Cada minuto se producen unos 90.000 ataques dirigidos a sitios de WordPress. Los ataques de malware no son una broma. Si no gestionas adecuadamente tu ciberseguridad, puedes poner en peligro tu sitio y tu negocio.

Sin embargo, la actividad maliciosa no tiene que ser algo que tengas que temer. Inspeccionar WordPress en busca de malware puede ayudarte a identificar y eliminar cualquier contenido dañino si tu sitio ha sido comprometido. También existen muchas formas de prevenir ataques a tu sitio web en el futuro.

Este post cubrirá lo que es el malware y por qué buscarlo es esencial para el mantenimiento de tu sitio. También te explicaremos cómo buscar el malware y eliminarlo si crees que tu sitio ha sido hackeado.

Empecemos!

¿Qué es el malware?

Malware significa «software malicioso». Es un término que engloba cualquier software dañino que los hackers utilizan para obtener acceso no autorizado o dañar tu sitio web de WordPress. Puede afectar negativamente a tu sitio de muchas maneras y supone un grave riesgo de seguridad tanto para ti como para los visitantes de tu sitio web.

Si el malware está presente en tu sitio web, normalmente lo sabrás. Podrías notar señales como:

Aunque todos estos problemas pueden tener múltiples causas, si observas uno o más de ellos, merece la pena investigar la posibilidad de que el malware haya infectado tu sitio.

Cómo se instala el malware en los sitios de WordPress

El malware puede instalarse en los sitios de WordPress de muchas maneras. Normalmente, un hacker o un bot explotan alguna vulnerabilidad de seguridad.

Por ejemplo, si no tienes medidas de seguridad para evitar repetidos intentos de inicio de sesión incorrectos, o si tu contraseña es débil, un hacker puede acceder a tu sitio. Entonces pueden instalar el malware mediante un ataque de fuerza bruta. Esto ocurre cuando un bot recorre cientos de combinaciones de nombre de usuario y contraseña en tu página de inicio de sesión hasta dar con la correcta.

Los plugins y temas desactualizados también son vulnerabilidades de seguridad que los hackers pueden explotar. Las redes de bots buscan en Internet sitios web con estas vulnerabilidades y las utilizan para instalar malware.

El malware también puede infiltrarse en tu sitio web a través de enlaces de phishing. Puede ocurrir si haces clic accidentalmente en un enlace de phishing en un correo electrónico o visitas un sitio web comprometido. Al hacerlo, puedes descargar inadvertidamente software malicioso en tu máquina. Éste puede llegar a tu servidor de WordPress.

Por qué es importante inspeccionar WordPress en busca de malware

Como hemos mencionado, normalmente habrá algunas señales de que el malware está presente en tu sitio web. Sin embargo, no siempre es así. A veces, puedes no ser consciente de que tu sitio web ha sido comprometido.

Afortunadamente, hay una forma fácil de averiguarlo: tienes que ejecutar un escaneo de malware. Es muy importante escanear regularmente en busca de malware, sobre todo porque el 83% de los sitios web basados en CMS que han sido hackeados están construidos con WordPress.

Si no escaneas regularmente en busca de malware, te expones a muchos riesgos, como:

  • Penalizaciones de SEO: Google suele denunciar los sitios web comprometidos. Esto puede hacer que tu clasificación en las páginas de resultados del motor de búsqueda (y el tráfico de búsqueda orgánica) caiga.
  • Bajo rendimiento del sitio web: El malware puede permitir a los hackers utilizar los recursos de tu servidor para atacar otros sitios web. El desvío de recursos de tu sitio puede provocar problemas de rendimiento, como la carga lenta de las páginas.
  • Dirección IP denegada: Los hackers también pueden utilizar el malware para enviar correos electrónicos de spam desde la IP de tu sitio web. Esto puede hacer que tu dirección IP sea eliminada de la lista por los principales proveedores de correo electrónico.
  • Riesgos para los visitantes de tu sitio web: El malware puede incluso suponer un riesgo de seguridad para los visitantes de tu sitio web. Puede cargar ventanas emergentes peligrosas en tu sitio y transmitir el malware a tus usuarios.

Además de escanear tu sitio web en busca de malware, también puedes adoptar un enfoque proactivo de la seguridad. Consulta nuestra hoja de trucos de seguridad del sitio para obtener consejos sobre cómo reforzar tu sitio contra las infracciones.

Cuándo inspeccionar WordPress en busca de malware

No esperes a ver las señales de advertencia para escanear tu sitio web de WordPress en busca de malware. El código malicioso puede pasar desapercibido durante mucho tiempo. Por lo tanto, es una buena idea comprobar tu sitio web con regularidad, incluso si no hay señales de que algo va mal.

Recomendamos comprobar la presencia de malware una vez al mes como mínimo. Probablemente deberías realizar un escaneo cada vez que hagas cambios en la estructura de tu sitio web o instales nuevos plugins. Además, recomendamos realizar un escaneo si notas alguno de los signos reveladores que hemos mencionado anteriormente.

Es posible que quieras establecer un recordatorio periódico para escanear tu sitio web en busca de malware. Por ejemplo, puedes hacerlo el primer día de cada mes para adquirir el hábito.

Las mejores herramientas para inspeccionar WordPress en busca de malware

La forma más fácil de inspeccionar tu sitio de WordPress en busca de malware es utilizar un plugin de seguridad. Aquí tienes algunas herramientas que te recomendamos utilizar para realizar un escaneo.

Wordfence

Wordfence es uno de los plugins más fáciles de usar para la detección de malware.

Plugin de seguridad Wordfence.
Plugin de seguridad Wordfence.

Una vez que instales el plugin, buscará periódicamente el malware de forma automática. También puedes realizar inspecciones manuales si crees que puede haber un problema de seguridad en tu sitio.

Una vez completados las inspecciones, WordFence también te recomendará acciones que puedes realizar para corregir los problemas de seguridad. Está disponible en versiones gratuitas y de pago. Recomendamos encarecidamente este plugin, ya que es fácil de usar. Además, la versión gratuita es perfecta para realizar inspecciones rudimentarios y corregir problemas menores de malware.

Sucuri

Sucuri es otra excelente herramienta que ofrece funciones básicas de inspecciones de malware.

Plugin de Sucuri Security.
Plugin de Sucuri Security.

Con Sucuri SiteCheck, puedes inspeccionar rápida y fácilmente tu sitio en busca de problemas introduciendo la URL de tu sitio. También puedes utilizar la función de escaneo instalando el plugin en tu sitio de WordPress.

El plugin gratuito de Sucuri también ofrece alertas por correo electrónico sobre problemas de seguridad y protección de cortafuegos que pueden ayudar a evitar actividades maliciosas en tu sitio web. Es un plugin bien construido con una excelente reputación, y los planes de pago, en particular, ofrecen a los usuarios de WordPress una protección completa contra el malware.

Si eres cliente de Kinsta y quieres utilizarlo, puedes seguir esta guía de instalación de Sucuri.

iThemes Security

Otra gran opción es el plugin iThemes Security.

Plugin iThemes Security.
Plugin iThemes Security.

Este plugin, antes conocido como Better WP Security, tiene más de 30 funciones de seguridad que pueden mantener tu sitio a salvo de todo tipo de ataques. Puedes utilizar la versión gratuita de iThemes para realizar inspecciones básicas de malware e identificar cualquier problema.

Por otro lado, puedes utilizar la versión Pro para configurar escaneos de malware programados y actualizaciones por correo electrónico. Esto hace que sea extremadamente fácil estar al tanto de las comprobaciones de seguridad de tu sitio.

Cualquiera de estas herramientas podrá ayudarte a escanear WordPress en busca de malware. Para este artículo, vamos a utilizar el plugin Wordfence.

Sin embargo, si Kinsta aloja tu sitio, puede que no sea necesario seguir estos pasos. En su lugar, puedes confiar en la Garantía de Seguridad de Kinsta para asegurar tu sitio.

Cómo inspeccionar WordPress en busca de malware en 4 sencillos pasos

Si crees que tu sitio web de WordPress ha sido hackeado, puedes seguir los cuatro pasos siguientes. Te explicaremos cómo escanear tu sitio y tus plugins en busca de malware utilizando Wordfence, así como la forma de asegurar tu sitio contra futuros ataques.

Paso 1: Instala el plugin de seguridad Wordfence

En primer lugar, vamos a instalar la versión gratuita del plugin Wordfence. Para ello, entra en tu panel de control de WordPress y ve a Plugins > Añadir nuevo. A continuación, busca Wordfence y haz clic en Instalar ahora en Wordfence Security – Firewall & Malware Scan:

Instala el plugin Wordfence Security.
Instala el plugin Wordfence Security.

Una vez instalado el plugin, haz clic en Activar. Es posible que recibas un aviso para aceptar las condiciones de uso y especificar tu dirección de correo electrónico para completar la instalación.

Paso 2: Haz una copia de seguridad de tu sitio WordPress

Antes de seguir adelante, te recomendamos que hagas una copia de seguridad de tu sitio web. En el siguiente paso, vas a eliminar los archivos potencialmente infectados por el malware.

Si algo va mal, esto puede eliminar accidentalmente datos críticos y causar importantes problemas en el sitio web. Hacer una copia de seguridad de tu sitio web primero significa que puedes volver a ella si ocurre algo inesperado.

Una de las formas más fáciles de hacer una copia de seguridad de tu sitio web es instalar el plugin gratuito UpdraftPlus.

Plugin de copia de seguridad de WordPress UpdraftPlus.
Plugin de copia de seguridad de WordPress UpdraftPlus.

Puedes instalarlo y activarlo siguiendo el mismo proceso que hiciste con Wordfence. A continuación, ve a Configuración > Copias de seguridad de UpdraftPlus y haz clic en Hacer copia de seguridad ahora:

UpdraftPlus backup now button
Encuentra el botón «Copia de seguridad ahora»

Ahora sólo tienes que esperar a que se complete el proceso. Si algo va mal en los pasos posteriores, puedes restaurar los datos de la copia de seguridad desde la misma página.

Paso 3: Ejecuta un análisis y elimina los archivos de malware

Lo siguiente que debes hacer es ejecutar un escaneo de malware. Wordfence debería escanear automáticamente tu sitio a diario, pero también puedes iniciar el proceso manualmente.

Para ello, ve a Wordfence > Escanear desde tu panel de control de WordPress. A continuación, haz clic en Iniciar un nuevo escaneo:

Inicia un nuevo escaneo con Wordfence.
Inicia un nuevo escaneo con Wordfence.

Wordfence empezará a buscar en tu sitio web malware, cambios en los archivos, etc. Este proceso puede tardar un poco en terminar. Puedes controlar el progreso en la línea de tiempo de la pantalla de escaneo.

Una vez completado el escaneo, verás un desglose detallado de los resultados.

Malware scan detailed results
Resultados detallados del escaneo de malware.

Este registro muestra una lista de todos los problemas de seguridad encontrados. Los etiqueta como de prioridad alta, media o baja, según su gravedad. Un resultado etiquetado como «archivo desconocido en el núcleo de WordPress» indica la posible presencia de malware. Afortunadamente, Wordfence facilita la eliminación de esos archivos.

Todo lo que tienes que hacer es hacer clic en Eliminar todos los archivos eliminables encima del registro de resultados. Entonces deberías ver un mensaje de advertencia:

Mensaje de advertencia de eliminar todos los archivos.
Mensaje de advertencia de eliminar todos los archivos.

Asegúrate de leer atentamente este mensaje de advertencia. Es posible que los archivos detectados no fueran malware y fueran esenciales para el buen funcionamiento de tu sitio web. Por eso sugerimos hacer una copia de seguridad de tu sitio en el paso anterior.

Si estás seguro de que los archivos detectados son software malicioso, puedes seguir adelante y hacer clic en Eliminar archivos. Esto debería eliminar todo el malware de tu sitio web. Si causa algún problema, puedes restaurar la versión anterior de tu sitio web desde la copia de seguridad.

Una vez eliminado el malware, es posible que también quieras solucionar cualquier otro problema que haya detectado el escáner. Por ejemplo, es posible que quieras solucionar los plugins desactualizados.

Paso 4: Toma medidas para asegurar tu sitio por completo

Una vez que hayas eliminado los archivos maliciosos, hay algunos pasos adicionales que podrías tomar para asegurar tu sitio completamente:

  • Cambia tus contraseñas: Si has tenido un malware en tu sitio, es probable que tus contraseñas también se hayan visto comprometidas. Por lo tanto, es mejor cambiar todas las contraseñas de tu sitio web y de cualquier otro lugar donde las hayas utilizado en línea.
  • Configura la autenticación de dos factores (2FA): Configurar el 2FA en tu sitio web añade una capa adicional de seguridad. Si tu contraseña se ve comprometida, el atacante no podrá seguir avanzando sin completar una comprobación adicional.
  • Audita los perfiles de los usuarios: Es posible que el malware haya creado un nuevo rol de usuario en tu sitio web. Puedes comprobar tus perfiles de usuario y eliminar de tu base de datos los que no deberían estar ahí para solucionar esto.
  • Implementa inspecciones de seguridad periódicas: Puedes activar la configuración de Wordfence para que inspeccione regularmente si hay malware. También deberías tomar otras medidas para bloquear tu sitio.
  • Haz una copia de seguridad de tu sitio: Una vez que te hayas librado del malware, crea una nueva copia de seguridad de tu sitio web. De este modo, siempre podrás restaurarlo a una versión limpia y libre de malware si algo va mal en el futuro.

Hacer los pasos anteriores puede parecer mucho trabajo, pero merece la pena. Te ayudarán a garantizar que tu sitio web se mantenga libre de malware en el futuro.

Resumen

El software malicioso es una amenaza siempre presente para los usuarios de WordPress. Sin embargo, si lo inspeccionas regularmente y sigues un procedimiento estricto de seguridad del sitio, es fácil mantenerlo seguro y libre de malware.

Aquí tienes un rápido resumen de cómo inspeccionar los sitios de WordPress en busca de malware y asegurar tu sitio contra la actividad maliciosa:

  1. Instala el plugin de seguridad Wordfence.
  2. Haz una copia de seguridad de tu sitio de WordPress.
  3. Realiza un escaneo y elimina los archivos con malware.
  4. Toma medidas para asegurar tu sitio a fondo.

¿Tienes alguna duda sobre cómo escanear tu sitio WordPress en busca de malware? Pregúntanos en la sección de comentarios más abajo!

Jeremy Holcombe Kinsta

Editor de Contenidos y Marketing en Kinsta, Desarrollador Web de WordPress y Redactor de Contenidos. Aparte de todo lo relacionado con WordPress, me gusta la playa, el golf y el cine. También tengo problemas con la gente alta ;).