PDF de programación - Pasos que debemos seguir cuando nos han hackeado nuestro WordPress

HostaliaWhitepapers

Pasos que debemos seguir
cuando nos han hackeado
nuestro WordPress



Teléfono: 900 103 253
www.hostalia.com

WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

WordPress se ha convertido en el CMS más utilizado hoy en día a la hora de crear páginas web. La gran
cantidad de plantillas desarrollas por terceras personas o las innumerables funcionalidades que se pueden
añadir por medio de plugins, han ayudado a que esta herramienta sea conocida en todo el mundo. Pero
como suele ser habitual, la fama también ha llamado la atención de los hackers, que dedican parte de su
tiempo a buscar cualquier vulnerabilidad que puedan utilizar para llevar a cabo sus fechorías. Si alguna vez
vuestro sitio es hackeado, no os preocupéis porque se puede solucionar el problema. Es precisamente esto
lo que os vamos a explicar a lo largo de este documento.



Consideraciones previas
Antes de meternos en materia y ver cómo podemos solucionar un hackeo, sería bueno comentar algo que
todo el mundo sabe pero que no siempre se lleva a cabo. Lo más importante de todo es prevenir antes que
lamentar, y para ello es crucial contar con una instalación de WordPress actualizada siempre a la última
versión, ya que la gran comunidad que trabaja para mantener este CMS va continuamente continuamente
versiones nuevas, que además de añadir funcionalidades, solucionan problemas de seguridad detectados
en el código.

Cuando hablamos de actualización, no sólo nos referimos al CMS, sino también a todos los plugins que
utilizamos en nuestra web, ya que contar con versiones antiguas, aumenta el riesgo de sufrir algún tipo de
ataque.

Además de lo comentado anteriormente, es muy importante que también llevemos a cabo algún tipo de
tareas de backups, para que en caso de sufrir algún tipo de ataque, nos sea más fácil solucionar el
problema. Normalmente los proveedores de alojamiento web ofrecen este tipo de servicio, por lo que sería
interesante que os informarais para disfrutar de mayor seguridad.



Cambiar todas las contraseñas de acceso
Si hemos sido víctimas de un ataque, hay probabilidades de que los atacantes hayan sido capaces de
conseguir nuestras contraseñas, por lo que el primer paso que deberemos hacer será el de cambiar las
claves tanto del FTP como de la base de datos, así como las de acceso a la administración de nuestro portal.

a) Cambio claves FTP

Empezaremos explicando cómo realizar el cambio del FTP de nuestro dominio en un alojamiento con
Hostalia. Para ello, una vez que hayamos accedido a nuestro panel de control mediante la dirección
https://panel.hostalia.com, en el menú de la izquierda pulsaremos en la opción que pone "Alojamiento
Web".



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

A continuación pulsaremos sobre el botón "Acceso al hosting".



Eso nos llevará a una nueva pestaña desde donde podremos gestionar todo lo relativo a nuestro
alojamiento contratado. Una vez ahí, para cambiar la clave del FTP, pulsaremos en "Acceso FTP".



En la siguiente pantalla, pulsaremos sobre el botón "Editar" que nos permitirá modificar los datos de
nuestra cuenta FTP.



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Si nos fijamos, cuando hayamos pulsado sobre ese botón, podremos cambiar el usuario de nuestra cuenta
FTP, pero para cambiar la contraseña, deberemos marcar el checkbox donde pone "Cambiar contraseña".



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Seleccionada esa opción, ya nos aparecerán los campos para introducir nuestra nueva contraseña.

El paso final, será pulsar sobre el botón "Enviar" para que se guarden los cambios.

b) Cambiar contraseña de la base de datos

Cambiada la clave del FTP, ahora será el turno de hacer lo mismo con nuestra base de datos. Para ello, una
vez estemos en el panel de control de nuestro servidor, pulsaremos sobre la opción "Otros servicios" que
aparece en el menú superior.



Pulsaremos sobre el icono "Bases de datos".



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

En la siguiente pantalla, nos aparecerán todas las bases de datos que tengamos dadas de alta. Pulsaremos
sobre la que queremos hacer el cambio.



Seleccionaremos la opción "Usuarios" del menú superior.



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

A continuación tendremos que pulsar sobre el nombre del usuario del queremos hacer el cambio de
contraseña.

Pulsaremos en el botón "Editar".



Es entonces cuando nos aparecerá la opción de cambiar la contraseña para la base de datos.



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Una vez que se pulsara sobre el botón "Enviar", la contraseña quedaría cambiada.

Al hacer todos estos pasos, es muy importante modificar el fichero “wp-config.php” de nuestro WordPress
para indicar ahí la nueva clave que le hemos puesto en la base de datos.

c) Cambiar contraseña acceso al panel de administración de WordPress

Para proceder a cambiar la clave de nuestro usuario de acceso al panel de administración de WordPress,
deberemos entrar en él y pulsar sobre la opción de "Usuarios" en el menú lateral.

En el listado de usuarios que nos aparecerá, pulsaremos sobre el que queremos editar.



Una vez que se ha cargado la página, bajaremos la pantalla hacia abajo y pulsaremos en el botón "Generar
contraseña".



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Escribiremos la que queramos y pulsaremos en el botón "Actualizar Perfil".



Eliminar todos los archivos sospechosos de WordPress
Si no tienes mucha experiencia con WordPress, es muy probable que no puedas reconocer los archivos
habituales de este CMS, pero siempre puedes descargar su última versión y echar un vistazo a los archivos
que forman parte del proyecto. Una vez familiarizado, puedes acceder a la instalación para intentar
detectar esos archivos sospechosos.

Si aun así este proceso de localización de posibles archivos sospechosos te es muy complejo, te
explicaremos un método alternativo y que consiste en sustituir todos los archivos que forman parte del
WordPress.

Para llevar a cabo esta tarea, nosotros recomendamos que primero actualicéis la versión del CMS a la
última versión estable disponible. Para ello, lo podéis hacer desde la administración de nuestra web.



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Una vez que esté actualizada, nos descargaremos la última versión de WordPress desde su sitio oficial en
nuestro equipo. Cuando lo tengamos descargado, lo descomprimiremos encontrándonos una estructura de
carpetas y archivos como la que os mostramos en la siguiente imagen.

Lo siguiente que haremos, será conectarnos vía FTP a nuestro sitio y eliminar todos los archivos que forman
parte de la web excepto la carpeta "wp-content" y los archivos ".htaccess" y "wp-config.php".



Una vez que hayan sido borrados, subiremos todos los archivos de la versión de WordPress que nos
hayamos descargado de su sitio oficial.



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Asegurarse que los plugins estén limpios
Una vez que hemos llevado a cabo el proceso anterior, será hora de investigar si algún plugin también ha
podido ser infectado con código malicioso. Como revisar todos los archivos puede ser una tarea muy
tediosa, más aún si utilizamos un gran número de estos, nuestra recomendación es que se sustituyan los
que utilicemos por descargas completamente limpias. Para esto, al igual que hemos hecho en el caso
anterior, es recomendable actualizar aquellos plugins que no estén actualizados.

Para saber si tenemos plugins sin actualizar, lo que haremos será entrar en el panel de administración de
WordPress y en el menú de la izquierda, pulsar sobre la opción "Plugins".

Sabremos que tenemos plugins sin actualizar porque nos aparecerá una opción que pondrá "Actualización
disponible" en la parte superior del listado de plugins.



Si pulsamos sobre esa opción, nos aparecerá el listado de plugins que podemos actualizar. Sólo tendremos
que seleccionarlos y en el menú de acciones por lote, elegir la opción de "Actualizar".



WHITEPAPERS: Pasos que debemos seguir cuando han hackeado nuestro WordPress

HostaliaWhitepapers

Por último, pulsaremos el botón "Aplicar" para que se inicie el proceso.

Con esto no nos garantizamos que los plugins se hayan quedado limpios de código malicioso por eso,
recomendamos que se borren todos y se vuelvan a subir vía FTP. Para ello, accederemos a la ruta "wp-
content/plugins" desde dentro de nuestra cuenta FTP.



Cada una de esas carpetas, corresponde a un plugin instalado. Lo que haremos será descargarnos desde el
sitio oficial esos plugins y una vez que vayamos eliminando esas carpetas desde el FTP, iremos subiendo las
nuevas que nos hayamos descargado.

Si la eliminación de estos plugins lo hiciéramos desde el propio panel de administración de WordPress,
primero habría que desactivarlos y luego borrarlos, lo que conllevaría a que se perdiera también la
configuración de los plu