He leido y ayudado a bastante gente con este tema, tema del que en un par de veces me he tenido que ayudar a mi mismo también.
Cuando ingresamos a nuestro blog y vemos que está hackeado (palabra mal utilizada pero que voy a usar en todo el texto) lo primeros que pensamos es ¿Qué hago ahora?
En base a mi experiencia puedo recomendar lo siguiente:
- Pedir ayuda a amigos y conocidos.
- Re-instalar WordPress.
- Revisar todos los directorios.
- Sobre el theme.
- Solucionando el problema.
- Más avanzado..
Lo primero es no ponerse nervioso y no apurarse porque seguramente se nos nuble la mente y no sepamos que hacer, una buena idea es pedir a amigos y conocidos ayuda y consejos, nunca olviden que 4 ojos ven más que 2.
Volviendo a instalar WordPress nos aseguramos que si algún archivo de wp fué modificado sea sobreescrito.
Lo mejor sería borrar todo menos los archivos de siempre (sitemaps, wp-config, wp-content, etc.) y volver a subir una instalación limpia.
Excluyendo los que borramos, puede que el atacante nos haya dejado algo en wp-content/uploads, lo adecuado sería revisar todos los directorios dentro de /uploads.
Generalmente cuando nos hackean/defacean un sitio, lo hacen modificando el index.php de nuestro theme, lo ideal sería revisar el theme entero y en todo caso volver a subir un backup completo (lo mejor).
Puede que a veces no se conformen solo con modificar el index de nuestro theme, sino que vayan por el index.php de wp que está en /, o puede que también nos hayan subido un index.html y solo tengamos que borrarlo.
Julio -quién fué uno de los que me ayudó cuando todavía no podía dar con el log- ha hecho una traducción de un artículo sobre como reaccionar ante un defacement que todos deberían leer.
El tema es muy complejo para abordarlo de una, se me siguen ocurriendo ideas pero si las escribo no terminaría más el post, tal vez si interesa pueda extender más el tema
Muy valioso Neri, información directa de la experiencia.
Buen post Neri, hacen falta mas post asi en la blogosfera!
Malisimo el articulo, unos consejos de mierda…
Me parecen muy bien los consejos, es decir, son los que realmente se deberían seguir si nos llegan a hackear el blog.
Otro punto que considero importante, es que si el hacker tiene acceso administrador al blog, podría haber insertado, editado o eliminado registros a la base de datos, por lo que sería bueno restaurar al backup más reciente o mirar (aunque esta opción estaría difícil para un usuario común).
Saludos.
Pingback: Ayuda WordPress
Pablo y Franciso Muchas gracias!
TecnoBITA: es un buen punto tambien ese! pero como dije al final, habia muchísimas cosas más, daría mas para hacer un ebook que un post jeje, saludos y gracias a todos
ammmmm es idea mia o tratas de explicar que lo mejor es desintalar wordpress, borrar todos los archivos que estan en public_html y volver a instalar desde cero?
¿?
y si no tengo respaldo?.. todo lo que nombras tiene fundamento si tienes un respaldo.
mi resumen seria: borra todo, reinstala y si tienes un backup, sube el backup =P
Bien. buenos consejos… aunque creo que se te olvido aquello de eliminar el usuario admin por defecto. ya que cuando hackearon mi instalacion felizmente pude restablecer desde el phpMyAdmin, porque ni siquiera podia ingresar. Y no habian borrado mucho, solo pusieron un index.html de horror.
Está bien el artículo, basado en la experiencia, pero… ¿no de debería titularse “Que hacer si nos hackean un sitio/blog wordpress ? Es solo un comentario. Me parece un título muy general para un contenido muy especifico. Me que quedado en el punto 2.
Una seguridad añadida para evitar que estas cosas sucedan es proteger con clave el /wp-admin
Además las copias de seguridad son importantísimas. Nuestro servidor se sincroniza con otro todos los días a las 3 de la mañana y cambia backups. Y no ha sido la primera vez que hemos tenido que restaurar los datos, no por un crackeo, sino por que falló el hardware de nuestro servidor dedicado.
Yo no uso WordPress
A mi me pasó y es un coñazo…
saludos
DoctorPc: es obvio que cualquier mortal debería tener backups
Oscar: te digo lo mismo que a Tecnobita, dejé muchisimas cosas de lado porque no dan todas para un artículo
Sagudino: el sitio este se llama wordpress hacks, no joomla hacks ni blogger hacks, es obvio que todo lo que escribo se basa en WordPress
Jimmy: si esa es buena idea!
emule: si, me acuerdo cuanto te hackearon el sitio
muy bueno hoy estoy en esa situación mi sitio no se ve pero como es de una red de redactores debemos esperar que los arreglen gracias es para tener en cuenta un saludo desde uruguay
Pingback: blogpocket
Pingback: Trazos Web
esto me recordo que no tengo ningun backup de mi theme premium altamente alterado y modificado para que se viera perron
Pingback: Como Hacer
No hace muco me hackearon un wordpress, no se como pudieron meterse pero cogieron el control absoluto del blogs… Menos mal que hago backups todos los dias…
Wordpress, al igual quelos demás cms tienen muchas vulnerabilidades, por eso es mejor tener siempre la ultiam version del cms…
Pingback: Lo mejor de la blogósfera en el 2009 | Trazos Web
muy buen articulo
Gracias pana, así lo hicieron, segui todas tus recomendaciones y recupere en un 2×3 mi página, un millon.
Hola…..tengo mi pagina hecha en wordpress y mas de una vez me la han hackeado, si alguien sabe como asegurar mi pagina para que no me siga pasando esto (hacker), lo agradeceria mucho.
Hola, hace un mes m hackearon mi wordprees al regresar de la escuela entre y me salia otro index osea no mi web, era algo de sb team hack y imajenesde arabes muertos etc la vdd jaja me espante..la vdd no se como le hicieron..si ubieranobtenido mi pass de usuario me ubieran borrado todo mas..mi base de datos estaba con mis usuarios y mis post osea accsesaba facil al escritorio la vdd creo fue ftp, al entrar al ftp observe que el index.php pues era su pagina no se como la pusieron ahi..ahor stoy a punto de sacar mi nuevo wp pero quiero protegerme..algo que me recomienden?
Si vuelvo a instalar wpress perdere todo el diseño que tenía mi web ?
muy bueno el articulo. en uno de nuestros blogs (fuerakilos.com) nos ha pasado ya varias veces. lo mas importante es seguir 4 pautas:
-revisar las extensiones y borrar las no necesarias ya que hay muchas extensiones con “regalitos” ocultos
-instalar una extension que proteja el login contra ataques por fuerza bruta baneando la ip del atacante
-proteger archivos como el index.html y archivos de entrada con permisos de no escritura chmod 644
-y, sobre todo, hacer copias de seguridad de todo al menos cada semana
un saludo a todos
buen dia!!