⚠️ Ayuda urgente: Mi sitio WordPress se bloquea/reinfecta aun tras restaurar backups y limpiar malware – ¿Qué puedo hacer para blindarlo?

Daniel Jimenez

Explorador Activo

Registrado
5 Mar 2024
Mensajes
37

Hola comunidad, necesito su apoyo profesional:


Estoy enfrentando un problema crítico con mi sitio WordPress. Después de restaurar un backup limpio y actualizar todo, al poco tiempo vuelvo a perder acceso al administrador o surgen indicios de malware/alteraciones.
He realizado los siguientes pasos:


  1. Restauré un backup del sitio (archivos y base de datos) supuestamente limpio.
  2. Escaneé la carpeta wp-content con herramientas como VirusTotal, Wordfence y Sucuri; no detectan malware.
  3. Actualicé todos los plugins, temas y WordPress a su versión más reciente.
  4. Eliminé plugins obsoletos y cambié todas las contraseñas (admin, FTP, base de datos).
  5. Revisé manualmente archivos clave (functions.php, wp-config.php, etc.) y no hallé código extraño.
  6. Mi hosting tiene ciertas limitantes técnicas (recursos, restricciones en Plesk).

El problema persiste:


  • A las horas o días, pierdo acceso al admin o se bloquea el sitio.
  • No veo nuevas inyecciones de malware en los archivos analizados, pero el problema se repite.



¿Qué más puedo hacer? ¿Por qué podría seguir ocurriendo esto?


Dudas específicas:


  • ¿Podría haber backdoors en archivos o en la base de datos que los escaneos automáticos no detectan?
  • ¿Qué archivos o tablas son críticos para buscar código oculto?
  • ¿Debo hacer una limpieza aún más profunda? ¿Cómo?
  • ¿Qué herramientas gratuitas recomiendan para revisar bases de datos o archivos .php sospechosos?



Notas adicionales:


  • Trabajo con el tema Basel y he revisado functions.php, footer.php, header.php.
  • El plugin WP Forms Puzzle Captcha lo marqué como inseguro y lo eliminé.
  • Uso Plesk y tengo backups recientes.



¡Agradecería mucho sus consejos, experiencias y cualquier guía detallada!
(Puedo compartir logs, fragmentos de archivos, o detalles del servidor si es necesario).




  • #WordPress #Malware #Hacking #WebSecurity #Ayuda #PHP #Plesk #Hosting
 
Hola Daniel, menudo dolor de cabeza... si lo he pasado. Antes que nada te comparto este archivo, el cual subiendolo a la raiz te permite cambiar la contraseña y recuperar el ingreso de tu usuario. Solo te recomiendo renombrar el archivo por un nombre que solo tu sepas, usarlo y luego eliminarlo del servidor para evitar que otros lo usen.
Por otro lado, te recomiendo instalar Wordfence para que haga un chequeo completo. Es dificil decirte con exactitud que puede ser, pero ese es un buen comienzo.
Saludos!
 

Adjuntos

Hola Daniel, menudo dolor de cabeza... si lo he pasado. Antes que nada te comparto este archivo, el cual subiendolo a la raiz te permite cambiar la contraseña y recuperar el ingreso de tu usuario. Solo te recomiendo renombrar el archivo por un nombre que solo tu sepas, usarlo y luego eliminarlo del servidor para evitar que otros lo usen.
Por otro lado, te recomiendo instalar Wordfence para que haga un chequeo completo. Es dificil decirte con exactitud que puede ser, pero ese es un buen comienzo.
Saludos!
estimado, una pregunta, que funcion tiene ese archivo, me gustaria saber mas sobre eso.
 
Como te pusieron en el comentario anterior, wordfence es una buena herramienta para revisar si hay archivos infectados.
Si a pesar de eso no encuentras nada mal.

Me paso un par de veces que hackearon el servidor, el problema es que solo tenía acceso a cpanel sin acceso a la raiz del servidor (WHM). Por lo visto llegaron hasta la raiz y se ejecutaba un cron job para que cada vez que se modificaba alguno de los archivos se volvía al estado "infectado".

Parece que es algo similar en tu caso, sobre lo limitado de tu acceso, cambiaria todos los accesos, revisa si puedes entrar a ssh y cierra los puertos, también cuentas FTP si tuvieras alguna.

En caso, halla mucha restricción del servidor, que la tuve también, rehaz la página, en cierta medida a mí me fue sencillo con el backup, copie las secciones y lo pude hacer rápidamente. Así eliminas todo pedazo de código malicioso, que pueda exisitr.

Suerte
 
Hola amigos. Me está pasando lo mismo con un sitio ya pronto.. com 70 gb de datos... miles de páginas (ni sá bien para qué) y cuando lo limpio al poco tiempo vuelve a estar todo infectado. Consigo entrar al panel wordpress y al cpanel sin problemas, pero ahora se bloqueó la página inicial (totalmente blanca y sin cargar html.. nade, cero!) Ya no sé qué puedo hacer,.. y para variar no tengo acceso al servidor/hosting
 
Hola Daniel, menudo dolor de cabeza... si lo he pasado. Antes que nada te comparto este archivo, el cual subiendolo a la raiz te permite cambiar la contraseña y recuperar el ingreso de tu usuario. Solo te recomiendo renombrar el archivo por un nombre que solo tu sepas, usarlo y luego eliminarlo del servidor para evitar que otros lo usen.
Por otro lado, te recomiendo instalar Wordfence para que haga un chequeo completo. Es dificil decirte con exactitud que puede ser, pero ese es un buen comienzo.
Saludos!
Muchas gracias por el apoyo, de gran ayuda de verdad
 
Como te pusieron en el comentario anterior, wordfence es una buena herramienta para revisar si hay archivos infectados.
Si a pesar de eso no encuentras nada mal.

Me paso un par de veces que hackearon el servidor, el problema es que solo tenía acceso a cpanel sin acceso a la raiz del servidor (WHM). Por lo visto llegaron hasta la raiz y se ejecutaba un cron job para que cada vez que se modificaba alguno de los archivos se volvía al estado "infectado".

Parece que es algo similar en tu caso, sobre lo limitado de tu acceso, cambiaria todos los accesos, revisa si puedes entrar a ssh y cierra los puertos, también cuentas FTP si tuvieras alguna.

En caso, halla mucha restricción del servidor, que la tuve también, rehaz la página, en cierta medida a mí me fue sencillo con el backup, copie las secciones y lo pude hacer rápidamente. Así eliminas todo pedazo de código malicioso, que pueda exisitr.

Suerte
Agradezco mucho sus comentarios.

En efecto, una de las soluciones que implementamos fue la restauración del sitio a partir de un respaldo. Tuvimos que cargar el sitio nuevamente, lo que nos permitió recuperar el acceso y comenzar a trabajar en él.

Debo mencionar que esta situación fue bastante frustrante, ya que el acceso a Plesk estaba muy limitado y el soporte técnico no fue de gran ayuda. No brindaron un apoyo más profundo en la revisión del servidor y se deslindaron de cualquier desperfecto en la página.

Afortunadamente, hemos logrado identificar los archivos clave y estamos implementando las medidas de seguridad necesarias para proteger el sitio.

Sus comentarios fueron de gran utilidad para el análisis de la situación.
 
Usa wordfence, te ayudara a identicar archivo infectados, los cuales podras corregir linea a linea, para solucionar.
 
estimado, una pregunta, que funcion tiene ese archivo, me gustaria saber mas sobre eso.
Hola Kelvyn, basicamente lo que te permite es recuperar el usuario si te han cambiado hasta el email. Pones tu usuario y reseteas la contraseña desde ese archivo. Es, como bien dice su nombre, para emergencias por si te han quitado todo camino de recuperación.
Una vez utilizado y recuperado el usuario, elimina el archivo del servidor.
 
Todas las opciones que te han dado estan bien, solo un concejo, cuando recuperes el acceso te reco,iendo usar el plugin WP RESET y resetea todo el sitio y te queda wordpress de fabrica para de ahi en en adelante realizar los cambios que te sugieren !
 
Desde una pagina que tenia, alguien duplicaba paginas corporativas y se metia en multinacionales, hasta que me avisaron de la central de marriot en USA , elimine el codigo malicioso y en Venganza me hackearon todo el server y todas mis paginas se infectaron. Wordfence me resulto muy util y Cloudflare, un año despues aun intentan acceder pero ya no pueden
 
Hola Kelvyn, basicamente lo que te permite es recuperar el usuario si te han cambiado hasta el email. Pones tu usuario y reseteas la contraseña desde ese archivo. Es, como bien dice su nombre, para emergencias por si te han quitado todo camino de recuperación.
Una vez utilizado y recuperado el usuario, elimina el archivo del servidor.
Excelente estimado, muchas gracias.
 
Tremendo dolor de cabeza, menos mal lograste solucionar. yo personalmente hubiese cambiado de servidor ya que posiblemente siga infectandose o queden residuos en el
 
Sí, puede que tengas un backdoor en archivos poco comunes o en la base de datos. Te recomiendo:


  • Escanear con MalCare (tiene detección más profunda).
  • Revisar la tabla wp_options y wp_users por registros extraños.
  • Buscar funciones como base64_decode, eval, gzinflate en todo el sitio.
  • Cambiar todas las claves secretas en wp-config.php desde WordPress.org secret-key generator.
  • Si el hosting lo permite, cambia a PHP 8.2+ y activa ModSecurity.

Y si puedes, migra temporalmente el sitio a otro hosting para descartar compromisos en el entorno actual.
 
Así me pasó una vez pero yo contaba con un backup libre de virus. Lo que hice fue borrar por completo todos los los archivos de wordpress, revisar todos los sitios que compartía en mi hosting, restaurar mi sitio y cambiar accesos. Lograron infectar mi sitio gracias a un sitio de prueba que tenia por ahi, solo arreglando ese sitio pude recuperar el control.
 
Volver
Arriba Abajo