Dirección

Calle la Era del Moro nº 1 bajo León

Teléfono

987 22 44 14

Horario

LUN-VIER 10:00 am to 8:00 pm

Limpiar una web infectada.

Cada vez es más común encontrase un día con una página infectada, bien sea una página hecha desde cero a la antigua usanza o una de las más comunes hoy en día hechas con algún gestor de contenidos tipo Joomla, Word Press, Prestashop …

Veremos las causas y algunos consejos de actuación.

El consejo cero, es tener un back up regular de la página. Los servicios de hosting suelen ofrecer este servicio incluso con los paquetes más básicos. No escatimes unos pocos euros y contrata un servicio de back up regular y automatizado. Si piensas, en plan “ya las haré yo a mano”.. salvo que tengas la disciplina de un samurái, tarde o temprano te confías y dejas de hacerlas. De modo, que consejo antes de empezar.. back up.

No obstante, si lo tienes te ha salvado la vida, o al menos la de la web, yo antes de restaurarla intentaría verificar por donde entró la infección.
El primer consejo es que no cunda el pánico, todo tiene solución. Saca el sitio de línea si es posible y ponlo en “cuarentena” para no infectar a los usuarios.
Es importante empezar a analizar la web y los archivos del hosting, ya que una vez infectados nuestro objetivo no es solo limpiar y restablecer la página, sino también saber cuál ha sido la vía de infección.

Las vías de infección más comunes son un error en la configuración de los ficheros del hosting, con permisos que daban más acceso del necesario a algunos ficheros.
No vamos a entrar en la configuración fichero a fichero de los permisos, pero como consejo más restrictivo, siempre y cuando no impidamos alguna funcionalidad es mejor.
Es importante leerse bien la documentación y consejos de seguridad de nuestro gestor de contenidos para tener una configuración de permisos en los ficheros y directorios adecuada.

Otra vía de infección, es el propio CSM, o sus plugins, módulos etc..
En muchas ocasiones los CSM más conocidos presentan debilidades que se van subsanado con progresivas actualizaciones, con lo cual… segundo consejo.
Mantén actualizado siempre tu CSM a la última versión, y estate pendiente de las noticias que saquen las propias páginas oficiales sobre seguridad. Esto eliminará muchos dolores de cabeza.
En cuando a los módulos plugins o templates.. Busca siempre que si sacan versiones de actualización con regularidad o el modulo está avandonado. Echa un vistazo al perfil de la empresa que lleva el desarrollo para ver que es una empresa que transmite una cierta confianza.
Un buen sitio para comprar los módulos o plugins suele ser en las páginas oficiales, por ejemplo el marketplace de módulos de pretashop es muy fiable y solvente. Hacen un buen filtro.
Revisa el ordenador desde el que trabajas con un buen antivirus. Es posible que tu ordenador esté infectado, y por ejemplo inyecte código en los archivos html o imágenes de tu disco duro. En este caso, cuando subes los ficheros por el FTP, eres tú mismo el que se infecta al subirlos. De nuevo estás ejerciendo de samurái, ya que eres tú el que te has hecho el harakiri.
Hablando del FTP, cambia las contraseñas del FTP y actualiza el cliente de FTP que uses a la última versión. Cambia las contraseñas de tu hosting y del backend de tu CSM. La cosa está en ir cerrando puertas.
Pide ayuda a tu hosting, o a un webmaster profesional si el tema se pone muy cuesta arriba.
Revisa los logs del servidor para ver si encuentras accesos desde IPs que no son tuyas o de la gente que trabaja en la web a partes internas de la web, al backend o al propio hosting.
Infórmate sobre seguridad web y servidores web, en internet está toda la información que necesitas, te lo aseguro. Sólo es cuestión de encontrarla. En esto la empresa de hosting puede ser de gran ayuda.
Mantén las webs, si tienes varias, lo más estacas entre ellas que sea posible, ya que puede ser que un script empiece a generar ficheros maliciosos en otras webs que comparten host.
Seguir todos estos pasos es importante ya que si te has infectado una vez, quiere decir que tienes una puerta abierta, y si no la cierras van a entrar más veces.

Desinfectar la página.

Si has llegado hasta aquí lo más seguro, es que el consejo cero te lo habías pasado por alto. Es decir no tienes un back up reciente.
Una buena manera, es eliminar todos los archivos y olvidarte de la página.. NO, ES BROMA, como dijimos antes, todo tiene solución. Aunque ciertamente hay veces que dan ganas de hacerlo.
Una manera que me ha dado buen resultado es revisar la última fecha de modificación de los ficheros de la web. Normalmente cuando montamos una web, la mayoría de los ficheros no los volvemos a tocar. Si te han metido código malicioso en algún fichero, o te han metido un fichero a mayores con un script malicioso, tendrá una fecha de última modificación más reciente que el resto de ficheros del mismo directorio.
Si empiezas a encontrar este tipo de ficheros, con fechas de modificación que no cuadran, edita su código fuente a ver que ves en él.
También puedes mirar que ficheros no deberían de estar ahí, comparándolos con los ficheros de una instalación limpia. Importante no borres ficheros a lo loco sin no estás al cien por cien seguro de que no tendrían que estar ahí.
Revisa el fichero htaccess, de la web. Este fichero es muy goloso para los hackers. Si lo has modificado tú, debería de estar igual a la última vez que lo retocaste. Si tienes el del CSM por defecto, cotéjalo, con el fichero por defecto del CSM. Una manera rápida de comprobarlo es ver si el fichero ocupa los mismos K. Pero no sea vago y moléstate en leer si ha cambiado el código.
En cuanto a que nos podemos encontrar en el código, hay de todo. Desde simplemente un disimulado enlace a otra web, a trozos enormes de código encriptados en base64, código javascript añadido.
De nuevo puedes comparar su código con el de una instalación limpia para ver si hay trozos añadidos que hacen referencia a cosas raras por ejemplo.
En ocasiones, con esto puede ser suficiente, ya que la a veces la infección se reduce a pocos ficheros, y una vez subsanados se termina con el problema. Pero si ves que la infección está realmente extendida, es posible que puedas considerar opciones un poco más radicales.
Una de las opciones para cortar por lo sano es hacer una instalación limpia.
Para ello saca una copia de todos los ficheros de la web por si acaso tienes que salvar cosas. Exporta la base de datos completa, la mayoría de tu trabajo está ahí, no en los ficheros, salvo que hayas hecho modificaciones avanzadas en ficheros.
Haz una instalación limpia del CSM.
Luego importa la base de datos de nuevo. Es conveniente echar un vistazo a los registros de la base de datos por si nos hubieran colado algo ahí.
Cambia los datos del fichero de configuración que une la base de datos, con el CSM propiamente dicho, para ello consulta la documentación del gestor de contenido. Esto es realmente fácil en la mayoría de los CSM, aunque contado así parece algo..
Instala el mismo template que tenías, para lo cual descárgatelo de nuevo con una versión actualizada.
Revisa el directorio de las imágenes de la copia infectada, para ver que no hay ficheros añadidos y que las imágenes están limpias e impórtalas al directorio de imágenes de la instalación limpia.
Vuelve a instalar, los plugins y módulos, si estás seguro de que la infección no fue por culpa de alguno de ellos.
Seguramente, la página está ya restaurada y casi Ok. Digo casi, porque aunque sobre el papel suena todo muy bien, siempre hay pequeñas cosillas que petan después de todo este procedimiento.
Ultimo consejo sobre páginas infectadas, si al entrar en esta página has leído, que te regalamos un Iphone o algo parecido, no sé qué estás haciendo aquí, esta página está infectada. Abide software te regalaría un Android, nunca un Iphone.

No hay comentarios

Agregar comentario