X

Cómo detectar y limpiar malware en WordPress

Hoy en día la presencia de malware en WordPress es cada vez más usual. Es por ello que hemos decidido dedicar este post a hablar de métodos para poder no solo detectar malware en WordPress, sino también eliminarlo.

Antes que nada, es muy importante hacer, si es que ya no tenemos, una copia de seguridad, de esta manera nos aseguramos de que si modificamos algo que luego nos afecta de manera negativa, podemos recuperar el buen funcionamiento desde nuestro backup.

Cómo detectar y limpiar malware en WordPress

Una de las cosas más importantes que debemos hacer si sospechamos que contamos con vulnerabilidades es cambiar todas las contraseñas, tanto las de acceso a WordPress como la de cPanel en caso de tener, las de FTP, etc.

De este modo evitamos que el sitio sea nuevamente hackeado y/o vulnerado por ese medio, y así podemos comenzar apropiadamente con la detección y eliminación del contenido malicioso. También es importante, en el caso de contar con un plugin de caché, eliminarlo de modo que no quede rastro de los archivos maliciosos una vez los hayamos eliminado.

Detectando malware en WordPress

El primer paso para poder deshacernos del malware es conocer dónde se encuentra y por dónde vino. Para ello vamos a seguir varios pasos, y vamos a realizar escaneos exhaustivos en nuestro sitio, de modo que evitemos pasar por alto cualquier tipo de archivo malicioso. Por lo que el primer paso es el escaneo del sitio en general.

Escaneo de nuestra web

Para encontrar malware en WordPress vamos a instalar el plugin Sucuri Security. Una vez instalado, activado y generada la key que se necesita para que funcione correctamente, estamos en condiciones de hacer un escaneo en nuestro sitio.

Métodos de escaneo

Escanear con plugins:

  • Para poder escanear nuestro sitio con Sucuri Security debemos ir a la sección de «Sucuri Security» en nuestro menú y seleccionar «Malware Scan», allí presionamos el botón «Scan Website» y dejamos que el plugin haga su trabajo.Es muy importante tener en cuenta que si bien dicho plugin nos mostrará una lista de archivos maliciosos (en caso de encontrar alguno), es posible también que se muestren falsos positivos, por lo que tendremos que chequear cada uno nosotros mismos y evaluarlos por separado.

Escanear online:

  • En caso de que los plugins encuentren los archivos maliciosos, lo que podemos hacer es acudir a otras formas muy eficientes de detectar malware en Wordpress, como es el caso de sitios de escaneo online: Virustotal, Quttera, Google, Sucuri, etc. Y si tenemos activa la herramienta Webmaster de Google también podemos consultarla en la sección de «Problemas de Seguridad».

Otras formas de escaneo:

  • Otra forma de detectar rápidamente los archivos potencialmente peligrosos es acceder vía FTP y listar nuestros archivos por fecha de modificación, pues ya podemos imaginarnos que los que se han modificado últimos probablemente sean aquellos que tienen malware inyectado o que son en su totalidad maliciosos.
  • Vía FTP podemos descargar una carpeta entera, por ejemplo «wp-content», y escanearla con un antivirus de desktop. Incluso podemos descargarnos el directorio oficial de WordPress para poder comparar los archivos y saber más fácilmente cuáles son maliciosos.

Limpiando malware en WordPress

¿Y cómo hacemos esto? La respuesta en este caso puede variar dependiendo el tipo de hackeo, pero básicamente debemos borrar todos aquellos archivos que contengan código ilegible, sospechoso, o archivos que no corresponden a la instalación de WordPress, plugins, themes o que tampoco tú has agregado.

Otro detalle muy común en el malware son líneas que contienen las siguientes directivas: base64_decode y eval (y ojo nuevamente con los falsos positivos). Recuerda mirar cada archivo minuciosamente pues el código puede estar escondido en lugares inesperados, tal como en la primera línea o en la última, incluso a veces luego de una infinidad de espacios.

Chequear base de datos

Una vez que nuestros archivos están limpios debemos corroborar que nuestra base de datos esté limpia: primero accedemos a ella y chequeamos que no hayan usuarios desconocidos, ya que la mayoría de las veces cuando un sitio es hackeado, se agregan usuarios con privilegios de administrador. En caso de ser así, lo mejor es restaurar un backup anterior de la bd, ya que al modificar nuestra base de datos corremos el riesgo de arruinar todo nuestro sitio. Pero si queremos dejarla como está, o no poseemos otro backup, lo que debemos hacer como mínimo es eliminar todos los usuarios que no sean nuestros.


Como hemos visto existen diversas formas de detectar malware en WordPress, incluyendo plugins, escaneos online, revisiones vía FTP y escaneo desde el escritorio. El proceso de borrado en realidad resulta más sencillo, ya que basta con eliminar los archivos maliciosos detectados y limpiar los que tengan líneas inyectadas. Y recuerda tener el respaldo a mano en caso de que al borrar algo tu sitio deje de funcionar.

Artículos relacionados