Sitio posiblemente pirateado, es el aviso que te entrega el buscador google,  no entres en pánico .

Este artículo describirá cómo limpiar su sitio WordPress, usando el pluggins Wordfence, aplicar otras técnicas avanzas si tienes skills de programación, manejo  SSH. UNIX y si posees cuentas de root / super usuario

Si ha sido pirateado e infectado con código malicioso, puertas traseras, spam, malware u otro tipo de maldad. Este artículo se actualizó el viernes 8 de marzo de 2018  con recursos adicionales para ayudar a limpiar tipos específicos de infección. Este artículo está escrito por Mark Maunder, el fundador de Wordfence. También soy un investigador de seguridad acreditado, desarrollador de WordPress y poseo y manejo muchos de mis propios sitios web con WordPress, incluido este. Incluso si no está ejecutando WordPress, este artículo incluye varias herramientas que puede usar para ayudar a limpiar su sitio de una infección.

Si está ejecutando WordPress y ha sido pirateado, puede usar Wordfence para limpiar gran parte del código malicioso de su sitio. Wordfence le permite comparar sus archivos pirateados con los archivos principales originales de WordPress y las copias originales de los temas y complementos de WordPress en el repositorio. Wordfence le permite ver qué ha cambiado (hacer una diferencia) y le ofrece la opción de reparar archivos con un solo clic y tomar otras medidas.

¿Realmente has sido pirateado?

Si sospecha que ha sido pirateado, primero asegúrese de que haya sido pirateado. Algunas veces, los administradores del sitio en pánico se ponen en contacto con nosotros pensando que han sido pirateados cuando su sitio simplemente se está portando mal o que están viendo comentarios fraudulentos y no pueden distinguir la diferencia entre eso y un truco.

En Agencia Grado 8, entregamos soporte y asesorías en Seguridad Informática  para  tus sitios web: contacto@agenciagrado8.cl 

Su sitio ha sido pirateado si:

• Está viendo aparecer spam en el encabezado o pie de página de su sitio que contiene anuncios de pornografía, drogas, servicios ilegales, etc. A menudo se inyectará en el contenido de la página sin pensar en la presentación, por lo que podría aparecer como texto oscuro en una oscuridad fondo y no ser muy visible para los ojos humanos (pero los motores de búsqueda pueden verlo)
• Hace un sitio: example.com (reemplace example.com con su sitio) busca en Google y ve páginas o contenido que no reconoce y que parece malicioso.
• Recibe informes de sus usuarios que están siendo redirigidos a un sitio web malicioso o fraudulento. Preste especial atención a estos porque muchos hacks detectarán que usted es el administrador del sitio y no le mostrarán nada spam, pero solo mostrarán spam a sus visitantes o a los rastreadores del motor de búsqueda.
• Recibes un informe de tu proveedor de alojamiento de que tu sitio web está haciendo algo malintencionado o fraudulento. Por ejemplo, si su anfitrión le dice que recibe informes de correo no deseado que contiene un enlace a su sitio web, esto puede significar que ha sido pirateado. Lo que los hackers están haciendo en este caso es enviar spam desde algún lugar y usar su sitio web como un enlace para redirigir a las personas a un sitio web de su propiedad. Lo hacen porque incluir un enlace a su sitio web evitará los filtros de correo no deseado, mientras que incluir un enlace a su propio sitio web quedará atrapado en los filtros de correo no deseado.
• Wordfence detecta muchos de estos problemas y mucho que no he mencionado aquí, así que preste atención a nuestras alertas y responda en consecuencia.

Haga una copia de seguridad de su sitio ahora mismo. Este es el por qué:

Una vez que haya comprobado que ha sido pirateado, haga una copia de seguridad de su sitio de inmediato. Use FTP, el sistema de respaldo de su proveedor de hosting o un complemento de respaldo para descargar una copia de todo su sitio web. La razón por la que necesita hacer esto es porque muchos proveedores de hosting  eliminarán inmediatamente todo su sitio si informa que ha sido pirateado o si lo detectan. Parece una locura, pero este es un procedimiento estándar en algunos casos para evitar que otros sistemas en su red se infecten.

Asegúrese de hacer una copia de seguridad de la base de datos de su sitio web. Copia de seguridad de sus archivos y base de datos debe ser su primera prioridad. Haga esto, luego puede pasar al paso siguiente de limpiar su sitio de forma segura sabiendo que al menos tiene una copia de su sitio pirateado y no perderá todo.

Cosas que debes saber antes de limpiar un sitio de WordPress que ha sido pirateado:

Estas son las reglas de la carretera al limpiar su sitio:

• Generalmente puede eliminar cualquier cosa en el directorio wp-content / plugins / y no perderá datos ni romperá su sitio. La razón es porque estos son archivos de complemento que puede reinstalar y WordPress detectará automáticamente si ha eliminado un complemento y lo desactivará. Solo  asegúrese de eliminar directorios completos en wp-content / plugins y no solo archivos individuales. por ejemplo, si desea eliminar el complemento de Wordfence, debe eliminar wp-content / plugins / wordfence y todo lo que se encuentre en ese directorio, incluido el directorio en sí. Si solo elimina algunos archivos de un complemento, puede dejar su sitio inoperable.
• Por lo general, solo tiene un directorio de temas que se utiliza para su sitio en el directorio wp-content / themes. Si sabe cuál es, puede eliminar todos los demás directorios de temas. Tenga cuidado si tiene un «tema secundario» , puede estar usando dos directorios en wp-content / themes, aunque esto es raro.
• Los directorios wp-admin y wp-includes rara vez tienen nuevos archivos agregados. Entonces, si encuentra algo nuevo en esos directorios, tiene una alta probabilidad de ser malicioso.
• Tenga cuidado con las viejas instalaciones y copias de seguridad de WordPress. A menudo vemos sitios infectados en los que alguien dice «Pero mantuve mi sitio actualizado y tenía un complemento de seguridad instalado, así que ¿por qué me piratearon?». Lo que sucede a veces es que usted o un desarrollador haga una copia de respaldo de todos sus archivos de sitio en un subdirectorio como ‘viejo /’ al que se puede acceder desde la web. Esta copia de seguridad no se mantiene y aunque su sitio principal es seguro, un pirata informático puede ingresar allí, infectarlo y acceder a su sitio principal desde la puerta trasera que plantaron. Así que  nunca dejes las viejas instalaciones de WordPress por ahí  y si te piratean, revisa las primeras porque es probable que estén llenas de malware.

Algunas herramientas útiles:

Si tiene acceso SSH a su servidor, inicie sesión y ejecute el siguiente comando para ver todos los archivos que se modificaron durante los últimos 2 días. Tenga en cuenta que el punto indica el directorio actual. Esto hará que el siguiente comando busque en el directorio actual y en todos los subdirectorios los archivos recientemente modificados. (Para averiguar cuál es su directorio actual en SSH, escriba ‘pwd’ sin comillas).

encontrar . -mtime -2 -ls

O puede especificar un directorio específico:

find / home / yourdirectory / yoursite / -mtime -2 -ls

O puede cambiar la búsqueda para mostrar los archivos modificados en los últimos 10 días:

find / home / yourdirectory / yoursite / -mtime -10 -ls

Sugerimos que realice la búsqueda anterior y aumente gradualmente el número de días hasta que comience a ver los archivos modificados. Si no has cambiado nada tú mismo desde que fuiste pirateado, es muy probable que veas los archivos que ha cambiado el hacker. Puede editarlos usted mismo para limpiar el truco. Esta es, de lejos, la forma más efectiva y sencilla de descubrir qué archivos se infectaron y es utilizada por todos los servicios profesionales de limpieza de sitios.

Otra herramienta útil en SSH es ‘grep’. Por ejemplo, para buscar archivos que contengan base64 (comúnmente utilizado por piratas informáticos) puede ejecutar el siguiente comando:

grep -ril base64 *

Esto solo mostrará los nombres de los archivos. Puede omitir la opción ‘l’ para ver el contenido real del archivo donde se encuentra la cadena base64:

grep -ri base64 *

Tenga en cuenta que «base64» también puede ocurrir en código legítimo. Antes de eliminar algo, querrá asegurarse de que no está eliminando un archivo que está siendo utilizado por un tema o complemento en su sitio. Una búsqueda más refinada podría verse así:

grep --include = *. php -rn. -e "base64_decode"

Este comando busca todos los archivos recursivamente que terminan con .php para la cadena «base64_decode» e imprime el número de línea para que pueda encontrar más fácilmente el contexto en el que se encuentra la cadena.

Ahora que sabe cómo usar ‘grep’, le recomendamos que use grep en combinación con ‘find’. Lo que debe hacer es buscar los archivos que se modificaron recientemente, ver qué se modificó en el archivo y si encuentra una cadena de texto común como «hacker malo estaba aquí», entonces puede grep todos sus archivos para ese texto de esa manera:

grep -irl "el hacker malo estaba aquí" *

y eso le mostrará todos los archivos infectados que contengan el texto «Hacker malo estaba aquí».

Si limpia muchos sitios infectados, comenzará a notar patrones en los que se encuentran códigos maliciosos. Uno de esos lugares es el directorio de carga en las instalaciones de WordPress. El siguiente comando muestra cómo encontrar todos los archivos en el directorio de carga que NO son archivos de imagen. El resultado se guarda en un archivo de registro llamado «uploads-non-binary.log» en su directorio actual.

buscar public_html / wp-content / uploads / -type f -not -name "* .jpg" -not -name "* .png" -not -name "* .gif" -not -name "* .jpeg"> cargas -non-binary.log

Usando las dos herramientas simples de línea de comando «grep» y «find» puede limpiar un sitio web infectado completo. ¡Qué fácil es eso! Apuesto a que estás listo para comenzar tu propio negocio de limpieza de sitios en este momento.

Cómo limpiar su sitio de WordPress pirateado con Wordfence:

Ahora que tiene algunas herramientas potentes en su arsenal y que ya ha realizado una limpieza básica, inicie Wordfence y ejecute un análisis completo para limpiar su sitio. Este paso es importante porque Wordfence realiza una búsqueda muy avanzada de infecciones. Por ejemplo:

• Sabemos qué aspecto deberían tener todos los archivos básicos de WordPress y los temas y complementos de código abierto para saber si alguno de sus archivos fuente está infectado,  incluso si se trata de una infección nueva que nadie ha visto antes.
• Buscamos usando expresiones regulares complejas para firmas de infección y nuestra base de datos de infecciones conocidas se actualiza continuamente. No puede hacer esto con herramientas simples de línea de comandos de Unix o CPanel.
• Buscamos URL de malware usando la lista de navegación segura de Google.
• Usamos muchas otras fuentes de datos como SpamHaus para encontrar malware e infecciones en su sistema.

Cómo limpiar su sitio pirateado usando Wordfence:

1. Actualice su sitio a la versión más nueva de WordPress.
2. Actualice todos sus temas y complementos a sus versiones más recientes.
3. Cambie todas las contraseñas en el sitio, especialmente contraseñas de administrador.
4. Haga otra copia de seguridad y guárdela por separado para la copia de seguridad que le recomendamos que haga arriba. Ahora tiene un sitio infectado, pero ese sitio ejecuta la versión más nueva de todo. Si rompe algo mientras limpia su sitio con Wordfence, puede volver a esta copia de seguridad y no tiene que volver sobre todos los pasos anteriores.
5. Vaya a la página de opciones de Wordfence y asegúrese de que debajo del encabezado «Escaneos para incluir», se haya seleccionado absolutamente todo, incluida la opción de escanear archivos fuera de la instalación de WordPress. Si el escaneo tarda demasiado o no se completa, puede anular la selección de esta última opción y también desactivar el escaneo de «alta sensibilidad» y el escaneo del «archivo de imagen». Vuelva a intentarlo.
6. Cuando aparezcan los resultados, es posible que vea una lista muy larga de archivos infectados. Tómate tu tiempo y trabaja lentamente en la lista.
7. Examine los archivos sospechosos y edítelos a mano para limpiarlos o eliminar el archivo. Recuerde que no puede deshacer las eliminaciones. Pero siempre que tome la copia de seguridad que recomendamos arriba, siempre puede restaurar el archivo si elimina la cosa incorrecta.
8. Mira cualquier núcleo cambiado, tema y archivos de complemento. Use la opción que proporciona Wordfence para ver qué ha cambiado entre el archivo original y su archivo. Si los cambios se ven maliciosos, use la opción Wordfence para reparar el archivo.
9. Lentamente avance por la lista hasta que esté vacía.
10. Ejecute otro escaneo y confirme que su sitio esté limpio.
11. Si aún necesita ayuda, ofrecemos un servicio de limpieza de sitios comerciales. Puede obtener más información enviando un correo electrónico a genbiz@wordfence.com con el asunto «Servicio de limpieza del sitio pagado».

Tengo un archivo que parece sospechoso, pero no estoy seguro si lo es. ¿Cómo puedo decir?

Envíanos un correo electrónico a samples@wordfence.com y te lo haremos saber. Si no recibe una respuesta, su sistema de correo o el nuestro puede haber descartado el mensaje pensando que era malicioso debido a su archivo adjunto. Así que por favor envíenos un mensaje por correo electrónico sin el archivo adjunto que nos permite ahora que está tratando de enviarnos algo y trataremos de ayudarlo a superarlo.

¿Dónde puedo encontrar ayuda para limpiar un tipo específico de infección?

El Centro de Aprendizaje Wordfence tiene una variedad de artículos que lo ayudarán. Aquí hay una lista de artículos que lo ayudarán con tipos específicos de infección:

• Eliminando redirecciones malintencionadas de su sitio e
• Encontrar y quitar puertas traseras
• Eliminar páginas de spam de sitios de WordPress
• Encontrar y eliminar enlaces de spam
• Eliminando las páginas de phishing de los sitios de WordPress
• Eliminar el código de correo malicioso de su sitio
• Encontrar y eliminar cargadores de archivos maliciosos
• Eliminación de WordPress Defacement Page
• Cómo quitar el código sospechoso de los sitios de WordPress

He limpiado mi sitio pirateado de WordPress pero Google Chrome todavía me está dando la advertencia de malware. ¿Que debería hacer?

Debes eliminar tu sitio de la lista de navegación segura de Google. Lea  este documento de Google sobre cómo limpiar su sitio . Estos son los pasos:

1. Primer acceso a las Herramientas para  webmasters de Google .
2. Agregue su sitio si aún no lo ha hecho.
3. Verifique su sitio, siguiendo las instrucciones de Google.
4. En la página principal de Herramientas para webmasters, seleccione su sitio.
5. Haga clic en  Estado del sitio y luego haga clic en  Malware .
6.  Haga clic en  Solicitar una revisión .

Los visitantes de mi sitio reciben advertencias de otros productos de seguridad y sistemas antivirus. ¿Que debería hacer?

Salir de la lista de navegación segura de Google es un gran paso, pero es posible que tenga algo de trabajo por delante. Debe mantener una lista de cada producto antivirus que indique que su sitio está infectado. Esto puede incluir productos como el antivirus de ESET , el Asesor del sitio de McAfee  y otros. Visite cada sitio web de los fabricantes de antivirus y encuentre sus instrucciones para eliminar su sitio de su lista de sitios peligrosos. Esto es a menudo llamado «lista blanca» por los fabricantes de antivirus, por lo que googlear términos como ‘lista blanca’, ‘eliminación de sitio’, ‘falso positivo’ y el nombre del producto generalmente lo llevarán al lugar donde puede eliminar su sitio.

¿Cómo puedo verificar manualmente si mi sitio aparece en la lista de navegación segura de Google?

Visite la siguiente URL y reemplace example.com con su propia dirección de sitio.

http://www.google.com/safebrowsing/diagnostic?site=http://example.com/

Puede incluir un subdirectorio si su sitio tiene uno. La página que aparece es muy simple, pero contiene información detallada sobre el estado actual de su sitio, por qué aparece en la lista de malware o phishing de Google (la lista de navegación segura de Google es en realidad dos listas) y qué hacer a continuación.

Qué hacer una vez que su sitio esté limpio:

Felicitaciones si ha logrado limpiar su sitio. Ahora necesitas asegurarte de que no sea pirateado nuevamente. Así es cómo:

• Instale Wordfence y ejecute escaneos regulares en su sitio de WordPress.
• Asegúrese de que WordPress y todos los complementos y temas se mantienen actualizados. Esto es lo más importante que puede hacer para proteger su sitio.
• Asegúrese de utilizar contraseñas seguras que sean difíciles de adivinar.
• Deshágase de todas las viejas instalaciones de WordPress en su servidor.
• Suscríbase a nuestra lista de correo de alerta de seguridad en la parte inferior de nuestra página de inicio para recibir alertas sobre importantes actualizaciones de seguridad relacionadas con WordPress:  http://www.wordfence.com/