fbpx

WordPress: Como encontrar una Backdoor en un sitio hackeado. Y como solucionarlo.

Que es una Backdoor?

Una backdoor es un código añadido al sitio que le permite al hacker acceder a la web sin ser detectado, logrando esquivar el logueo normal. Le permite acceder, por ejemplo, incluso cuando ya se han removido los plugins infectados o las vulnerabilidades de tu website.

Las backdoor sobreviven, regularmente, un upgrade de WordPress. Esto significa que tu sitio será vulnerable hasta que se encuentre y arregle cada backdoor.

Como funciona una Backdoor?

Algunas “Puertas traseras” son simplemente usuarios admin ocultos. Le permiten al hacker loguearse de manera normal tipeando usuario y contraseña.

Algunos backdoors mas complejos le dan al hacker la capacidad de ejecutar código PHP. Manualmente envia el código a tu website usando su navegador de internet.

Incluso hay backdoors que permiten ejecutar consultas a bases SQL.

Dónde están escondidas las Backdoors?

En cada caso, una “puerta trasera” esta disfrazada para parecerse a un archivo WordPress. Comunmente, estan alojadas en las siguientes locaciones:

  • Un THEME de WordPress. Pero seguramente no el que estés usando. El código en un theme no es sobreescrito cuando se actualiza WordPress; de ahi que es un buen lugar para esconder una backdoor. Por eso se recomiendo borrar todos los themes inactivos.
  • Los PLUGINS son otro lugar apropiado para esconder una backdoor. Sucede lo mismo que con los themes en la actualización de WordPress, y existen usuarios que no hacen updates de sus plugins.
  • La carpeta UPLOADS contiene cientos de archivos, lo cual lo hace un buen lugar donde ocultar backdoors.
  • El archivo wp-config.php contiene informacion delicada para configurar WordPress. Es uno de los archivos más apuntados por los hackers.
  • La carpeta WP-INCLUDES contiene archivos PHP necesarios para correr correctamente WordPress. Se usa como lugar para esconder backdoors porque es una carpeta que los usuarios no revisan con regularidad.

COMO ENCONTRAR UNA BACKDOOR EN UN WORDPRESS HACKEADO Y REPARARLO.

La mayor dificultad aqui es encontrarla, pero ahora tenés una idea de donde buscar la backdoor. Mas alla de eso, limpiar el WordPress es tan simple como borrar un código o archivo.

1 – Borrá tu carpeta de Plugins.

Buscar a través de la carpeta de Plugins puede ser tedioso, mas teniendo en cuenta que los hackers pueden esconder muy bien la backdoor.
Lo mejor es borrar el contenido completo de la carpeta e instalar desde cero tus plugins.

2 – Borrá tu carpeta de Themes.

Exactamente el mismo caso que con la carpeta de plugins. Es mejor eliminar y reinstalar de cero.

3 – Buscar en la carpeta UPLOADS por archivos .php

No hay una razon logica para que esta carpeta posea archivos PHP, ya que solo se usa para guardar archivos media como imagenes.

4 – Borrá el archivo .htaccess

Algunos hackers añaden codigo al .htaccess que envia a los visitantes de tu web a otro sitio diferente.
Podes eliminarlo, ya que WordPress lo recreará automaticamente.

Si por algun motivo no lo recrea, dirigite en el panel de WordPress a Settings => Permalinks. Haciendo simplmente clic en el boton de “Save Changes” creará un nuevo .htaccess.

5 – Controlar el archivo wp-config.php

Este archivo es importantisimo ya que contiene informacion vital para el funcionamiento de tu WordPress.
La mejor manera de chequear que no haya algun codigo extraño, es comparar el archivo wp-config.php con el archivo wp-config-sample.php, ya que éste último posee la informacion por defecto que deberia poseer el archivo wp-config.php.
Deberías entonces eliminar cualquier código que estés seguro que no pertenece al archivo.

6 – Restaurar el sitio desde un Backup.

Si hace backups de su sitio de manera regular, puede probar con restuarar el sitio desde un respaldo. Aunque esto no asegure al 100% que eliminará las backdoors del sitio, es un buen punto de partida para revisar mas a fondo el sitio, tal cual se indicó en los pasos anteriores.

Como prevenir futuros hackeos.

Ahora que ha limpiado su sitio, es tiempo de mejorar la seguridad de su sitio para prevenir futuros hackeos.

  • Mantener actualizado el sitio WordPress, asi como sus plugins y themes.
  • Utilice, tanto en el admin de su WordPress como en otras passwords del dominio, contraseñas fuertes y dificiles. Lo mejor es usar numeros, símbolos, alternar entre minusculas y mayusculas, etc.

Deja un comentario

Tu dirección de correo electrónico no será publicada.