Voy a contaros paso a paso como resolver y limpiar tu web WordPress de un hackeo de go.oclasrv.com, delopen.com, pushlat.com… este caso particular también aplica para muchos otros tipos de hackeo para WordPress. Te lo cuento aquí tal como yo lo resolví, si tienes alguna duda déjame tus comentarios abajo.

Recuerda que la mayoría de hackeos en WordPress ocurren pro principalmente 3 motivos:

  • Tu plantilla es pirata y la has descargado de algún sitio warez
  • Tu plugin es pirata y lo has conseguido por Internet
  • Tu WordPress, tus plugins y tu plantilla están desactualizados

Es por eso que recomiendo siempre, mantener tu web WordPress actualizado y disponer siempre de las licencias de tus plugins y plantillas.

Síntomas del hackeo

Los síntomas que se perciben en este tipo de hackeo son principalmente estos:

  • Salen anuncios en formato «Popup» en todas las páginas
  • Aparece una caja en la parte superior derecha o izquierda donde ponde «Deny» o «Allow» en cualquier caso te abre más ventanas de anuncios…eséticamente puede parecer un aviso del navegador para engañar al usuario
  • Lentitud de tu web, notas que va muy lenta al navegar o editar tu web
  • Existen usuarios en tu WordPress que no diste de alta

Si eres un perfil medianamente técnico y ves uno de estos enlaces dentro de tu web lo más probable es que tu web esté hackeada:

  • go.oclasrv.com/apu.php?zoneid=1527634
  • deloplen.com/apu.php?zoneid=2775135
  • pushlat.com/ntfc.php?p=2775139
  • go.mobisla.com/notice.php?p=1527635
  • basepush.com

Sé que cuando nuestra web o la de un cliente es hackeada suele ser una situación muy desagradable ya que uno siente la sensación de estar infectado por un virus que no sabe como deshacerse de el. Esto a menudo lleva a la desesperación y a la frustración y a eso también le sigue el desanimo de seguir trabajando en las mejoras de la web. Mi consejo es mantener la calma, de la misma forma que se metió debe salir.

Análisis de la web con Sucuri

Lo primero que harás cuando tengas la duda sobre si tu web está infectada o no es comprobarlo mediante alguna herramienta de detección de virus. Estas herramientas funcionan con grandes bases de datos donde ya tienen listadas muchas referencias de otros hackeos, de modo que si hay alguna equivalencia saben de seguro que ahí hay un virus.

El que yo te recomiendo es usar Sitecheck de Sucuri, puedes hacer tu análisis de seguridad web aquí.

Fijaron como directamente me muestra el código que considera que es malicioso, la URL está presente:

deloplen.com/apu.php

Así es como debería verse tu web si está hackeada, rojo como un tomate:

Como dato aunque en la parte inferior se muestra claramente el script que se está inyectando directamente en la web que lo carga del servidor deloplen.com/apu.php seguramente existen más fragmentos de código inyectados, pero nos vale habiendo validado que existe un virus. Este código seguramente está mandando tooooooooda la información de mi web hacia sus servidores, mi ip de conexión, mi usuario, mi contraseña, todos los datos que le vengan en gana en realidad, una vez dentro estás muerto tiene lo que quiere.

Buscando archivos sospechosos en los archivos

Asi que lo que toca ahora es buscar esos fragmentos y archivos sospechosos, por lo general WordPress es fácil de mantener, es decir, al menos el framework en si, el propio núcleo de WordPress, lo que suele llevar muchos dolores de cabeza son los plugins y las plantillas y sobretodo cuando estas son pirata.

De modo que podemos decir que la gran mayoria de filtraciones en WordPress entran a través de una vulnerabilidad de un Plugin o la de una vulnerabilidad de una Plantilla. Pero ojo, aquí hay trampa, porque esa es la entrada principal, pero casi siempre los hacks tienen como objetivo establecerse en tu alojamiento al nivel más profundo posible… Además ellos saben que cuando notes algo lo que harás será cambiar de plantilla y/o eliminar el Plugin que te está causando problemas. Así que lo que van a hacer es intentar llegar a los archivos de tu WordPress, en el core, por lo general dentro de estos directorios:

  • wp-admin
  • wp-includes

Si consiguen llegar ahí, se aseguran que tienen un sitio para largo, además que tienen acceso directo a funciones y ficheros conocidos del propio WordPress.

Lo que yo hice fué ver a través de FileZilla cuales fueron los archivos que se modificaron por última vez dentro de esos dos directorios y….¡Surprise!

 

Comparar los archivos con el repositiorio de WordPress

Ya tenemos a dos archivos sospechosamente sospechosos…que si lo comparamos con el repositorio oficial de WordPress veremos que ni tan solo existen, fijaros:

Repositorio oficial de WordPress

Pero si los borramos, lo más seguro es que vuelvan a aparecer, podéis probarlo y revisarlo en unos minutos veréis que vuelven a reaparecer y eso significa que existe algun codigo que los está generando. ¿Recordáis al principio que dijimos que la entrada era un Plugin o una Plantilla?

Revisando dentro de functions.php

La gran mayoría inyectan codigo en el archivo functions.php de tu plantilla porque saben que es un fichero que TODAS las plantillas deben tener sí o sí.

Así que revisamos nuestro fichero functions.php y esto es lo que vemos:

Nos encontramos con algo muy muy feo la verdad, ya que veréis que en realidad estan haciendo lo que quieren con nuestro sitio. De modo que lo que haremos será eliminar todo ese trozo de codigo, ojo no borráis el codigo de functions.php, sólo el que os muestro, normalmente se ve claramente donde empieza el codigo original de functions.php porque empieza una función de la propia plantilla, legítima.

Eliminamos ficheros sospechosos de wp-includes

Una vez borrado esto, entonces borramos esos dos archivos que son no deseados wp-tmp.php y wp-feed.php que uno sirve para ejecutar codigo y el otro almacena información como IP’s entre otros datos.

Si tu plantilla usa un theme-child también deberás borrar el codigo de functions.php ya que segurmente estará ahí dentro también.

Finalmente, como sabemos que habrán tenido acceso a nuestro password, cambiamos nuestra contraseña en WordPress.

Revisamos en Sucuri que esté todo ok

Volvemos a revisar el sitio con SiteCheck Sucuri:

Solucoinar hackeo en WordPress

Cambiamos todas las contraseñas

Una vez hemos llegado a este punto debemos realizar las siguientes tareas:

  • Eliminar los usuarios de WordPress que no tengas controlados (es decir los que se hayan podido crear mediante código malicioso)
  • Cambiar todas las contraseñas de los usuarios
  • Modificar la contraseña de tu FTP
  • También modificar la contraseña de tu base de datos
  • Revisar tu archivo .htaccess
  • Vistazo sobre todos tus plugins y plantillas esten actualizados a su última versión
  • Revisar que tengas las licencias de cada uno de los módulos de tu web, plugins y plantillas principalmente

Y como esto no es un punto y final, lo mejor es que estés pendiente. Durante unas semanas revisa por si se reactiva o por lo contrario está todo tranquilo.

¡Pues eso es todo, recuerda dejar tu comentario aquí abajo si te ha gustado!

Acerca del Autor

Met El Idrissi

Desarrollador web WordPress freelance y emprendedor tecnológico en aplicaciones web SaaS

Ver Artículos