No es ninguna sorpresa que el 43% de la web funcione con WordPress. Gracias a que es un software de código abierto, personas de todo el mundo colaboran a diario para mejorarlo. Además, dispone de una enorme biblioteca de plugins gratuitos y premium, de forma que cualquier persona, aunque tenga conocimientos limitados de desarrollo web, puede crear una web compleja de una forma sencilla.
Pero, como con cualquier otra cosa, es necesario tener un ojo siempre abierto para detectar ciberdelincuentes, que siempre intentan colarse por cualquier brecha de seguridad. Y una de las mayores amenazas es el malware.
Por eso es tan importante aprender a eliminar el malware de las webs de WordPress. Así, si detectas que tu sitio de WordPress está infectado, puedes actuar inmediatamente para limpiarlo y evitar que vuelva a ocurrir en el futuro.
En este artículo, vamos a hablar de la importancia de detectar y eliminar el malware en tu web de WordPress. También te ofreceremos una guía de cómo se hace, tanto con plugins como sin ellos. Además, te daremos algunos consejos para proteger tu web contra futuro malware y resolveremos algunas de las preguntas más frecuentes.
La importancia de detectar y eliminar el malware
El malware es un software diseñado para dañar o perjudicar un sistema informático. Puede presentarse en forma de virus, gusano, caballo de Troya o spyware. A pesar de las sólidas medidas de seguridad, las webs de WordPress también son vulnerables a los ataques de malware.
Existen muchas formas diferentes en que el malware puede introducirse en tu sitio de WordPress. El método más habitual es a través de plugins o temas maliciosos. Otras formas incluyen vulnerabilidades en el software principal de WordPress u otro software en tu servidor.
Una vez que el malware ha infectado un sitio de WordPress, la persona detrás del ataque puede causar mucho daño: eliminar archivos, inyectar enlaces de spam en tu contenido e incluso robar información confidencial como contraseñas y números de tarjetas de crédito. Este ataque no solo puede provocar tiempo de inactividad innecesario, sino que también puede dañar tu reputación y provocar pérdidas de ingresos.
Sin una herramienta de análisis de malware, quizás no te das cuenta inmediatamente de que tu web ha sido infectada. Y cuanto más tiempo pase sin detectar el malware, más daño puede causar. Aquí es donde entran en juego los mejores plugins de seguridad de WordPress. Detectan y eliminan amenazas antes de que puedan causar daños graves.
Cómo comprobar si hay infecciones de malware con un plugin gratuito
Si buscas una herramienta gratuita de alta calidad que monitorice tu web de WordPress en busca de malware, Jetpack Protect es una excelente opción. Analiza tu sitio automáticamente en busca de más de 28 700 vulnerabilidades y ofrece recomendaciones para proteger tu sitio de WordPress.
La configuración no es complicada y no hay terminología confusa. Solo tienes que activarlo y despreocuparte sabiendo que recibirás una alerta en el momento en que se encuentre malware o cualquier vulnerabilidad.
Es una buenísima opción si quieres proteger fácilmente tu web de WordPress. Si mejoras el plan del plugin Protect, se le añade Jetpack Scan, que sirve para aumentar la protección gracias a la detección y eliminación de malware con un solo clic, y, además, tu web estará protegida las 24 horas por nuestro cortafuegos de aplicaciones web (WAF).
Cómo eliminar malware de un sitio de WordPress infectado
Opción 1: Eliminar el malware de WordPress con un plugin
La forma más rápida y sencilla de detectar y eliminar malware de las webs de WordPress es utilizar un plugin. Afortunadamente, hay bastantes opciones entre las que elegir.
Nosotros recomendamos Jetpack Scan, que automatiza todo el proceso de eliminación de malware de WordPress, ahorrándote un tiempo y un esfuerzo significativos. Además, es muy fácil de configurar. Puede comprarse por separado, pero funciona mejor como parte del plan de seguridad de WordPress de Jetpack, que proporciona una cobertura integral. Ten en cuenta que potencia las funcionalidades incluidas en Jetpack Protect un paso más allá gracias a las reparaciones de malware con un solo clic y a nuestro cortafuegos de aplicaciones web (WAF).
Paso 1: Analiza tu web de WordPress en busca de malware
Primero, si aún no lo has hecho, instala el plugin Jetpack y compra Jetpack Scan. Una vez que la herramienta esté activada, analiza tu sitio de WordPress en busca de malware.
Para hacerlo, ve a Jetpack y haz clic en el botón Analizar.
Jetpack analizará tu sitio en busca de posibles amenazas de malware. Este proceso suele tardar solo un par de minutos.
Paso 2: Limpia el malware detectado (con un clic)
Lo ideal sería que no se detectara ningún malware y que el análisis mostrara el resultado «No se han encontrado vulnerabilidades».
Pero si se encuentra algún malware, verás una lista de problemas bajo Amenazas de malware encontradas. Para eliminar el malware, solo tienes que hacer clic en el botón Eliminar amenaza junto a cada una de ellas.
¡Y ya está! El plugin limpiará automáticamente el malware de WordPress por ti. Este proceso también suele tardar un par de minutos como máximo.
Paso 3: Elimina las advertencias de malware de tu sitio de WordPress
Si Google ha detectado malware en tu web, es probable que aparezca una advertencia para evitar que los visitantes intenten acceder a ella. Esto es un problema importante porque la mayoría de los visitantes potenciales no avanzarán más allá de este mensaje.
Así que, una vez que hayas identificado y eliminado el código malicioso de tu sitio, el último paso es eliminar estas advertencias. Si tu web ha sido marcada, puedes solicitar una revisión a Google y esperar la respuesta.
Es muy importante que no te saltes este paso. Échale un vistazo a nuestra guía sobre cómo eliminar tu sitio de WordPress de la lista negra de Google.
Opción 2: Eliminar el malware de WordPress sin plugins
Aunque por lo general es más rápido (y más fácil), realmente no es necesario usar un plugin para eliminar el malware. Hay algunas situaciones en las que un plugin puede no ser capaz de eliminar la amenaza, y en ese caso, es buena idea saber cómo se hace de forma manual.
Es importante tener en cuenta que este enfoque implica una serie de pasos y requiere una cantidad considerable de tiempo. Casi siempre es mejor usar un plugin de eliminación de malware, si es posible.
Paso 1: Pon tu sitio de WordPress en modo de mantenimiento
Lo primero que debes hacer es poner tu sitio en modo de mantenimiento. Este proceso oculta el contenido de tu web a los visitantes y muestra un mensaje que les indica que volverá a estar disponible pronto.
Puedes poner tu web en modo de mantenimiento utilizando un plugin como WP Maintenance Mode & Coming Soon.
Esta herramienta gratuita te permite activar fácilmente el modo de mantenimiento en tu sitio con unos pocos clics. Después de instalarlo y activarlo, ve a Ajustes → WP Maintenance Mode.
Ahora, selecciona el Estado → Activado. Cuando hayas terminado, haz clic en el botón Guardar ajustes en la parte inferior de la pantalla. Tu sitio ahora estará en modo de mantenimiento.
Paso 2: Crea una copia de seguridad completa de tu web de WordPress y de la base de datos
Tener una copia de seguridad de tu sitio de WordPress siempre es una buena idea. Puede ayudarte a recuperar tu web si algo sale mal o si borras algo por error.
Hay dos cosas que debes copiar: tu base de datos y tus archivos. La base de datos es donde se almacena tu contenido, los ajustes y la información de usuario. Tus archivos son todo lo demás, como los temas, plugins e imágenes.
La mejor manera de hacerlo es con un plugin de copia de seguridad de WordPress como Jetpack Backup. No solo proporciona una forma fácil de descargar tus archivos y la base de datos cuando tú quieras, sino que también realiza copias de seguridad automáticas de tu sitio en tiempo real. Así que, de ahora en adelante, cada uno de los cambios que hagas se guardará automáticamente.
Pero siempre puedes hacer una copia de tu sitio de WordPress manualmente utilizando herramientas de transferencia de archivos (FTP) y phpMyAdmin. Este método es más técnico y lleva más tiempo.
Paso 3: Identifica todo el malware de tu sitio
Una vez que hayas preparado tu web, el siguiente paso es identificar cualquier malware. Esto implica buscar en la base de datos, en los archivos y en el código fuente.
Una forma de hacerlo es utilizar una herramienta de análisis de malware como Malwarebytes.
Si prefieres identificar el malware manualmente, tendrás que revisar cada una de las áreas clave de tu web para buscar signos de infección. En la base de datos, puedes buscar algunas de las estructuras sintácticas más habituales de los ciberdelincuentes (échale un vistazo al paso 9 para ver algunos ejemplos de PHP malicioso).
Si estás analizando tu código fuente en busca de malware, hay dos tipos principales de atributos a tener en cuenta: script e iframe. Las líneas que comienzan con «script=>» o «iframe src=URL>» y contienen URL o nombres de archivo sospechosos suelen ser señales de alerta comunes.
Paso 4: Reemplaza todos los archivos principales de WordPress con una instalación limpia
Si tienes una instalación de WordPress corrupta, una de las mejores formas de limpiar una web hackeada es reemplazar todos los archivos principales de WordPress con un conjunto nuevo. Al hacerlo, solo conservarás tu archivo original wp-config.php y la carpeta wp-content.
Primero, descarga una copia nueva de WordPress desde WordPress.org.
Descomprímela y elimina el archivo wp-config.php y la carpeta wp-content. Estas son las únicas dos carpetas que debes eliminar; todo lo demás debe dejarse intacto.
A continuación, puedes utilizar un administrador de archivos o cliente FTP para subir los demás archivos a tu servidor. Este paso sobrescribirá tu instalación previa. Aprende a subir archivos en masa a través de un FTP.
Paso 5: Elimina cualquier código malicioso del archivo wp-config.php
También es buena idea comparar tu archivo wp-config.php con el original del Codex de WordPress. Con este paso podrás identificar y localizar más fácilmente cualquier cosa que se haya añadido (como código malicioso).
Desde el Codex de WordPress, descarga una copia nueva del archivo wp-config.php. Abre el archivo, así como tu archivo wp-config.php previo, en un editor de texto para compararlos. Puede haber una serie de razones legítimas por las que tu archivo sea diferente al original, especialmente cuando se trata de información sobre tu base de datos, pero dedícale un tiempo a buscar cualquier cosa sospechosa y eliminarla si es necesario. Cuando hayas terminado, guarda el archivo limpio y luego súbelo a tu servidor.
Paso 6: Vuelve a instalar una versión limpia de tu tema
Ahora toca volver a instalar una versión limpia de tu tema de WordPress. Pero si estás utilizando un tema hijo (una copia de un tema con las funciones y estilo del tema principal pero con algunas ediciones personalizadas), no querrás perder todo tu trabajo. Por lo tanto, tendrás que reinstalar una versión limpia de tu tema mientras mantienes intacto tu tema hijo.
Desde tu escritorio de WordPress, ve a Apariencia → Temas, y desactiva el tema principal. A continuación, ve a tu administrador de archivos o FTP y elimina la carpeta del tema principal.
Si estás utilizando un tema del repositorio de WordPress, ve allí, busca tu tema y descarga la última versión. Si estás utilizando un tema premium o una opción gratuita de otro lugar, tendrás que descargar los archivos de tu tema desde esa fuente. Desde tu escritorio, ve a Apariencia → Temas, y selecciona Añadir nuevo → Subir tema.
Selecciona el archivo comprimido que acabas de descargar. Después de subirlo, haz clic en el botón Activar.
Ahora puedes activar tu tema hijo. Tu sitio debería estar ejecutando la última versión del tema principal, con todas tus personalizaciones del tema hijo intactas.
Paso 7: Comprueba los archivos de código que hayan sido modificados recientemente y repáralos
El siguiente paso es revisar los archivos que han sido modificados recientemente. Para hacerlo de forma manual, puedes conectarte a tu sitio a través de un FTP o un administrador de archivos, y ordenar los archivos según la columna de fecha de última modificación:
Toma nota de los archivos que han sido modificados recientemente. Luego, revisa cada uno de ellos para analizar el código en busca de añadidos sospechosos. Podrían incluir funciones de PHP como str_rot13, gzuncompress o eval.
Paso 8: Limpia las tablas de la base de datos infectadas
Si tu web de WordPress ha sido infectada con malware, existe la posibilidad de que se haya creado contenido malicioso en las tablas de tu base de datos.
Para limpiar las tablas, inicia sesión en tu escritorio de phpMyAdmin (disponible en tu proveedor de alojamiento) y navega hasta la tabla de la base de datos que ha sido infectada con contenido malicioso para eliminarlo. Puedes localizar las tablas que se han visto afectadas utilizando una herramienta de análisis (como Jetpack) o comparando los archivos originales con los actuales.
Ten en cuenta que debes hacer una copia de seguridad de tu sitio primero. Puedes encontrar los archivos originales en copias de seguridad anteriores. Después, busca algunas de las funciones más utilizadas (más información en el siguiente paso), enlaces sospechosos, etc. Si encuentras algo, elimina manualmente ese contenido.
Guarda los cambios y prueba tu web para comprobar que todo sigue funcionando correctamente. Si no quieres modificar las tablas de la base de datos manualmente, también puedes utilizar una herramienta como WP-Optimize.
Aunque no es un plugin de eliminación de malware, puede limpiar y optimizar tu base de datos. Pero si prefieres utilizar un plugin para detectar y limpiar malware de WordPress, te recomendamos una solución especializada como Jetpack Scan.
Paso 9: Identifica y elimina puertas traseras ocultas
Cuando los hackers consiguen acceder a tu web, a veces dejan una «puerta trasera» oculta (una forma de poder volver a entrar). Esta área de entrada por lo general está insertada en archivos que tienen nombres similares a los archivos normales de WordPress, pero colocados en ubicaciones de directorio incorrectas.
Para identificar y eliminar puertas traseras ocultas de tu sitio de WordPress, tendrás que buscar en los archivos y carpetas más habituales, como wp-content/plugins, wp-content/uploads y wp-content/themes.
Cuando revises estos archivos, hay algunas funciones de PHP a las que debes prestar especial atención, como:
exec
system
assert
base64
str_rot13
gzuncompress
eval
stripslashes
preg_replace (con /e/)
Move_uploaded_file
Estas funciones no significan necesariamente actividad maliciosa. Pero la forma y el contexto en que se utilizan a veces pueden indicar y presentar riesgos.
Por ejemplo, el PHP malicioso, por lo general:
- Se encuentra inmediatamente antes o después de código válido, para que pueda ejecutarse sin ser detectado.
- Contiene cadenas largas de caracteres aleatorios (letras y/o números).
- Ha sido insertado recientemente en tu código.
- Contiene reinfectores (malware que se duplica si lo eliminas) como permisos 444 o carpetas de plugins falsas.
Al igual que con las tablas de la base de datos, recomendamos comparar tus archivos con los originales para saber si existe una razón legítima para que el código esté ahí.
Ten en cuenta que editar los archivos de WordPress puede romper funciones clave de tu sitio, por lo que lo mejor es hacerlo solo si tienes experiencia con ellos. Si no, te recomendamos usar un plugin como Jetpack Scan o contratar a un profesional.
Cómo proteger tu web de WordPress de futuros ataques de malware
Aprender cómo eliminar malware de los sitios de WordPress es increíblemente útil. Pero es muchísimo mejor saber cómo prevenir que el malware infecte tu web en primer lugar. ¡Estas son algunas cosas que puedes hacer!
1. Cambia tu contraseña de WordPress y las credenciales de la base de datos
Una de las cosas más importantes que puedes hacer para prevenir ataques de malware en tu sitio de WordPress es cambiar tu contraseña y las credenciales de la base de datos con frecuencia. Hacer esto puede dificultar mucho que los hackers accedan a tu web.
Para cambiar tu contraseña, inicia sesión en tu escritorio de WordPress y ve a Usuarios → Perfil.
Desde aquí, ve a la sección Gestión de la cuenta y selecciona Establecer nueva contraseña.
Cuando hayas terminado, haz clic en Actualizar perfil en la parte inferior de la pantalla. Una vez que hayas cambiado la contraseña, no olvides cerrar sesión en todas las sesiones activas de tu web. Esto incluye cualquier dispositivo o navegador que hayas utilizado para acceder a tu sitio de WordPress.
También debes cambiar a menudo las credenciales de tu base de datos de WordPress. Para ello tendrás que editar el archivo wp-config.php. Este archivo se encuentra en el directorio raíz de tu instalación de WordPress y se puede acceder a él a través de un FTP o el administrador de archivos.
Una vez que hayas abierto wp-config.php, busca las siguientes líneas:
// ** Configuración de MySQL - Esta información está disponible en tu proveedor de alojamiento web ** //
/** El nombre de la base de datos de WordPress */
define( 'DB_NAME', 'nombre_de_la_base_de_datos' );
/** Nombre de usuario de la base de datos de MySQL */
define( 'DB_USER', 'nombre_de_usuario' );
/** Contraseña de la base de datos de MySQL */
define( 'DB_PASSWORD', 'contraseña' );
/** Nombre de host de MySQL */
define( 'DB_HOST', 'localhost' );Actualiza los valores de DB_NAME, DB_USER y DB_PASSWORD con nuevos valores. Una vez hecho, guarda y cierra el archivo.
Para que los nuevos valores funcionen, tendrás que actualizarlos también en tu servidor para que coincidan. Para hacerlo, accede a tu cuenta de phpMyAdmin y navega hasta tu base de datos. A continuación, abre la tabla users y selecciona Editar.
Puedes actualizar las credenciales siempre que sea necesario. Cuando hayas terminado, haz clic en el botón Continuar.
2. Mantén actualizado tu sitio de WordPress, los temas y los plugins
El software desactualizado es una de las formas más comunes en que los hackers consiguen acceso a los sitios de WordPress. Así que, otra forma de prevenir ataques de malware es mantener tu sitio al día. Con este paso te aseguras de que tu web dispone de las últimas funciones de seguridad y parches.
Para actualizar el núcleo de WordPress, accede a tu escritorio y haz clic en Actualizaciones. Si hay una nueva versión de WordPress disponible, aparecerá un aviso en la parte superior de la pantalla.
Haz clic en el botón Actualizar para instalar la última versión.
Actualizar los plugins y temas es tan importante como actualizar WordPress en sí. La mayoría de los desarrolladores de plugins y temas lanzan actualizaciones de seguridad regularmente.
Para hacerlo, accede a tu web de WordPress y revisa la pestaña Actualizaciones. Si hay alguna actualización de plugins o temas disponible, aparecerá debajo de las actualizaciones principales de WordPress.
Selecciona el botón Actualizar plugins o Actualizar temas para instalar las últimas versiones. Si prefieres automatizar este proceso, puedes usar la función de actualizaciones automáticas de plugins de Jetpack. Sirve para instalar automáticamente las nuevas versiones de WordPress, plugins y temas en cuanto estén disponibles.
Para utilizar esta función, tendrás que instalar y activar el plugin Jetpack. Una vez conectado a tu cuenta de WordPress.com, ve a Jetpack → Ajustes → Escritura.
Ahora, desplázate hasta la sección Actualizaciones automáticas en la parte inferior de la página y selecciona qué tipos de actualizaciones quieres activar: Actualizaciones del núcleo de WordPress, Actualizaciones de plugins y/o Actualizaciones de temas.
Cuando hayas terminado, recuerda guardar los cambios. También puedes gestionar las actualizaciones en la página de Registro de actividad. Selecciona el botón Actualizar todo para actualizarlo todo de una vez.
3. Instala un plugin de análisis de malware automatizado para WordPress
También debes analizar frecuentemente tu web de WordPress en busca de malware con un plugin como Jetpack Scan. Jetpack Scan revisará tu sitio en busca de malware conocido y te enviará un correo electrónico si encuentra algo raro.
Cuando hayas descargado e instalado el plugin en tu sitio, puedes acceder a la herramienta de análisis de malware haciendo clic en Jetpack → Backup & Scan en el escritorio de WordPress. Allí, puedes ver el estado actual de tu sitio y realizar un nuevo análisis.
4. Instala un plugin de copias de seguridad automatizadas para WordPress
Para prevenir ataques de malware y gozar de una buena seguridad general en tu web de WordPress, te recomendamos instalar un plugin de copias de seguridad automatizadas como Jetpack Backup.
Jetpack Backup es el mejor plugin de copias de seguridad de WordPress porque guarda tu web en tiempo real. Si se hace algún cambio, como una página que se actualiza, una entrada que se publica, un producto que se compra, etc., el archivo de copia de seguridad más reciente reflejará dicho cambio. Además, se integra perfectamente con Jetpack Scan.
Si se encuentra malware en tu sitio, recibirás una notificación de Scan para informarte. Entonces podrás restaurar inmediatamente una copia de seguridad previa al hackeo, ¡incluso desde tu móvil! Y así te saltas todos los complicados pasos de eliminación de malware que hemos mencionado anteriormente.
Preguntas frecuentes sobre la eliminación de malware en WordPress
Y ahora que hemos llegado hasta aquí, esperamos que comprendas mucho mejor cómo funciona la detección y eliminación de malware de WordPress. Pero para asegurarnos de que no nos hemos dejado nada en el tintero, vamos a terminar con algunas preguntas frecuentes.
¿Cuáles son las señales de una infección de malware en WordPress?
Existen varios signos de que tu web de WordPress ha sido infectada con malware. En primer lugar, puede que notes que tu sitio carga más despacio o que aparecen mensajes de error.
En segundo lugar, también pueden aparecer nuevos usuarios o archivos en tu sitio que tú no has añadido. Y por último, es posible que descubras que tu web está en la lista negra de Google o que está siendo bloqueada por el software antivirus de tus visitantes.
¿Cómo se suele infectar una web de WordPress con malware?
Existen varias formas en las que el malware puede infectar un sitio de WordPress. Primero, puede conseguir entrar a través de una vulnerabilidad en un plugin o tema de WordPress.
También puede pasar que un hacker que haya conseguir acceder a tu web a través de una contraseña insegura u otros métodos lo suba directamente.
¿Puedo eliminar el malware de WordPress por mi cuenta?
Siempre tienes la opción de contratar a una empresa externa para eliminar el malware de tu web, pero suele ser bastante caro. En vez de eso, puedes identificar y eliminar el malware de WordPress con un plugin como Jetpack Protect: es una solución sencilla, rápida y fiable.
Si eres un desarrollador con experiencia, sí, puedes eliminar manualmente el malware de WordPress. Es un proceso un poco tedioso que puede causar errores importantes en tu web. Procede con precaución si eliges esta opción.
Fortalece la seguridad de tu web de WordPress
WordPress es un CMS potente y flexible, pero, como es tan popular, a veces los hackers les echan el ojo a los sitios que lo utilizan. Uno de los riesgos más importantes a los que se enfrentan las webs de WordPress es el malware.
Como hemos explicado en este artículo, existen varios métodos para detectar y eliminar malware en WordPress. La solución más fácil y rápida es utilizar un plugin como Jetpack. Pero también puedes eliminar el malware de forma manual. Además, te recomendamos actualizar con frecuencia el software de WordPress y crear copias de seguridad para prevenir problemas en el futuro.
¿Buscas una forma fiable y sin complicaciones de monitorizar automáticamente tu web en busca de malware y vulnerabilidades? Prueba el plugin gratuito Jetpack Protect.
¿Quieres eliminar el malware con un solo clic y disfrutar de una biblioteca repleta de otras funciones de seguridad, como las copias de seguridad? ¡Hazte con Jetpack Security!
Jetpack por WordPress.com 