Como eliminar un virus de una web

Publicado el
Somos Roberto y Francisco, un pequeño equipo dedicado al desarrollo web especializado en las cuestiones técnicas de las plataformas WordPress y WooCommerce. Realizamos consultoría y formación, desarrollamos plugins y temas, optimizamos, securizamos, respondemos a incidentes de seguridad y mantenemos sitios. Fundada en 2012, somos el apoyo técnico de más de un centenar de proyectos web en España y Alemania, además formamos parte activa de la comunidad WordPress.

Por desgracia habitualmente nos encontramos con páginas webs que han sido «hackeadas», y a las que se le han introducido virus. Hay varias tipologías de virus en la web, los más comunes publican publicidad de terceros o intentan que el visitante se descargue e instale un virus. Aunque también los hay que aprovechan nuestro servidor como «repetidor» en la distribución de contenidos habitualmente ilegales, y que nos pueden poner en un serio aprieto legal.

get_rid_of_a_virusAntes de saber más sobre estos virus hay varias cosas que debes saber:

  1. Puede que no sea la web, puedes ser tu. Verifica que aquello que aparece en la web aparece también en otros ordenadores, el virus podría tenerlo tu ordenador y no darte cuenta, y creer que es un virus en una web.
  2. No te lo tomes como algo personal, seguramente nadie esté atacando personalmente a tu sitio, en la mayoría de los casos estos ataques son llevados a cabo de forma automágica por otros servidores pre-programados para aprovechar vulnerabilidades de webs que no se encuentran actualizadas o sistemas con contraseñas muy simples.
  3. Actúa rápido, Google detecta si tu web tiene virus y también si tu web no está actualizada, google no quiere mandar sus visitantes a sitios inseguros o infectados, de modo que eso puede situarte en una especie de «lista gris» que puede hacer que pierdas momentáneamente el posicionamiento que tenías en el buscador.
  4. Cuidado con la ley, un virus podría colocar contenido ilegal en tu web, o recoger datos personales (Protegidos por la LOPD). En ambos casos podrías tener problemas legales.

Diagnóstico

Una vez que somos conscientes de estos puntos, vamos al virus. Lo habitual es que un programador diagnostique qué es lo que ocurre en el sitio, y a partir de ahí actúe. En el siguiente vídeo analizamos por distintas vías un sitio que ha sido infectado.

Cuando un programador hace este diagnóstico habitualmente tiene que mirar: ficheros que han cambiado recientemente, o cuya fecha de edición resulta sospechosa (pe: una edición a las 3 de la mañana), buscar ficheros y directorios que no parecen pertenecer a la estructura original del sitio, localizar los cambios que hace en el código el virus y rastrear hasta encontrar desde dónde vienen esos cambios, localizar en los archivos cadenas habitualmente sospechosas como «eval» «base64_decode» etc, encontrar archivos de un tipo que se camuflan bajo una extensión distinta (pe: un PHP en un JPEG), deducir a través de diversos métodos cómo ha entrado el virus, etc.

Actuación

Esto no es una ciencia exacta, y siempre se encuentra sobre la mesa la habilidad y la experiencia del programador o el experto en seguridad. Tras el diagnóstico tendríamos la actuación, dónde encontramos varias alternativas:

  • En el peor de los casos, sería más costoso limpiar el sitio web que crear uno nuevo. Esto ocurre cuando el virus ha infectado muchos archivos y tiene unos movimientos complicados de seguir. También cuando el software del sitio se encuentra tan desactualizado y es tan incompatible con versiones posteriores que no vale la pena invertir en él, sino empezar desde cero.
  • En el caso malo pero menos malo, habría que limpiar manualmente el virus del sitio, analizando y «reparando» uno a uno cada fichero o cada entrada de la base de datos que se hayan encontrado infectados. Esto requiere horas y paciencia, pero si el espacio del virus se encuentra acotado, es un trabajo factible.
  • En el mejor de los casos, habría una copia de seguridad reciente del sitio, podríamos recuperarla, dejar el sitio en el estado anterior a la infección del virus, y arreglar los problemas de seguridad que han causado la entrada del virus.

Prevención

Una vez que el sitio está limpio no se puede cantar victoria, ya que queda un paso esencial, la prevención, que es la que hará que no vuelva a entrar el virus. Si el virus ha entrado una vez y no ponemos medios para que no vuelva a entrar, tarde o temprano entrará de nuevo, seguiría teniendo las puertas abiertas.

  • Copias de seguridad frecuentes, SIEMPRE. Una web es una inversión, y no tiene sentido que puedas perder esa inversión de golpe por no haber hecho algo tan simple, barato y automatizable como copias de seguridad.
  • Mantenimiento, el software con el que se ha creado tu web no es infalible, seguramente en siguientes versiones descubran y arreglen fallos de seguridad. Mantén tu sitio siempre al día, no solo evitarás estos malos tragos, sino que también disfrutarás las nuevas funcionalidades que se incluyan en nuevas versiones, y tu sitio no quedará atrás perdido en el tiempo.
  • Seguridad y buenas contraseñas, aplica las condiciones de seguridad que te recomiende un experto en seguridad, usa contraseñas seguras, y deja que un profesional proteja tu servidor de ataques.

Siguiendo estos consejos puedes limpiar tu sitio de virus y prevenir para que no te ocurra en el futuro.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *