Guía para Limpiar Malware de una Base de Datos Hackeada en WordPress

Cuando tu sitio web es hackeado, el malware no solo se esconde en los archivos del servidor, sino también en la base de datos. Los atacantes suelen inyectar scripts maliciosos que afectan la funcionalidad del sitio, roban datos o incluso redirigen a los usuarios a sitios peligrosos.

En este artículo, te explicamos cómo detectar y eliminar malware de una base de datos hackeada en WordPress siguiendo un proceso paso a paso.

El malware en la base de datos consiste en código malicioso inyectado en tablas como wp_posts, wp_options o incluso en campos de usuario. Este código puede incluir:

  • Scripts de redireccionamiento.
  • Inyecciones de spam SEO.
  • Backdoors ocultas.
  • Usuarios administradores falsos.

Detectarlo y eliminarlo a tiempo es fundamental para evitar daños mayores.

Realiza una Copia de Seguridad Completa

Antes de comenzar cualquier proceso de limpieza, asegúrate de realizar una copia de seguridad completa de:

  • La base de datos.
  • Los archivos del servidor.

Esto te permitirá revertir los cambios si algo sale mal.

📌 Consejo: Usa herramientas como phpMyAdmin o por comandos MySQL desde la terminal para exportar la base de datos.

Identifica Actividad Sospechosa en la Base de Datos

Una vez que tengas la copia de seguridad, busca actividad sospechosa en las siguientes tablas:

TablaContenido
wp_postsContenido de las publicaciones.
wp_optionsConfiguración del sitio.
wp_usersUsuarios registrados.

Busca indicios de malware como:

  • Código JavaScript inyectado en los campos de texto.
  • Enlaces a sitios desconocidos.
  • Usuarios administradores que no reconoces.
Ejemplo de Código Malicioso Común:
<script>eval(unescape('%64%6f%63%75%6d%65%6e%74%2e%6c%6f%63%61%74%69%6f%6e'));</script>

En los últimos meses, se ha detectado una creciente detección de código malicioso, incrustado en la base de datos de WordPress bajo la tabla 
wp_options, específicamente en la fila:

option_name: widget_block
option_value: Contiene código JavaScript ofuscado.

Al inyectarse en la base de datos en lugar de en los archivos de temas o complementos, el malware evita que las herramientas de escaneo de archivos comunes lo detecten, lo que le permite persistir silenciosamente en los sitios de WordPress afectados.
El JavaScript malicioso se encontró inyectado en el widget de bloque HTML a través del panel de administración de WordPress ( wp-admin > widgets ).

Utiliza Consultas SQL para Detectar Malware

Ejecuta consultas SQL para buscar patrones sospechosos en la base de datos.

🧪 Ejemplo de Consulta SQL para Buscar Scripts Maliciosos en wp_posts:

SELECT * FROM wp_posts 
WHERE post_content LIKE '%<script>%';

🧪 Consulta para Buscar Usuarios Administradores Falsos:

SELECT * FROM wp_users 
WHERE user_login NOT IN ('admin', 'editor', 'author');

Elimina el Malware de Forma Manual

Si encuentras código malicioso, elimínalo manualmente desde phpMyAdmin o mediante consultas SQL.

🧩 Ejemplo para Eliminar Scripts Maliciosos:

UPDATE wp_posts 
SET post_content = REPLACE(post_content, '<script>malicious_code</script>', '');/code>

Cambia las Credenciales de Acceso

Después de limpiar la base de datos, es fundamental cambiar todas las credenciales de acceso:

  • Contraseña de la base de datos.
  • Usuarios administradores del CMS.
  • FTP y cPanel.

Fortalece la Seguridad de tu Sitio

Para prevenir futuros ataques, implementa estas medidas de seguridad:

Mantén tu CMS y plugins actualizados.
Usa contraseñas seguras.
Implementa un firewall de aplicaciones web (WAF).
Monitorea tu sitio en busca de actividad sospechosa.

  • Sucuri Security Plugin: Escanea tu sitio en busca de malware y vulnerabilidades.
  • MalCare: Proporciona limpieza automática de malware.
  • WP-CLI: Permite ejecutar consultas SQL directamente desde la terminal.
Conclusión

La limpieza de malware en una base de datos hackeada es un proceso crítico para proteger tu sitio web y la información de tus usuarios. Sigue los pasos descritos en esta guía y, lo más importante, refuerza la seguridad de tu sitio para evitar futuros ataques.

Recuerda: La prevención es la mejor defensa contra los hackers. 🛡️

De igual forma, los invitamos a leer los siguientes artículos en inglés, donde hablan con más detalles esta modalidad de ataques:

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  TwitterFacebook e Instagram.

La Revolución en la Autenticación de Emails: ARC (Authenticated Received Chain)

En el mundo de las comunicaciones por correo electrónico, la autenticidad y seguridad de los mensajes han sido desafíos constantes. El spam, la suplantación de identidad (phishing) y los correos fraudulentos representan amenazas diarias para empresas y usuarios. Para combatir estas amenazas, se han desarrollado varios sistemas de autenticación de correos electrónicos, como SPF, DKIM y DMARC. Sin embargo, el panorama de los correos reenviados y los servicios intermediarios reveló una limitación crítica en estos métodos: el riesgo de que la autenticación se rompa cuando los correos pasan por múltiples servidores.

Es aquí donde ARC (Authenticated Received Chain) entra en escena, un estándar relativamente reciente que promete solucionar este problema y mejorar la confianza en la autenticación de correos.

ARC es un protocolo diseñado para preservar la autenticación de los correos electrónicos a medida que se reenvían entre múltiples servidores. Mientras que SPF, DKIM y DMARC son excelentes para autenticar el remitente original, ARC se enfoca en garantizar que los resultados de esa autenticación se mantengan intactos, incluso si un mensaje es reenviado por servicios como listas de correos o plataformas de reenvío.

Este sistema fue desarrollado por el grupo de trabajo de ingeniería de Internet (IETF) como respuesta a los problemas que surgían cuando los correos pasaban por intermediarios. Sin ARC, los mensajes que son reenviados por múltiples puntos pueden fallar en la autenticación, llevando a que los servidores de recepción los marquen incorrectamente como sospechosos o fraudulentos.

ARC se basa en la cadena de autenticación y sellos digitales que acompañan a un correo electrónico a medida que pasa por distintos intermediarios. A continuación, te explicamos cómo opera:

  1. Generación del sello ARC: Cuando un servidor recibe un correo, válida los resultados de SPF, DKIM y DMARC del mensaje original. Si el correo es reenviado, este servidor agrega un sello ARC, que consiste en los resultados de autenticación y su propia firma digital.
  2. Cadena de sellos ARC: A medida que el correo pasa por más intermediarios, cada uno de ellos válida la autenticidad de los sellos ARC anteriores y añade su propio sello ARC. Esto genera una cadena que muestra todos los puntos por los que ha pasado el correo.
  3. Validación por el servidor receptor: Cuando el correo llega a su destino final, el servidor receptor puede revisar toda la cadena ARC y determinar si la autenticación original sigue siendo válida, a pesar de los reenviadores. Esto le da al servidor una mayor capacidad para confiar en la autenticidad del mensaje.
  1. Mejora en la autenticación de correos reenviados: Sin ARC, los correos reenviados por listas de distribución o servicios como Gmail y Yahoo pueden perder su autenticación original, lo que resulta en falsos positivos y correos legítimos siendo marcados como spam. ARC preserva estos resultados de autenticación a lo largo de la cadena.
  2. Reducción de falsos positivos: ARC ayuda a prevenir que correos legítimos sean marcados como spam o rechazados debido a problemas de autenticación derivados del reenvío. Esto es especialmente útil para empresas que envían correos a listas de distribución grandes o plataformas de reenvío.
  3. Mayor confianza en la autenticidad del remitente: Los servidores de correo que implementan ARC pueden evaluar con mayor precisión la autenticidad de los mensajes, lo que mejora la seguridad del sistema en su conjunto.
  4. Compatibilidad con sistemas existentes: ARC no reemplaza a SPF, DKIM o DMARC, sino que los complementa, preservando sus resultados a medida que los correos avanzan entre múltiples puntos.

Aunque ARC ofrece soluciones claras a problemas de autenticación, su adopción aún no es universal. Al ser un estándar relativamente nuevo, algunos servidores de correo aún no lo han implementado, lo que limita sus beneficios. Además, la correcta configuración de ARC puede ser técnica y compleja para administradores de sistemas menos experimentados.

Sin embargo, a medida que más servicios de correo implementan ARC, la confianza en los mensajes reenviados debería mejorar, beneficiando a toda la comunidad de usuarios de correo electrónico. Por su parte,  Google ha estado adoptado ARC como requisito de autenticación de correo electrónico. Google pretende mejorar la seguridad del correo electrónico y evitar el spam y los ataques de phishing.
Para obtener más información sobre Google y ARC específicamente, consulta la 
documentación de Google. 

Si gestionas una plataforma que reenvía correos electrónicos, como una lista de distribución o un servicio de correo empresarial, la implementación de ARC es altamente recomendada. Además, si tu empresa depende del envío de correos legítimos que a menudo son reenviados, ARC puede ayudar a mejorar las tasas de entrega y reducir los falsos positivos.

Por otro lado, para usuarios finales y pequeñas empresas que simplemente reciben correos, la implementación de ARC no es directamente necesaria, pero beneficiarán indirectamente de su adopción generalizada por grandes plataformas de correo.

Las notas de este artículo surge a raíz de una entrada por el panel de control cPanel el pasado mes de septiembre, publicó un nuevo soporte experimental para ARC.

Conclusión

ARC (Authenticated Received Chain) es una adición poderosa al arsenal de herramientas de autenticación de correo electrónico. Aunque aun en crecimiento, su capacidad para preservar la autenticidad de los correos reenviados promete mejorar la seguridad y confianza en los sistemas de correo electrónico a nivel mundial. A medida que más plataformas lo adopten, el correo electrónico se convertirá en un medio más seguro y confiable para todos.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en  X (Twitter)Facebook e Instagram, además de LinkedIn.

OSINT e Inteligencia en Internet con Jorge Vila

Jorge Martín Vila es Analista Investigador en seguridad de la información e Inteligencia Digital. Consultor para diferentes organismos gubernamentales y judiciales de Argentina.

La curiosidad por las comunicaciones digitales en los primeros comienzos de Internet y su perfil más social lo hicieron avanzar en estudios de investigación y el análisis de datos de forma autodidacta y luego perfeccionando con cursos internacionales.

Cuando hablamos de seguridad de la información nos referimos a la protección del dato desde la concepción de activo, así como un bien o como algo de valor incluso económico, en cambio la seguridad informática está más relacionada a la infraestructura, el conocer cómo se arma el entramado técnico.

Actualmente es fácil obtener datos públicos en Internet, lo importante es la vinculación que se genera con esos datos obtenidos y las conclusiones que se llega según el caso de estudio, rol que cumplen los analistas de datos.

Se denomina OSINT (Inteligencia de Fuentes Abiertas), a métodos y herramientas para descubrir los datos, conectar los datos y presentar los datos.

Te compartimos esta charla donde conoceremos más acerca de las diferentes comunidades para empezar y descubrir como estamos exponiendo nuestros datos en Internet si darnos cuenta.

Te invitamos a sumarte a OSINT Night, ciclo sobre la temática que lleva adelante Jorge y también seguir a la siguentes comunidades e iniciativas:

Suscríbete a nuestro ciclo