Limpiar malware pop-up en wordpress

//Limpiar malware pop-up en wordpress

Limpiar malware pop-up en wordpress

Recientemente he tenido que limpiar malware de un WordPress en el que cada vez que se trataba de acceder a un contenido, saltaba una ventana emergente (pop-up) con el enlace

http://googleframe.net/tijaq.cgi?18

El WordPress estaba manga por hombro, no había copias de seguridad, llevaba tiempo sin actualizarse y el riesgo de cargarse el contenido era alto. Así que pondré los pasos que seguí por si resulta útil a alguien que esté en la misma situación.

Hice copias de seguridad de todo el WordPress y de la base de datos, que aunque estén comprometidos es un paso obligatorio.
Quité cualquier usuario que estuviera registrado en el wordpress. Cambié las contraseñas de administrador, editor, así como toda la información de la base de datos, desde el prefijo, pasando por el usuario y por supuesto la contraseña.

Subí una nueva instalación de wordpress y del template. Revisé el .htaccess para verificar que no hubiera cambios no deseados en este archivo.
Ejecuté la siguiente consulta en la base de datos:

update tabla set campo = replace(campo, ‘</title><script type=”text/javascript” src=””></script>’, ”)

Ese script es un código que el malware copia en páginas del WordPress. Especial atención a wp-options (esta tabla recoge la información delicada).

Para asegurar, hice una búsqueda de ese script en todo el directorio de wordpress para confirmar la eliminación total. Además una meticulosa búsqueda en las tablas “_post”

Una vez limpio lo suyo es instalar plugins de seguridad y protección de nuestro wordpress, mantenerlo siempre actualizado y tener siempre copias de seguridad para facilitar la restauración de nuestro sitio llegado el caso.

2016-12-14T20:18:05+00:00

2 Comentarios

  1. alejandro 17 julio, 2015 en 9:57 - Responder

    Hola!

    Genial artículo, he tenido el mismo problema que tu, he buscado en la base de datos y aparecen un montón de archivos infectados. Pero que ria preguntarte ¿como los has limpiado de la base de datos? que comando has ejecutado y donde?

    MUchas gracias por tu aportación!!

  2. sgris 28 julio, 2015 en 7:57 - Responder

    Hola Alejandro, accedes a tu base de datos, y ejecutas una búsqueda de la cadena que nos da el problema, en mi caso:

    http://bwinpoker24.com/click7.js

    Ahí te dirá en qué tablas tienes el problema, suele ser en posts y en algún comentario. Revisas (te dará la opción de examinar y verás los distintos campos afectados en cada tabla) y luego ejecutas la siguiente consulta para cada campo (en SQL es la pestaña donde podrás ejecutar esta consulta):

    UPDATE nombre_tabla SET nombre_campo = REPLACE ( nombre_campo, 'texto buscado', 'nuevo texto' );

    Espero que esto te aclare la duda, no obstante estaré atenta a tus respuestas por si necesitas algo y puedo aportar alguna solución.

    Un saludo.

Deje su comentario

1 × cinco =