12 señales para detectar si tu WordPress ha sido hackeado
WordPress es la plataforma de blogs más famosa del mundo y la fama la convierte también en el objetivo número uno para los hackers y los scripts kiddies.
Cientos de sitios web de WordPress se piratean cada día porque sus webmasters nunca han prestado atención a los plugins, temas y las actualizaciones principales de WordPress.
A menudo me preguntan cuáles son los signos que indican que se ha pirateado un sitio de WordPress.
Hay algunas señales comunes y muy reveladoras que pueden ayudarte a determinar si tu sitio de WordPress está pirateado o en peligro.
12 señales comunes para averigurar si te han pirateado
Si su sitio web de WordPress ha sido pirateado, debe actuar lo antes posible, porque Google y otros motores de búsqueda comenzarán a eliminar tus páginas de su índice.
Caída repentina del tráfico del sitio web
Si observas tus informes de Google Analytics y ves una caída repentina del tráfico, esto podría ser una señal de que tu sitio de WordPress está pirateado.
Hay muchos programas maliciosos y troyanos que secuestran el tráfico de tu sitio web y lo redirigen a los sitios web de spam.
Algunos de ellos no redirigen a los usuarios, lo que les permite pasar desapercibidos por un tiempo.
Otra razón para la caída del tráfico es la herramienta de navegación segura de Google, que podría estar mostrando advertencias a los usuarios con respecto a tu sitio web.
Cada semana, Google añade a su lista negra alrededor de 20.000 sitios web por malware y alrededor de 50.000 por phishing.
Es por eso que tienes que prestar mucha atención a la seguridad de tu WordPress.
Puedes consultar tu sitio con la herramienta de navegación segura de Google para ver el informe de seguridad.
Enlaces peligrosos añadidos a tu sitio web
Uno de los signos más comunes de hackeo de WordPress es la inyección de datos.
Los hackers crean una puerta trasera en tu sitio que les da acceso para modificar sus archivos y bases de datos de WordPress.
Algunos de estos hacks agregan enlaces spam a sitios web. Por lo general, estos enlaces se agregan al pie de página de tu web, pero podrían estar en cualquier lugar.
Eliminar los enlaces no garantiza que no vuelvan a aparecer.
Deberás buscar y corregir la puerta trasera utilizada para inyectar esta información en tu WordPress.
La página principal de tu sitio se ve desfigurada
Este es probablemente el caso más obvio, ya que es claramente visible en la página principal de tu sitio web.
La mayoría de los intentos de piratería no dañan la página de inicio, ya que quieren pasar desapercibidos el mayor tiempo posible.
Sin embargo, algunos hackers pueden dañar tu sitio web para anunciar que has sido pirateado.
Estos hackers generalmente reemplazan tu página de inicio con su propio mensaje.
Algunos hackers incluso pueden intentar extorsionarte con dinero.
No puedes iniciar sesión en WordPress
Si no puede iniciar sesión en tu sitio de WordPress, existe la posibilidad de que los hackers hayan eliminado tu cuenta de administrador.
Como la cuenta no existe, no podrás restablecer tu contraseña desde la página de inicio de sesión.
Hay otras formas de agregar una cuenta de administrador utilizando phpMyAdmin o mediante FTP.
Sin embargo, tu sitio seguirá siendo inseguro hasta que descubras cómo un hacker se coló en tu web.
Cuentas sospechosas de usuario en WordPress
Si tu sitio lo tienes abierto para el registro de usuarios y no estás utilizando ninguna protección de registros de correo no deseado, son sólo correos basura comunes que simplemente puedes eliminar.
Sin embargo, si no has permitido el registro de usuarios y notas nuevas cuentas de usuario en WordPress, es probable que tu sitio es pirateado.
Por lo general, la cuenta sospechosa tendrá un rol de usuario administrador y, en algunos casos, no podrás eliminarlo de tu panel de administración de WordPress.
Archivos y scripts desconocidos en tu servidor
Si utilizas un plugin de escaneado de sitios como Sucuri, entonces te avisará cuando encuentre un archivo o script desconocido en tu servidor.
Debes conectarte a tu sitio de WordPress utilizando un cliente FTP. El lugar más común donde encontrarás archivos y scripts maliciosos es la carpeta /wp-content/.
Por lo general, estos archivos se nombran como archivos de WordPress para esconderse a la vista.
Eliminar estos archivos de inmediato no garantiza que estos archivos no vuelvan.
Deberás auditar la seguridad de tu sitio web, especialmente la estructura de archivos y directorios.
Tu sitio web se vuelve lento o no responde
Todos los sitios web pueden convertirse en víctimas de ataques aleatorios de denegación de servicio.
Estos ataques usan varios ordenadores y servidores hackeados de todo el mundo usando direcciones IP falsas.
A veces sólo están enviando muchas solicitudes a tu servidor, y otras veces están intentando ingresar activamente a tu sitio web.
Cualquier actividad de este tipo hará que tu web sea lenta, no responda y no esté disponible.
Deberás verificar los registros de tu servidor para ver qué IP’s están haciendo demasiadas solicitudes y bloquearlas.
También es posible que tu sitio sea lento y no haya sido pirateado. En ese caso, debes aumentar la velocidad y el rendimiento de WordPress.
Actividad inusual en los registros del servidor
Los registros del servidor son archivos de texto sin formato almacenados en tu servidor web.
Estos archivos mantienen un registro de todos los errores que ocurren, así como de todo tu tráfico de Internet.
Puedes acceder a ellos desde el panel de cPanel de tu cuenta de alojamiento de WordPress en la sección de estadísticas o métricas.
En mi hosting Banahosting se llama «Acceso sin procesar».
Estos registros del servidor pueden ayudarte a comprender qué sucede cuando tu sitio de WordPress está siendo atacado.
También contienen todas las direcciones IP utilizadas para acceder a tu web, lo que te permite bloquear direcciones IP sospechosas.
Fallo al enviar o recibir mensajes de correo electrónico de WordPress
Los servidores pirateados se usan normalmente para enviar correo no deseado.
La mayoría de las empresas de alojamiento de WordPress ofrecen cuentas de correo electrónico gratuitas con su alojamiento.
Muchos propietarios de sitios de WordPress usan los servidores de correo de tu host para enviar correos electrónicos de WordPress.
Si no puedes enviar o recibir correos electrónicos de WordPress, existe la posibilidad de que tu servidor de correo electrónico sea pirateado para enviar correos electrónicos no deseados.
Tareas programadas sospechosas
Los servidores web permiten a los usuarios configurar los trabajos «cron».
Estas son tareas programadas que puedes agregar a tu servidor.
WordPress mismo utiliza cron para configurar tareas programadas, como publicar publicaciones programadas, eliminar comentarios antiguos de la papelera, etc.
Un hacker puede explotar cron para ejecutar tareas programadas en tu servidor sin que lo sepas.
Resultados de búsqueda secuestrados
Si los resultados de búsqueda de tu sitio web muestran un título o meta descripción incorrecto, entonces esto es una señal de que tu WordPress está pirateado.
Al mirar tu sitio de WordPress, todavía verás el título y la descripción correctos.
El hacker ha vuelto a explotar una puerta trasera para inyectar código malicioso que modifica los datos de tu sitio de una manera que solo es visible para los motores de búsqueda.
Anuncios emergentes de spam
Estos tipos de hackers están tratando de ganar dinero al secuestrar el tráfico de tu titio web y mostrar para sitios web ilegales sus propios anuncios de spam.
Estas ventanas emergentes no aparecen para los visitantes que acceden directamente a un sitio web.
Sólo aparecen para los usuarios que realizan la visita desde los motores de búsqueda.
Otras señales comprometidas
Hay otras formas de sospechar que tu WordPress ha sido infectado.
Algunas son sencillas de ver, como las siguientes:
- Tu página principal se redirige a otro sitio web.
- Tu sitio web desaparece del índice de Google.
- El uso de ancho de banda se dispara.
- Tu cuenta de Google Search Console recibe avisos y advertencias por tener código malicioso en tu sitio web. Al hacer clic en el apartado “Problemas de seguridad“, podrás ver si Google ha detectado posibles amenazas de seguridad.
- La búsqueda de tu sitio web en google con el sitio: tuweb.com devuelve resultados como: «viagra» u otros «productos farmacéuticos» (pharma hack).
- Te aparece una pantalla, con esta advertencia: «Este sitio puede haber sido comprometido» que puedes ver al visitar tu sitio web con tu navegador.
- Pantalla blanca de la muerte (WSOD) donde tu sitio carga una página en blanco.
- Encuentras extraños fragmentos de código en la parte superior de tu sitio web.
¿Qué puedo hacer para evitar que hackeen mi web?
Limpiar un WordPress hackeado puede ser increíblemente difícil.
Es por eso que te recomiendo que dejes que los expertos limpien tu sitio web.
Puedes utilizar Sucuri para proteger tu WordPress.
Viene con monitoreo de sitios web las 24 horas del día, los 7 días de la semana y un potente firewall de aplicaciones web, que bloquea los ataques antes de que lleguen a tu sitio web.
Lo más importante es que limpian tu sitio web si alguna vez es pirateado.
Espero que este artículo te ayude a prevenir que tu sitio de WordPress sea pirateado y tengas un ¡feliz WordPress!