jueves, septiembre 08, 2011

Como limpiar un blog o sitio en WordPress infectado con malware

Desafortunadamente yo he sido victima constante de malware en este blog, siempre lo limpiaba para luego ser infectado, esto sucedía una y otra vez hasta que descubrí que habían plantado en el blog un “backdoor” o puerta trasera que estaba permitiendo a los hackers infectar una y otra vez el blog, por eso tomé la decisión de limpiarlo y empezar de cero, a continuación explico los pasos que tomé para lograr esto.

1.Contectarte a tu blog via FTP o preferiblemente SFTP (dejaré esto para un futuro post) y respaldar, al menos el archivo wp-config.php, hay otras consideraciones que trataré con más detalles al final de esta nota. Mira la sección llamada Consideraciones Adicionales.
2.Tomar nota de todos los plugins activos y tema (theme) actual.
3.Bajar “copias frescas” de los plugins y tema de nuevo desde las fuentes originales.
4.Si tienes acceso al blog, cambia el tema del blog al tema (plantilla o theme) por defecto de WordPress, este debería ser el theme llamado K2. Este paso es muy importante, si no lo haces puede tener problemas para ingresar a tu blog una vez que lo logres limpiar.
5.Ingresar vía FTP/SFTP o SSH a tu blog y borrar todo lo que está debajo del dominio. Este paso es peligroso, por favor ver el paso 1 de nuevo.
6.Descargar la versión más nueva de WordPress.
7.Subir la versión más nueva de WordPress a tu hosting.
8.Subir los plugins y temas a tu hosting.
9.Subir el wp-config.php.
10.Ingresa la siguiente dirección en tu navegador, dominio_del_blog/wp-admin/upgrade.php donde dominio_del_blog representa tu URL.
11.Ingresar a la sección administrativa de tu blog y activar la plantilla y plugins originales.
Consideraciones Adicionales
Si tienes una plantilla propia debes encontrar una versión limpia de la plantilla, si no, al bajar la plantilla desde tu hosting a tu máquina local es muy posible que estes bajando los archivos infectados, por ende, al subirla de nuevo seguirás teniendo el problema, por lo que es muy imporante que tengas una copia limpia de tu plantilla. Si no tienes esto, puedes hacer dos cosas, limpiar tu plantilla linea por linea intentando detectar código malicioso o crear una nueva. Bueno si tienes una plantilla propia, pues seguramente la tienes respaldada en alguna parte.

Si subes archivos a tu blog, fotos, MP3, u otros, debes respaldar estos archivos también, por defecto, estos archvos se encuentran en el siguiente directorio /wp-content/uploads, si no respaldas esto y tienes archivos propios, pues romperás tu blog. Otra cosa muy importante, en tus archivos puede encontrarse malware, en mi caso yo encontré archivos con extensión BAK y JPG que realmente eran archivos de texto, o código, que tenían código malicioso, pero hay una forma de remediar esto, debes borrar esos archivos, para detectarlos debes usar un exploit scanner.

El mejor plugin del mundo
Si, el mejor plugin del mundo se llama WordPress Expliot Scanner, este debería venir en las instalaciones de WordPress, lamentablemente no es así, este plugin te ayuda detectar archivos con malware usando palabras clave, puedes descargarlo desde esta direccion http://ocaoimh.ie/exploit-scanner/, gracias a este plugin yo pude encontrar malware en mi directorio de uploads. Este plugin debes ejecutarlo una vez tu blog esté funcionando, los resultados que este produce son un poco paranóicos, pero, son muy certeros, debes examinar los resultados cuidadosamente para detectar que es inofensivo y que es malware, lamentablemente explicar eso está más allá del alcance de este post, pero, debes tener mucho cuidado y tratar de discriminar bien lo bueno de lo malo.

Finalmente debes informar a Google que tu blog ya no pose malware para evitar ser bloqueado por ellos, para eso debes ingresar al Webmaster Tools en está dirección www.google.com/webmasters/tools/ y informarles o escribir un carta de reconsideración.

Sus comentarios o feedback son apreciados.
Tomado de http://afrael.loquesea.org/

1 comentario:

Amarithia LeCroix dijo...

Estimado Carlos,
la verdad me gustaría saber, o que me explicarás muy bien como hacer eso del FTP (paso 1 en adelante en realidad) ya que recientemente me pasa esto del malware en mi blog, no se como eliminarlo =( ... y la verdad esto me tiene mal. Me podrías ayudar? tengo antivirus (Bitdefender en mi laptop, y Avast en google chrome. Espero puedas ayudarme.

http://elsecretodelabuenalectura.blogspot.com/