Este artículo es el quinto de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Podéis leer el resto de la serie aquí.
¿Qué hacer en caso de ser infectado o atacado?
Si no estás seguro de si tu sitio fue infectado o no, una buena herramienta que puede verificar si eres una víctima o no es Sucuri SiteCheck. Este sitio puede escanear el tuyo o cualquier otro sitio que escojas y mostrará el estado del sitio. Si has sido infectado, aquí hay algunos pasos que puedes seguir para traer todo de vuelta a la normalidad.
– Retoma el control de tu sitio y contraseñas (FTP, WordPress, perfil del host, base de datos etc.)
– Haz un backup de la base de datos; sí, no importa si esta infectada, todavía hay información valiosa allí.
– Haz copias de todos los elementos que no estén en la base de datos como imágenes referenciadas.
– Descarga la versión estable más reciente de WordPress, también descarga los plugins que necesites y recuerda hacer tu deber (revisar que plugins de los que necesitas tienen fallos de seguridad y ve si fueron resueltos en nuevas versiones.)
– Descarga nuevamente los temas y revisa si usan plugins. Y revisa sus respectivos plugins.
– Una vez actualizado, reemplaza los archivos en el directorio de WordPress.
– Haz un actualización de la base de datos, esto podrá asegurar que la estructura de la base de datos soporte la nueva versión de WordPress.
– Si no lo has hecho hasta ahora, cambia el usuario, password y URL de acceso.
– Ahora viene la parte tediosa: Debes revisar todos las entradas y reparar cualquier daño en ellas, no sólo desde el dashboard, sino desde la base de datos. Para hacer eso, puedes usar SQL buscando, por ejemplo, la palabra display: en el contenido.
Otra cosa importante por hacer es encontrar los shells que crearon las puertas traseras de acceso a nuestro sitio. Hay una artículo en inglés que alentamos a leer, llamado How to find backdoor PHP shell scripts on a server.
Para aquellos que quieran seguir ensuciando sus manos con esto, aquí hay un script hecho en Perl que fue hecho para encontrar la mayoría de troyanos; no con el propósito de funcionar como antivirus, pero puede ayudar a encontrar archivos sospechosos. Lo único que hay que hacer es copiar el script a un archivo y guardarlo como un archivo ejecutable. Corre el script como usuario con permisos de lectura a los directorios.
./the_name_of_the_script [list of directories]
Cuando el script encuentra algo sospechoso, muestra algo como lo siguiente:
/var/www/malicious/.htaccess: Suspicious(RewriteRule): RewriteRule . /phpinf
El cual nombra el archivo, muestra porque es sospechoso (aquí se muestra “RewriteRule”), y un fragmento del archivo mostrando el patrón.
Script
Y en caso de no poder o no querer lidiar con ello
Es entendible que muchas de las personas que administran un sitio web en WordPress no tienen conocimientos técnicos, y han creado su sitio usando la opción de instalación en un click ofrecida ampliamente por los proveedores de hosting para poder empezar su sitio lo más rápido posible; y además, reparar un sitio infectado puede ser un trabajo especialmente duro si no se tiene el conocimiento; por lo que aquí se resume el proceso a seguir si ese es el caso.
– Retomar control del sitio: implica cambiar todos los passwords que manejemos (FTP, WordPress, perfil del host, base de datos etc) luego da de baja el sitio, eso es mucho mejor que dejar que envíe spam.
– No tocar nada, dejarlo a un profesional: en este punto donde las cosas necesitan ser recuperadas o borradas, es necesario saber lo que se está haciendo porque cualquier cosa que se haga mal puede destruir información vital. Hay personas que a pesar de recibir instrucciones bastante detalladas, simplemente no pueden seguirlas, y eso no es algo malo, la seguridad es un asunto bastante complejo y se necesita un trasfondo técnico bastante amplio para poder administrar un sistema sin problemas. Déjalo a un profesional si es necesario
– Prevenir: haz lo posible por poner en práctica al menos las observaciones más básicas hechas en este atículo. Toma algún tiempo para estudiar acerca de la materia; o de ser necesario, también deja el asunto de la prevención y monitoreo a un profesional.