Blog

No te precipites, ponlo en conocimiento del hosting, y haz de inmediato una serie de acciones para intentar atajar el hackeo.

Esta es una de las situaciones más desagradables a la que te enfrentas cuando tienes una web. No solo porque entran en tu espacio web, sino porque no sabes ni el alcance del hackeo, ni cómo ha pasado ni qué debes hacer. Además, muchas veces el servicio técnico del hosting se lava las manos y no te ayuda en nada, de hecho te entorpecen, porque a veces desconectan tu web cuando su software detecta el hackeo.

Por lo que he visto en estos años, los hackers no suelen borrar nada, ni ficheros ni base de datos. Es muy raro que eso suceda porque tu página web no les importa. Lo que quieren es el dominio y el espacio del servidor web. Lo que sí sucede es que suben varios ficheros, o crean estructuras de directorios estáticas a donde redirigen tu dominio.
Lo que más he visto últimamente es la subida del famoso Alfa Shell, un script que usan como base para subir otros ficheros y hacer otras tareas.

PRIMERAS ACCIONES A REALIZAR

Si tienes acceso a tu hosting via SSH, usa la línea de comandos para encontrar ficheros que se han subido recientemente, en todas las carpetas de Wordpress. Puedes usar un plugin como File Manager para buscar directamente, y además de por la fecha, puedes buscar patrones de hackeo dentro de los ficheros PHP, como por ejemplo:

•  eval(base64_decode
•  system(
•  shell_exec

Sino, a simple vista por FTP puedes ir mirando los ficheros de las principales carpetas del Wordpress.
Una vez que crees que ya has borrado los ficheros maliciosos, cambia todas las contraseñas: WordPress admin, FTP, base de datos y panel de hosting.
Revoca todas las sesiones activas en WordPress (en el admin de Wordpress, Usuarios -> Perfil -> Cerrar todas las otras sesiones). Si hay más administradores de Wordpress, diles que cambien su contraseña o borra su cuenta. Y obviamente actualiza el Wordpress, theme y plugins a la última versión.

COMO HAN ENTRADO

Las vías más comunes son:

• Plugin o theme vulnerable con funcionalidad de subida de archivos sin validar
• Credenciales comprometidas de FTP o admin
• Permisos de carpetas incorrectos
• Plugin de formularios mal configurado (Contact Form 7, Gravity Forms, etc.)

Revisa los logs de acceso de tu servidor para ver qué peticiones POST llegaron a wp-admin justo antes de que apareciera el hackeo.

ACCIONES PARA PREVENIR OTROS ATAQUES

Permisos de archivos correctos:
Carpetas: 755
Archivos: 644
Fichero wp-config: 400 o 440

Crea un fichero htaccess y ponlo en carpetas que solo contengan recursos, como "wp-content/uploads/" para evitar la ejecución de PHP. Pon estas lineas: 

<Files "*.php">
deny from all
</Files>

En wp-config pon estas lineas:

define('DISALLOW_FILE_EDIT', true); // Desactivar edición de archivos desde el panel
define('DISALLOW_FILE_MODS', true); // Impide instalar plugins/temas

Además: 

• Activa la autenticación en dos pasos (2FA) para el acceso al admin
• Limita intentos de login con un plugin como "Limit Login Attempts Reloaded"
• Oculta la URL de login: cambia "/wp-login.php" o "/wp-admin" por otra URL, esto se consigue con un plugin como "Admin Login URL Change"
• WAF (Web Application Firewall): Cloudflare en modo proxy filtra muchos ataques antes de que lleguen a tu servidor
• Pide a tu proveedor que active ModSecurity con reglas OWASP — bloquea la mayoría de intentos de subida de shells automáticamente

PLUGINS DE SEGURIDAD CONTRA ATAQUES

Sucuri Security

El mejor contra este tipo de hackeos, diseñado para prevenir hackeos y actuar cuando ya ha sucedido; incluso su versión gratuita es bastante buena. Tiene malware scanner, audita la integridad de los ficheros por si han sido modificados, también audita toda actividad que se realice en el Wordpress, tiene unos "primeros auxilios" si hay hacking (cambio de contraseñas, claves, sesiones, etc.). La versión de pago dispone de WAF.

Wordfence Security

Similar al anterior, pero más orientado a la monitorización del tráfico, dispone de un potente firewall (WAF), malware scanner, herramientas de seguridad (2FA, Captchas...), tráfico en vivo, bloqueo de IPs y sistema de alertas.

iThemes Security

El plugin de seguridad más recomendado en los hostings, tiene decenas de herramientas, desde comprobaciones globales de seguridad, refuerzo de contraseñas, log de peticiones sospechosas, administrador de permisos de ficheros, etc.