemas desde el primer día y un VPS "comprometido"

  • Autor Autor Nefalem
  • Fecha de inicio Fecha de inicio
Estado

🔒 Este tema está cerrado para nuevas respuestas.

⏰ Solo el creador del tema puede solicitar la reapertura de sus propios temas, pero únicamente dentro de los 60 días previos a la última actualización.

Nefalem

Nefalem

Gamma
Verificación en dos pasos activada
Verificado por Whatsapp
Quiero compartir con la comunidad mi experiencia reciente con BanaHosting y su servicio VPS, para que otros usuarios estén informados antes de tomar una decisión. Contraté un VPS Ultra-13 con la intención de migrar sitios importantes y, en menos de 3 días, los problemas comenzaron a acumularse. Lo peor: un archivo malicioso apareció en una instalación limpia de WordPress.

Lo que ocurrió:

1. Problemas iniciales: licencia de Webuzo
Contraté el VPS con Webuzo Multi-User incluido. Sin embargo, al intentar crear cuentas, recibí el mensaje:
"You need a Multi User License to use this feature"
Creé un ticket solicitando solución. Para ser justos, en este caso lo solucionaron en menos de una hora. Aunque rápido, esto no debería ocurrir con una configuración recién entregada.

2. Problema con MySQL root
Después del primer problema, intenté crear una base de datos para instalar WordPress y recibí el error:
"MYSQL ERROR: Access denied for user 'root'@'localhost' (using password: YES)"
Tuve que abrir un segundo ticket, pues la contraseña para MySQL root era incorrecta.
Esta vez, la solución demoró varias horas. Perdí toda una noche esperando por algo que debería funcionar desde el primer minuto.

3. Lo peor: archivo malicioso en servidor recién entregado

  • Finalmente, logré crear la base de datos e instalé WordPress limpio, descargado directamente desde la fuente oficial (wordpress.org).
  • Al día siguiente, revisé los archivos del sitio y encontré un archivo sospechoso llamado good.php. Al abrirlo, resultó ser un script malicioso.
  • Pueden ver el archivo en los pantallazos adjuntos. Claramente, no lo subí yo, ni expuse credenciales o configuraciones.
Aquí surge la gran pregunta:
¿Cómo es posible que un VPS recién entregado, con una instalación limpia y oficial de WordPress, termine con un archivo malicioso?

Respuestas del soporte

Al reportar el problema, la única solución que ofrecieron fue:

  • Cambiar contraseñas.
  • Habilitar un firewall.
Además, me dijeron que su servicio es "limpio" y sugirieron que la vulnerabilidad proviene de mi dispositivo local.

  • Mi dispositivo está limpio y escaneado.
  • Subí un archivo comprimido original de WordPress.
Siendo objetivos:
¿Cómo pueden culpar mi dispositivo local cuando el servidor es nuevo, los archivos son oficiales y lo único que subí fue el archivo "wordpress-6.7.1-es_ES.zip", descargado directamente desde la web oficial de WordPress (https://es.wordpress.org/)?

El proceso fue simple y claro:

  1. Subí el archivo ZIP al servidor.
  2. Lo descomprimí en el mismo servidor.
  3. En ese momento, me topé con el problema de MySQL mal configurado, el cual reporté y que demoraron varias horas en solucionar.
  4. Como se tardaron mucho, decidí irme a dormir.
  5. A la mañana siguiente, revisé el ticket, confirmé que el problema de la base de datos estaba resuelto y pude crear una base de datos sin problemas.
  6. Sin embargo, cuando fui a configurar WordPress, me encontré con el archivo good.php, un script malicioso en la carpeta raíz del sitio.
¿Cómo explican esto? Un servidor nuevo, archivos oficiales y una configuración básica. El archivo apareció sin intervención mía y luego de problemas previos en el mismo servidor.

Sin reembolso, pero sin confianza

  • Solicité la cancelación y el reembolso debido a la gravedad del problema. La respuesta fue que los VPS no tienen reembolsos porque "su configuración requiere tiempo y esfuerzo".
  • Lo entiendo, pero un servidor inseguro desde el día 1 no es aceptable.
Perdí 130 dólares, pero lo más irónico es que, en medio de esta frustrante experiencia, encontré otro proveedor que me ofreció un VPS más potente (con más RAM y almacenamiento NVMe) y a un precio 60% más barato. La configuración fue rápida, limpia y segura, y todo funcionó sin problemas desde el inicio, sin necesidad de abrir tickets ni perder tiempo en soluciones básicas.

Para comparar objetivamente:

  • VPS anterior: 8 vCPU, 24 GB de RAM, 400 GB SSD.
  • Nuevo VPS: 8 vCPU, 32 GB de RAM, 400 GB NVMe.
Y el precio: $120 frente a 47,99 €. La diferencia es abismal tanto en costo como en calidad del servicio.

Esto demuestra que es posible encontrar un servicio de calidad superior, más seguro y más económico, algo que lamentablemente no obtuve con el VPS que contraté inicialmente.

Conclusión

No se trata del dinero perdido, sino de la confianza. ¿Cómo podría subir sitios importantes a un servidor que, apenas entregado, muestra vulnerabilidades inexplicables?

No puedo recomendar el servicio de VPS de BanaHosting después de esta experiencia. Los problemas de configuración iniciales, la falta de respuestas claras y la aparición de malware en una instalación limpia son señales claras de falta de control y seguridad.

Adjuntos (pruebas claras):

  1. Captura del archivo malicioso good.php y su contenido.
  2. Captura del directorio raíz donde apareció el archivo.
Si están evaluando contratar un VPS en BanaHosting, piénsenlo dos veces. No vale la pena arriesgar la seguridad de tus proyectos. Invito a la comunidad a compartir sus experiencias y sugerir servicios VPS más confiables.
 

Adjuntos

  • malware.webp
    malware.webp
    110,4 KB · Visitas: 53
  • infectado.webp
    infectado.webp
    517 KB · Visitas: 52
  • banahosting.webp
    banahosting.webp
    47,6 KB · Visitas: 53
Lamento mucho su mala experiencia con BanaHosting. Al ser un servicio VPS, ciertamente se debería esperar más control y seguridad. Sus pruebas parecen señalar deficiencias graves en estos aspectos. Agradezco que haya compartido su experiencia con nosotros, esto nos ayuda a tomar decisiones informadas. ¡Buena suerte con su nuevo proveedor y que todo marche sin problemas!
 
Nefalem dijo:
Quiero compartir con la comunidad mi experiencia reciente con BanaHosting y su servicio VPS, para que otros usuarios estén informados antes de tomar una decisión. Contraté un VPS Ultra-13 con la intención de migrar sitios importantes y, en menos de 3 días, los problemas comenzaron a acumularse. Lo peor: un archivo malicioso apareció en una instalación limpia de WordPress.

Lo que ocurrió:

1. Problemas iniciales: licencia de Webuzo
Contraté el VPS con Webuzo Multi-User incluido. Sin embargo, al intentar crear cuentas, recibí el mensaje:
"You need a Multi User License to use this feature"
Creé un ticket solicitando solución. Para ser justos, en este caso lo solucionaron en menos de una hora. Aunque rápido, esto no debería ocurrir con una configuración recién entregada.

2. Problema con MySQL root
Después del primer problema, intenté crear una base de datos para instalar WordPress y recibí el error:
"MYSQL ERROR: Access denied for user 'root'@'localhost' (using password: YES)"
Tuve que abrir un segundo ticket, pues la contraseña para MySQL root era incorrecta.
Esta vez, la solución demoró varias horas. Perdí toda una noche esperando por algo que debería funcionar desde el primer minuto.

3. Lo peor: archivo malicioso en servidor recién entregado

  • Finalmente, logré crear la base de datos e instalé WordPress limpio, descargado directamente desde la fuente oficial (wordpress.org).
  • Al día siguiente, revisé los archivos del sitio y encontré un archivo sospechoso llamado good.php. Al abrirlo, resultó ser un script malicioso.
  • Pueden ver el archivo en los pantallazos adjuntos. Claramente, no lo subí yo, ni expuse credenciales o configuraciones.
Aquí surge la gran pregunta:
¿Cómo es posible que un VPS recién entregado, con una instalación limpia y oficial de WordPress, termine con un archivo malicioso?

Respuestas del soporte

Al reportar el problema, la única solución que ofrecieron fue:

  • Cambiar contraseñas.
  • Habilitar un firewall.
Además, me dijeron que su servicio es "limpio" y sugirieron que la vulnerabilidad proviene de mi dispositivo local.

  • Mi dispositivo está limpio y escaneado.
  • Subí un archivo comprimido original de WordPress.
Siendo objetivos:
¿Cómo pueden culpar mi dispositivo local cuando el servidor es nuevo, los archivos son oficiales y lo único que subí fue el archivo "wordpress-6.7.1-es_ES.zip", descargado directamente desde la web oficial de WordPress (https://es.wordpress.org/)?

El proceso fue simple y claro:

  1. Subí el archivo ZIP al servidor.
  2. Lo descomprimí en el mismo servidor.
  3. En ese momento, me topé con el problema de MySQL mal configurado, el cual reporté y que demoraron varias horas en solucionar.
  4. Como se tardaron mucho, decidí irme a dormir.
  5. A la mañana siguiente, revisé el ticket, confirmé que el problema de la base de datos estaba resuelto y pude crear una base de datos sin problemas.
  6. Sin embargo, cuando fui a configurar WordPress, me encontré con el archivo good.php, un script malicioso en la carpeta raíz del sitio.
¿Cómo explican esto? Un servidor nuevo, archivos oficiales y una configuración básica. El archivo apareció sin intervención mía y luego de problemas previos en el mismo servidor.

Sin reembolso, pero sin confianza

  • Solicité la cancelación y el reembolso debido a la gravedad del problema. La respuesta fue que los VPS no tienen reembolsos porque "su configuración requiere tiempo y esfuerzo".
  • Lo entiendo, pero un servidor inseguro desde el día 1 no es aceptable.
Perdí 130 dólares, pero lo más irónico es que, en medio de esta frustrante experiencia, encontré otro proveedor que me ofreció un VPS más potente (con más RAM y almacenamiento NVMe) y a un precio 60% más barato. La configuración fue rápida, limpia y segura, y todo funcionó sin problemas desde el inicio, sin necesidad de abrir tickets ni perder tiempo en soluciones básicas.

Para comparar objetivamente:

  • VPS anterior: 8 vCPU, 24 GB de RAM, 400 GB SSD.
  • Nuevo VPS: 8 vCPU, 32 GB de RAM, 400 GB NVMe.
Y el precio: $120 frente a 47,99 €. La diferencia es abismal tanto en costo como en calidad del servicio.

Esto demuestra que es posible encontrar un servicio de calidad superior, más seguro y más económico, algo que lamentablemente no obtuve con el VPS que contraté inicialmente.

Conclusión

No se trata del dinero perdido, sino de la confianza. ¿Cómo podría subir sitios importantes a un servidor que, apenas entregado, muestra vulnerabilidades inexplicables?

No puedo recomendar el servicio de VPS de BanaHosting después de esta experiencia. Los problemas de configuración iniciales, la falta de respuestas claras y la aparición de malware en una instalación limpia son señales claras de falta de control y seguridad.

Adjuntos (pruebas claras):

  1. Captura del archivo malicioso good.php y su contenido.
  2. Captura del directorio raíz donde apareció el archivo.
Si están evaluando contratar un VPS en BanaHosting, piénsenlo dos veces. No vale la pena arriesgar la seguridad de tus proyectos. Invito a la comunidad a compartir sus experiencias y sugerir servicios VPS más confiables.
Hacer clic para expandir...


Contrata a un profesional para que te configure el servidor a ver si los problemas se resuelven.

Porque tirar 130$ así por así es complicado.
 
Hola,

Esto es un VPS no administrado, que se le entrega al cliente y el cliente instala sus programas y lo demas, si es infectado algo ha de haber vulnerado al instalar algun plugin o thema o contraseñas insegura.

SI desea puede pedir formateo y instalar nuevamente con pasos de seguridad basicos.

De nuestro lado VPS no administrados se entragan con el OS y Panel que pida.

Todo lo demas el cliente es quien lo maneja.

Saludos!
 
Daniel Muñoz dijo:
Contrata a un profesional para que te configure el servidor a ver si los problemas se resuelven.

Porque tirar 130$ así por así es complicado.
Hacer clic para expandir...
Gracias por la sugerencia, pero el problema no fue por falta de conocimiento. Un VPS debe entregarse listo y sin errores básicos. Encontré otro proveedor VPS y ofrece protección extra con antivirus para malware incluido desde el inicio. Sé que tirar 130 dólares es complicado, pero prefiero proteger bien mis proyectos. Realmente perdí la confianza desde el principio. Saludos.
 
Es otro tema, mas esta haciendo acusaciones sobre un producto no administrado. sobre algo que esta en su poder no nuestro.

Usted es quien instala sus programas y seguridad en un VPS no admistrado, que se supone usted asegura configura y tiene el control de todo.

Un servidor no administrado el cliente es el responsable de todo en el. no la empresa del VPS que no esta encargada al respecto de dichos aspectos en un VPS no administrado, manejado por el cliente.
 
banahosting.com dijo:
Es otro tema, mas esta haciendo acusaciones sobre un producto no administrado. sobre algo que esta en su poder no nuestro.

Usted es quien instala sus programas y seguridad en un VPS no admistrado, que se supone usted asegura configura y tiene el control de todo.

Un servidor no administrado el cliente es el responsable de todo en el. no la empresa del VPS que no esta encargada al respecto de dichos aspectos en un VPS no administrado, manejado por el cliente.
Hacer clic para expandir...
Entiendo perfectamente que es un VPS no administrado, y no esperaba que me configuraran nada adicional. Lo que sí esperaba era recibir un servidor limpio y funcional desde el inicio, algo básico para cualquier proveedor. Que aparezca un archivo malicioso en una instalación limpia de WordPress, descargada desde su fuente oficial, no es responsabilidad del cliente. Llevo años administrando servidores y nunca me había encontrado con un problema tan sospechoso en un servidor recién provisionado.

No pagué por administración porque no lo necesito; conozco bien cómo manejar un VPS. El problema aquí no es de falta de experiencia, sino de cómo fue entregado el servidor desde el inicio, con problemas en la licencia de Webuzo, contraseñas de MySQL mal configuradas y finalmente un archivo malicioso inexplicable.

Por eso decidí cambiar a otro proveedor que cumplió con lo básico: entregar un servidor limpio, seguro y funcional desde el primer minuto. La confianza es lo más importante, y en este caso se perdió desde el comienzo.
 
No es correcto.

Webuzo tiene un boton que solo es hacerle click refrescar la licencia y fue lo realizado. y se le fue realizado en el ticket.
Sobre ya Mysql se le entrego limpio completo. el server el error de mysql se le fue corregido ahun no siendo administrado el servidor.

Sobre archivo malicioso es sobre su control no nuestro. es usted quien crea cuenta password y instalacion y pass y pasos de seguridad basicos y esta recae sobre usted no nosotros.

Todas las acciones eran soluciones de un administrador basico de VPS. lo cual se le dio asistencia ahun no siendo administrado su server.

Saludos!
 
Espero que te resuelvan el problema, y también espero que no te borren el post, porque hablar sobre una mala experiencia con dicha empresa parecer estar prohibido en el foro.
 
banahosting.com dijo:
No es correcto.

Webuzo tiene un boton que solo es hacerle click refrescar la licencia y fue lo realizado. y se le fue realizado en el ticket.
Sobre ya Mysql se le entrego limpio completo. el server el error de mysql se le fue corregido ahun no siendo administrado el servidor.

Sobre archivo malicioso es sobre su control no nuestro. es usted quien crea cuenta password y instalacion y pass y pasos de seguridad basicos y esta recae sobre usted no nosotros.

Todas las acciones eran soluciones de un administrador basico de VPS. lo cual se le dio asistencia ahun no siendo administrado su server.

Saludos!
Hacer clic para expandir...

Gracias por la respuesta, pero no estoy de acuerdo.

  1. Webuzo: El problema no fue solo 'refrescar la licencia'. Al crear cuentas, recibí el error de falta de licencia (adjunto prueba), lo que indica que no fue configurada correctamente desde el inicio.
  2. MySQL: Tampoco es normal que un VPS se entregue con errores básicos como la contraseña root mal configurada.
Finalmente, subí únicamente WordPress limpio desde la fuente oficial, y que aparezca un archivo malicioso en un servidor recién entregado no tiene justificación. Agradezco la asistencia, pero la falta de confianza me obligó a cambiar de proveedor.

Saludos.
 

Adjuntos

  • 1.webp
    1.webp
    35,7 KB · Visitas: 26
  1. Webuzo: El problema no fue solo 'refrescar la licencia'. Al crear cuentas, recibí el error de falta de licencia (adjunto prueba), lo que indica que no fue configurada correctamente desde el inicio.
Obviamente si no le detecta la licencia por eso trae el boton de refrescar, al refrescarla inmediatamente tomo.
  1. MySQL: Tampoco es normal que un VPS se entregue con errores básicos como la contraseña root mal configurada.
Tambien es un error que el mismo error se lo indicaba y lo cual webuzo tiene la opcion de reseter dicho password.

Por ende un admin basico de VPS lo soluciona de inmediato.

A lo cual ambas cosas mando ticket y ambas cosas se le fueron solucinadas.

Sobre el archivo eso esta bajo su control como antes indicado es usted quien crea la cuenta y seguridad de la misma no nosotros.
 
banahosting.com dijo:
  1. Webuzo: El problema no fue solo 'refrescar la licencia'. Al crear cuentas, recibí el error de falta de licencia (adjunto prueba), lo que indica que no fue configurada correctamente desde el inicio.
Obviamente si no le detecta la licencia por eso trae el boton de refrescar, al refrescarla inmediatamente tomo.
  1. MySQL: Tampoco es normal que un VPS se entregue con errores básicos como la contraseña root mal configurada.
Tambien es un error que el mismo error se lo indicaba y lo cual webuzo tiene la opcion de reseter dicho password.

Por ende un admin basico de VPS lo soluciona de inmediato.

A lo cual ambas cosas mando ticket y ambas cosas se le fueron solucinadas.

Sobre el archivo eso esta bajo su control como antes indicado es usted quien crea la cuenta y seguridad de la misma no nosotros.
Hacer clic para expandir...

Gracias por su respuesta. Entiendo su postura, pero no puedo estar de acuerdo.

  1. Webuzo: Si bien 'refrescar la licencia' fue la solución, esto no debería ser necesario en un VPS recién entregado con una configuración que se supone lista.
  2. MySQL: Resetear la contraseña tampoco es un 'error mío', sino una configuración inicial básica que se esperaba funcional desde el inicio.
Sobre el archivo malicioso, reitero que subí una instalación limpia y oficial de WordPress sin intervención adicional. No tiene sentido que algo así ocurra en un servidor nuevo.

Agradezco la asistencia recibida, pero estos detalles básicos erosionan la confianza en el servicio. Prefiero cerrar el tema aquí.

Saludos.
 
Nefalem dijo:
Gracias por su respuesta. Entiendo su postura, pero no puedo estar de acuerdo.

  1. Webuzo: Si bien 'refrescar la licencia' fue la solución, esto no debería ser necesario en un VPS recién entregado con una configuración que se supone lista.
  2. MySQL: Resetear la contraseña tampoco es un 'error mío', sino una configuración inicial básica que se esperaba funcional desde el inicio.
Sobre el archivo malicioso, reitero que subí una instalación limpia y oficial de WordPress sin intervención adicional. No tiene sentido que algo así ocurra en un servidor nuevo.

Agradezco la asistencia recibida, pero estos detalles básicos erosionan la confianza en el servicio. Prefiero cerrar el tema aquí.

Saludos.
Hacer clic para expandir...
Se le entrego nuevo con todo nuevo instalado. si tiene un error como tubo tenia como administrador de vps las opciones de resolverlas a un click con el panel webuzo que tiene la opcion de refrescar la licencia, por esa razon lo tiene.
Sobre mysql si ve el error que le indicaba exactamente el error y webuzo tambien tiene el boton o opcion para resetearla por esa razon lo trae. si le da un error y tiene las opciones el panel para ser solucionado.

De igual manera pidio soporte sobre un vps no manejado y se le dio Asistencia.

Sobre archivo, como antes indicado es usted quien crea la cuenta asigna pass, instala wordpress agrega el usuario y pass y quien maneja la seguridad basica de la cuenta no nosotros.

Esta poniendo un post sobre algo que es usted quien tiene el control de un vps no manejado no nosotros. un vps no manejado nosotros somos responsables de salud del hardware y network.
 
Nefalem dijo:
Gracias por la sugerencia, pero el problema no fue por falta de conocimiento. Un VPS debe entregarse listo y sin errores básicos. Encontré otro proveedor VPS y ofrece protección extra con antivirus para malware incluido desde el inicio. Sé que tirar 130 dólares es complicado, pero prefiero proteger bien mis proyectos. Realmente perdí la confianza desde el principio. Saludos.
Hacer clic para expandir...
Lo único listo que vas a recibir de un servidor no administrado es un servidor en blanco sin ningún tipo de control panel y/o operating system instalado, los unmanaged servers dependen 100% del cliente y no el proveedor, pues al recibirlo, así sea que vengan con alguna distro instalada, el cliente es quien lo reinstala y le pone lo que le da su gana, no el provider. Una vez que bana te entrega los login details, debes revisar y actualizar tu servidor, si te lo entregaron con algo instalado o bien reinstalarlo de forma fresh, al ser un server no administrado, solo dependen de que el servidor este online sin downtime, que la red haga su función, y los recursos sean los adquiridos, esa es la única responsabilidad.

Por cuanto al Wordpress que instalaste, Wordpress actualmente tiene muchas vulnerabilidades que no han sido cerradas, me ha tocado vr instalaciones nuevas de 0 infectarse de forma instantánea asi como te toco y correspondió vivir, eso no es responsabilidad del proveedor de hosting tampoco, como unmanaged server eres responsable tanto de mantener actualizado el software instalado, como de implementar seguridad en el mismo de antivirus, no son obligaciones de Banahosting, no te han cobrado para eso xD lamentablemente.

Y no lo digo solo por Banahosting, sino por OVH, Hetzner y en general cualquier proveedor de server unamanged donde lo hayas adquirido, no son en lo absoluto responsables de nada relacionado con Software, te infectan, te jodes, así de sencillo, debes velar por eso, el hardware no se infecta, lo que se infecta es el Software, solo pasaste un mal momento al sufrir un XSS no solucionado por Wordpress.org.
 
Cierro tema a pedido del usuario
 
Estado

🔒 Este tema está cerrado para nuevas respuestas.

⏰ Solo el creador del tema puede solicitar la reapertura de sus propios temas, pero únicamente dentro de los 60 días previos a la última actualización.

Atrás
Arriba