WordPress Hackeado? Mantenga la calma: ¡esto es lo que debe hacer ahora!
¡Choque! Su sitio web de WordPress fue pirateado. Aparece una nueva página de destino que dice «WordPress Hacked by XYZ» o cosas más desagradables. Comienzas a sudar y te sientes cerca de desmayarte. Tu corazón toca tambores en tu pecho. No puedes pensar con claridad y no sabes qué hacer. ¿Entiendo? Ahora cálmate. No es tan difícil limpiar un sitio web de WordPress pirateado y volver a la normalidad. Te mostraremos cómo hacerlo en este artículo.
Primero: respira hondo y no entres en pánico. No es el fin del mundo y no eres el único con un sitio pirateado. Le pasó a mucha gente, incluyéndome a mí. Es por eso que sé cómo lidiar con eso 😉 Y ahora compartiré mi conocimiento y te mostraré cómo resolver este problema. Ciertamente, la forma más fácil es recuperar el sitio web desde una copia de seguridad anterior. Te ocupaste de una solución de respaldo, ¿verdad? Si es así, no es un problema en absoluto. Simplemente restaure una copia de seguridad anterior de una época en la que su sitio web no fue pirateado. Cambie todas las contraseñas, use autenticación de 2 factores y su problema es historia. Si no tienes una copia de seguridad, sigue leyendo. Abordaremos el problema paso a paso.
WordPress Hackeado? No es tan malo como parece. Siga la siguiente guía
1 – Revise su computadora en busca de troyanos
El primer paso puede sonar profano, pero es muy importante, no obstante. Un troyano en su computadora podría ser la razón por la cual el intruso pudo encontrar la contraseña de su sitio web. Escanee su computadora con un programa antivirus cargado con las definiciones de virus más recientes. Cuando no se encontró nada, estás bien. Todavía revisa la computadora una vez más con el Disco de rescate de Kaspersky. Puede continuar con el siguiente paso si tampoco encuentra nada.
2 – Asegúrese de que su sitio web ya no sea de acceso público
Este paso es muy importante ya que su sitio web podría haber comenzado a propagar malware después de ser pirateado y, por lo tanto, podría estar en proceso de ser eliminado del índice de Google (u otros motores de búsqueda, jeje). La forma más rápida de cerrar su sitio web del público es la instalación del complemento llamado «Modo de mantenimiento». Si aún puede iniciar sesión en su WordPress, instale el complemento »Mantenimiento rápido de WP« y activarlo. Ahora abra la configuración del complemento y active el modo de mantenimiento allí. A partir de ese momento, cada visitante solo verá la página de mantenimiento. Si ya no tiene acceso al inicio de sesión de administrador, restablezca su contraseña. Aquí hay una buena guía para restablecer su contraseña..
3 – Cambiar todas las contraseñas
Cambie inmediatamente todas las contraseñas. Debe comenzar con las contraseñas en su computadora. Si aún no tienes ninguno para eso, consíguelos. Nadie más debería tener acceso a su computadora. Si aún puede iniciar sesión en WordPress, cambie las contraseñas de todas las cuentas. Un bastante sólido y sencillo generador para guardar contraseñasse puede encontrar aquí. Además, debe cambiar las contraseñas del acceso (S)FTP y la base de datos de WordPress, así como la contraseña maestra y la contraseña de su proveedor de alojamiento web.
4 – Obtenga una copia de seguridad de todos los archivos de WordPress y la base de datos
Inicie sesión en su servidor o paquete de alojamiento web a través de (S)FTP y descargue todos los archivos de WordPress en su escritorio. Presta mucha atención a la carpeta «cargas«. Este definitivamente debe guardarse ya que contiene todos los archivos e imágenes cargados. Puede encontrarlo en »wp-content => cargas«. Descargue esta carpeta en su escritorio por separado porque la necesitará más adelante. Ahora cree una copia de seguridad de su base de datos. Para hacerlo, inicie sesión en la interfaz de administración de su servidor web y elija «phpMyAmin» o cualquier herramienta que le proporcione su servidor. A continuación, elija su base de datos y haga clic en «exportar». Exporte la base de datos como «SQL» y, si es posible, como un archivo .ZIP. No olvide guardar también el archivo importante ».htaccess«. Este archivo también será necesario más adelante ya que WordPress no funciona correctamente sin él. Si está utilizando una Mac en lugar de una PC, deberá activar la visualización de datos ocultos, ya que todos los archivos con un punto antes del nombre del archivo son archivos ocultos del sistema para Max OS X y, por lo tanto, como sugiere el nombre, están ocultos de vista.
5 – Vuelva a descargar todos los complementos y temas
Descargue todos los complementos usados recién salidos de WordPress.org o de la empresa a la que los compró. Obtenga también la versión más reciente del tema de WordPress que está utilizando. Los complementos y temas son muy populares para colocar malware y puertas traseras. Para limpiar completamente el sitio web, deberá descargar todos los temas y complementos nuevamente, ya que se garantiza que las copias del repositorio estarán absolutamente limpias.
6 – Comprobar datos y carpetas importantes
Buscar los archivos »wp-config.php» y «.htaccess« en la copia de seguridad y revísalos. El »wp-content.php« no debe contener mucho más que los datos de acceso a su base de datos de WordPress y las cosas que contiene cada versión nueva de un archivo, como las «Claves y sales únicas de autenticación»; es decir, las claves de seguridad. Si no estás seguro de cómo se ve la versión original del archivo, puede encontrarla aquí. Luego, verifique los datos de ».htaccess« para ver si hay cosas que no pertenecen allí. Si no está seguro, simplemente elimine el contenido del archivo. En el códice de WordPress, puede encontrar el contenido de un archivo .htaccess estándar. Copie el código en el archivo que limpió y guárdelo. Ambos archivos son necesarios para la recuperación de su sitio web.
7 – Revisa la Carpeta »subidas«
La carpeta «cargas« es crucial para el éxito de la recuperación, ya que contiene todos los datos cargados, sobre todo todas sus imágenes. Abra la carpeta y busque en ella y sus subcarpetas .PHParchivos Si encuentra alguno, bórrelo todo. En la mayoría de los casos, no pertenecen allí. Si un complemento en la carpeta necesita un archivo PHP, lo recreará automáticamente más tarde.
8 – Eliminar todos los datos del servidor
Inicie sesión en su servidor web o en su paquete de alojamiento web a través del acceso (S)FTP y elimine todos los datos de su instalación de WordPress. Eliminar TODOS los datos. No dejes nada. En realidad. Avanzar. ¡Hazlo!
9 – Cargue un paquete nuevo de WordPress y archivos importantes
Obtenga una nueva versión de WordPress de WordPress.org y cárguela en su servidor o paquete de alojamiento web a través del acceso (S)FTP. También debe distribuir nuevamente la clave de seguridad en el archivo »wp-content.php«, el generador «https://api.wordpress.org/secret-key/1.1/salt/» le ayuda con eso. Después de eso, cargue los datos »wp-content.php« y ».htaccess« nuevamente en la raíz de su instalación de WordPress. Ahora abra la carpeta »wp-content« en el servidor y cargue su » uploads» carpeta en eso. Luego debería haber obtenido acceso a su WordPress nuevamente. Inicie sesión en la interfaz de administración.
10 – Instalar nuevos temas y complementos
Recién instale todos los complementos. Posteriormente, instale una versión nueva de su tema. Por favor, hágase un favor y no use versiones antiguas de la copia de seguridad. Lo más probable es que contengan malware. Utilice únicamente versiones nuevas y actualizadas.
11 – Actualice la base de datos a la nueva versión de WordPress
Este paso no es necesario si siempre actualizaste a la última versión de WordPress. Sin embargo, cuando no siempre hizo eso, es posible que su base de datos deba actualizarse para la nueva versión. Introduzca la siguiente URL en la barra de direcciones de su navegador:
http://www.yourdomain.com/wp-admin/upgrade.php
Luego, siga los pasos y actualice su base de datos.
12 – Compruebe los derechos de lectura/escritura correctos en el servidor
Ahora, debe asegurarse de que los archivos y los datos no puedan modificarse desde el exterior. Demasiados derechos abren la puerta a su instalación de WordPress para los piratas informáticos. Ajuste sus derechos de la siguiente manera:
| Archivo o carpeta relativo a la raíz | Derechos | Heredar* |
|---|---|---|
| Raíz | 705 | sí |
| /.htaccess | 404 | no |
| /wp-config.php | 404 | no |
| /index.php | 404 | no |
| /wp-blog-encabezado.php | 404 | no |
| /wp-admin/ | 705 | sí |
| /wp-incluye/ | 705 | sí |
| /wp-contenido/ | 705 | sí |
13 – Escanee su sitio web usando el escáner de exploits
Instale el complemento de WordPress »Escáner de exploits« y deja que escanee tu sitio web. Cuando todavía hay malware dentro de su base de datos, el complemento debería encontrarlo. Considere una cosa: el malware ahora solo puede estar dentro de la base de datos ya que todos los demás archivos se han instalado recientemente o, en el caso de la carpeta «cargas», se han limpiado de datos dañinos. Si se encuentra malware en la base de datos (lo que es bastante improbable), debe dejar el trabajo a un profesional, ya que la base de datos es el corazón de WordPress. Un error y su sitio web es historia.
14 – Prueba – Prueba – Prueba
Abra su sitio web en el modo de incógnito de su navegador y verifique si el truco desapareció. También pruebe si se puede acceder a todos los artículos y páginas sin ningún problema. Verifique las funciones y si todos los errores desaparecieron al iniciar sesión y al cerrar la sesión, ya que algunos trucos solo se pueden ver sin iniciar sesión. Si no encuentra nada y todo funciona sin problemas: Sea feliz, usted ¡recuperó su sitio web!
15 – Desactivar el Modo Mantenimiento
Como todo funciona perfectamente ahora, puede desactivar el modo de mantenimiento y con eso hacer que su sitio web vuelva a funcionar.
Conclusión
Recuperar un sitio web de WordPress pirateado no es del todo fácil, pero tampoco es una ciencia espacial con nuestra guía. Es importante mantener la calma y abordar el problema sistemáticamente. Entonces, casi nada puede salir mal.
enlaces relacionados
- Noupé: Estrategias de copia de seguridad de WordPress para todos
- Noupé: WordPress: 10 cosas a las que debes prestar atención antes de lanzar tu sitio web
- Escáner de exploits de complementos de WordPress
- Códice de WordPress: archivo estándar .htaccess
- GenerateWP: Estándar wp-config.php
- Escritorio de rescate Kaspersky 10
- Complemento de mantenimiento rápido de WP
- Codex de WordPress: restablecer su contraseña
- Generador para guardar contraseñas
(dpe)
#WordPress #Hackeado #Mantenga #calma #esto #debe #hacer #ahora
