¿Cómo eliminar virus y malware en WordPress?

eliminar-virus-y-malware-en-WordPress
    
  
eliminar-virus-y-malware-en-WordPress

Según datos de WNPOWER actualizados a fecha de 2024, de todos los sitios webs que usan un CMS a nivel mundial el 62.5% están construidos usando WordPress. Esto hace un jugoso mercado de 478 millones de webs a las que atacar en caso de que ocurra algún bug de seguridad en el propio WordPress o en alguno de los más de 70000 plugins disponibles que agregan una ingente cantidad de funcionalidades extra, pero que también son una puerta abierta más para virus, malware o cualquier tipo de código malicioso.

No siempre un sitio hackeado tendrá muestras visibles de ello. A veces, el código malicioso se queda latente a la espera de un momento o una acción concreta del usuario para actuar, pero, normalmente podemos identificar un sitio infectado porque la web se encuentra esteticamente desfigurada, redirecciona a otras webs maliciosas, Google muestra una advertencia de bloqueo o, en el mejor de los casos, muestra una pantalla blanca sin contenido.

Explorador-de-ficheros

Si han hackeado tu sitio de WordPress, vamos a decirte desde NeoAttack las medidas adecuadas para recuperarlo lo antes posible, ya que esto impactará negativamente no solo en tus usuarios presentes sino también, en caso de no solucionarse de forma rápida, en tu posicionamiento orgánico y tus campañas.

Además, también te hablaremos de algunos de los mejores plugins de seguridad entre los que puedes elegir para que, si no estás infectado en este momento, sea un poco más difícil que te infectes en el futuro.

Cómo eliminar manualmente el malware de WordPress

Recuperar un sitio WordPress hackeado es posible en el 99% de los casos. Eso sí, el proceso requiere conocimientos técnicos sobre mantenimiento de sitios web o, en el mejor de los casos, haber tomado ciertas medidas de seguridad previas, como backups periódicos.

A continuación, vamos a explicarte en un primer momento algunas medidas manuales que puedes tomar, luego te recomendamos algunos plugins para eliminar malware o prevenir que lleguen a infectarte y, en última instancia, te aconsejamos que, si todo este proceso te parece complicado o prefieres delegarlo, nosotros estamos disponibles siempre para hacerlo.

Acciones manuales que podemos llevar a cabo para limpiar un sitio de WordPress ya hackeado

Si quieres entender cómo eliminar un virus de WordPress, debes saber que el primer paso que te recomendamos, antes de pensar en eliminar ningún archivo, es bloquear el acceso a tu sitio WordPress. ¿Por qué? Para no propagar ningún malware a nadie que entre en tu web y, por supuesto, evitar que Google u otros buscadores o antivirus te marquen como sitio no seguro.

De este modo, estos son los pasos a seguir:

1. Restringir el acceso a tu sitio web

Si te han hackeado es muy probable que, de forma permanente o puntual, las visitas de tu web sean redireccionadas a sitios de dudosa reputación. Esto podría llevar a una filtración de datos personales de tus visitas u otros sucesos.

Para evitar esta propagación y mantener a nuestras visitas a salvo, vamos a bloquear el acceso a nuestra web a través del archivo .htaccess. Hay muchas maneras de hacer esto: si tienes acceso FTP a través de un cliente como Filezilla (el cual te recomendamos) puedes hacerlo como te mostramos. También podrías usar el Administrador de archivos que te ofrezca tu hosting, en el caso de estar alojado con nosotros lo encontrarás en la parte izquierda de tu panel, en la pestaña FTP.

eliminar-malware-wordpress

Desplazándote un poco más abajo, encontrarás las diferentes cuentas FTP y la opción de “Explorador de ficheros”.

Abrimos el archivo .htaccess que encontraremos en la raíz de nuestra instalación e insertamos el siguiente código:

order allow,deny

deny from all

allow from [tu_dirección_IP]

[tu_dirección_IP] será nuestra IP. Si no la conocemos, podemos encontrarla en páginas como https://www.cual-es-mi-ip.net/

NeoTip: Si no dispones de una IP estática y esta cambia, perderás el acceso a tu propia web hasta que no dispongas nuevamente la IP actual, así que asegúrate de hacer los pasos en el mismo momento o de actualizar este archivo periódicamente.

2. Copias de seguridad

Aquí vamos a analizar qué opciones tenemos:

Si dispones de una copia de seguridad de días anteriores que esté actualizada y no infectada sería el momento ideal de cargarla. Todos los hostings de calidad incluyen 1 copia de seguridad cada X días, ponte en contacto o vuélcala tu mismo en caso de que tengas acceso.

Si no dispones de una copia de seguridad reciente, pero sí de una algo más antigua, vamos a hacer otro procedimiento: comparar archivos infectados actuales con archivos no infectados antiguos. De esta manera, vamos a comparar cadenas de texto que se hayan insertado maliciosamente en nuestros archivos infectados para poder eliminarlas.

De este modo, el primer paso sería hacer una copia de seguridad de nuestra instalación actual. Dependiendo de tu hosting, el procedimiento será diferente.

Nuevamente, en caso de usar nuestro hosting, podrás encontrarla en la pestaña Backups:

solucionar-virus-wordpress

En cualquier caso siempre existe la posibilidad de descargar completamente el sitio por FTP si no dispones de ninguna herramienta en el hosting.

Una vez tengamos la copia de seguridad actual de nuestro sitio infectado y la copia antigua no infectada podremos comparar ambas instalaciones con el propio gestor de FTP Filezilla o también con herramientas como Beyon Compare

Presta especial atención a los archivos Javascript (.js) y PHP (.php), que es donde habitualmente se encuentran los malwares.

Otra opción, en caso de haber accedido por SSH, es usar el comando diff para comparar la copia limpia con la infectada

 

diff -r instalacion-wordpress-limpia/ instalacion-wordpress-infectada/ -x wp-content

3. Actualiza todas las contraseñas y claves de acceso

A veces los ataques no se cometen por una vulnerabilidad de tu sitio, sino directamente probando de forma masivas cientos de miles o millones de contraseñas posibles hasta que dan con la que tienes. Esto se conoce como un ataque de fuerza bruta.

Si este es el caso, te recomendamos no solo cambiar las contraseñas de todos los servicios que tengas en este momento, sino, además, que lo hagas cada X tiempo para minimizar el riesgo.

Intenta usar contraseñas seguras que sean difíciles de adivinar incluso en un ataque de fuerza bruta, para ello puedes ayudarte de muchas opciones, como Malwarebytes o el ampliamente conocido LastPass.

No olvides no solo cambiar la contraseña de tu WordPress sino, muy especialmente las de:

  • Cuenta de hosting
  • Cuentas FTP
  • Cuentas SSH
  • WP Salts

Prestaremos un momento atención a este último punto porque es un gran olvidado.

Este dato lo encontrarás en wp-config.php de tu instalación de WordPress, verás algo como esto ( con tus claves correspondientes )

define(‘AUTH_KEY’,         ‘…’);

define(‘SECURE_AUTH_KEY’,  ‘…’);

define(‘LOGGED_IN_KEY’,    ‘…’);

define(‘NONCE_KEY’,        ‘…’);

define(‘AUTH_SALT’,        ‘…’);

define(‘SECURE_AUTH_SALT’, ‘…’);

define(‘LOGGED_IN_SALT’,   ‘…’);

define(‘NONCE_SALT’,       ‘…’);

Accediendo al generador oficial de WordPress podrás cambiarlas

Simplemente copia y pega.

4. Actualiza WordPress

El 39,3% de los sitios de WordPress que han sido hackeados utilizan una versión desactualizada. Mantener tu WordPress actualizado es clave para eliminar las vulnerabilidades que los hackers podrían aprovechar para atacar tu sitio.

Aquí tienes una lista de elementos que debes mantener al día:

  1. 1. Versión de WordPress: Asegúrate de actualizar WordPress a su versión más reciente desde la sección de Actualizaciones en el panel de administración.
  2. 2. Temas y plugins: Verifica las actualizaciones disponibles para temas y plugins en la sección de Actualizaciones. Además, elimina aquellos que no estés utilizando para minimizar riesgos de seguridad.
  3. 3. Versión de PHP: Si eres usuario de nuestro hosting, puedes actualizar la versión de PHP de tu sitio desde la opción PHP del menú y elegir la versión a usar, recuerda comprobar que tanto tu wordpress, como los plugins y el theme que estés usando sea compatibles antes de hacer esto.

plugins-wordpress-virus

5. No olvides mantenerte a salvo analizando tu PC con un software antivirus

Si tienes Windows 10/11 de forma predeterminada tendrás un antivirus con una tasa de acierto bastante buena. Aun así, te recomendamos usar opciones extra de seguridad, como NordVPN, o antivirus que amplíen la seguridad por defecto como Bitdefender o ESET.

Los mejores plugins para eliminar malware de WordPress ó prevenir que te infecten

Con los pasos manuales anteriores podrás resolver un número importante de problemas. Aun así, es bastante tedioso de abordar manualmente y por ello en muchos casos lo mejor es la prevención que los plugins que te vamos a mostrar a continuación pueden darte. Algunos de ellos incluso hacen algunas de las funciones que te comentamos manualmente, como la comparación de archivos.

A continuación te mostramos los que a nuestro criterio son los mejores plugins de seguridad de WordPress actualmente:

WordFence Security

antivirus-wordpress

El escáner de malware de WordFence Security para WordPress hace que sea sencillo eliminar software malicioso de tu sitio. Además, este plugin ofrece una opción para programar análisis de seguridad automáticos (opción de pago), lo que garantiza la protección de tu página sin necesidad de dedicarle demasiado tiempo.

WordFence también incluye un firewall de aplicaciones web, una herramienta clave para la seguridad de tu sitio, que bloquea el tráfico malintencionado y previene ataques de fuerza bruta. Este firewall trabaja en conjunto con el escáner de malware para detener solicitudes que contengan scripts dañinos.

Asimismo, el plugin incorpora funciones avanzadas de seguridad en los inicios de sesión, como la autenticación en dos pasos y la protección con reCAPTCHA. También tiene la capacidad de bloquear accesos realizados con contraseñas que han sido previamente comprometidas.

Con la versión Premium de WordFence, que cuesta entre 149 y 1250 dólares anuales (en euros actualmente un poco menos), obtendrás beneficios como una lista de bloqueo de IP en tiempo real y la posibilidad de bloquear accesos desde países específicos. Esto ayuda a detener solicitudes provenientes de IP maliciosas o ubicaciones geográficas no deseadas.

Entre las características exclusivas de la versión Premium destacan las actualizaciones en tiempo real de firmas de malware, la investigación y eliminación de amenazas, la recuperación de listas de bloqueo tras incidentes, y la limpieza de problemas que puedan afectar la visibilidad en motores de búsqueda.

Solid Security – Password, Two Factor Authentication, and Brute Force Protection

solucionar-malware-wordpress

SolidWP es otro de los plugins “todo en uno”, entre sus múltiples funciones encontrarás :

  • Refuerzo de la seguridad de inicio de sesión

Fortalece la autenticación de inicio de sesión de los usuarios. Requiere contraseñas seguras y habilita la autenticación de dos factores, claves de acceso o enlaces mágicos.

  • Escaneo de vulnerabilidades

Realiza escaneos programados para identificar software vulnerable, una de las funciones más interesantes de este plugin, aunque no exclusiva. Actualiza automáticamente los plugins comprometidos cuando haya parches disponibles.

  • Detención de ataques de fuerza bruta

Bloquea a los usuarios maliciosos identificados por su Red de Protección contra Fuerza Bruta. Crea tu propia lista negra de bloqueo.

Si te interesan los plugins para WordPress, aprovechamos para recomendar este artículo con los 40 mejores plugins de WordPress del 2024.

Opción sin plugins para eliminar virus en WordPress: Escaneo desde el hosting

Al margen de estos 2 plugins que te comentamos anteriormente, en nuestro hosting (y es algo que muchas encontramos en otros servidores con más o menos frecuencia) dispones de otra opción sin tener que instalar plugins y por tanto tener que soportar esa carga en tu sitio que encontrarás en el panel en la pestaña Seguridad – Antivirus Web.

escanear-virus-wordpress

Desde aquí podrás escanear íntegramente la instalación de WordPress muy rápidamente y te informará de cualquier archivo anomalo que encuentre.

Advertencia – Eliminar tu sitio web de las listas de bloqueo de URLs

Lo hayas hecho de forma manual o con plugins, y una vez comprobada que la web está limpia, deberías comprobar si Google te ha aplicado alguna acción manual.

Para esto, accede a tu Google Search Console y desde ahí, en la pestaña Seguridad y acciones manuales -> Problemas de seguridad, selecciona He solucionado estos problemas -> Solicitar una revisión para que Google revise y vuelva a indexar tu sitio de WordPress.

Ten en cuenta que está acción no es inmediata; Google tardará unos días en procesar la solicitud.

Prevén las consecuencias de un virus en WordPress

Para finalizar este artículo sobre cómo eliminar virus y malware en WordPress, solo queremos recomendarte que, te hayas infectado ya o no, uses por defecto un plugin, cualquiera de los que te hemos comentado es una buena opción. Además, merece la pena pagar las versiones premium para tener escaneos periódicos y base de datos actualizadas.

De todas formas, ya lo sabes: si toda esta información se escapa de tus conocimientos técnicos o quieres delegarlo en profesionales que saben bien lo que hacen, nuestro equipo de mantenimiento web está siempre encantado de poder ayudar.

Suscríbete a nuestra newsletter

Sé el primero en conocer las últimas novedades de marketing

¿Quieres ser mejor que tu competencia?

Otros post que podrían interesarte

Contacto

Si quieres saber cómo trabajamos o quieres más información sobre el método CMI, mandános un email o llama al teléfono de abajo.