Cómo eliminar un virus de un blog de wordpress

Muchos seguramente que habréis sufrido algún virus en vuestros ordenadores a lo largo de vuestra vida. La mayoría se pueden eliminar simplemente pasando un antivirus decente y otros requerirán de más trabajo limpiando registros del sistema operativo y demás.

Lo que seguramente muchos no sepáis es que cada vez son más frecuentes los virus en páginas web. Muchos blogs están sufriendo algún tipo de virus que hace que pueda llegar a ser peligroso navegar por el mismo.

Muchas veces serán los propios plugins de los antivirus que se pueden instalar en los navegadores los que nos avisarán si una página está contaminada por algún tipo de virus, pero si no tienes debidamente protegido tu sistema, es posible que ese virus insertado en la página web tenga algún tipo de efecto negativo hacía tu sistema operativo.

¿Cómo puede llegar un virus a nuestro blog?.

En las páginas web nos podemos encontrar varios virus que han podido ser insertados en las mismas de varias formas. Últimamente se están poniendo de moda entre los blogs (sobre todo en los que tienes tú el poder sobre el hosting y los archivos del mismo) los siguientes tipos de acciones para insertar virus o código malicioso:

• Inyección de SQL. Mediante algún campo de tu blog, como por ejemplo el buscador, pueden llegar a insertarte código malicioso en la base de datos sino tienes cuidado. Eso hace que cuando se recupere algún campo de la base de datos, a lo mejor estás recuperando el código que te han insertado y realizando alguna actividad, inconscientemente, sobre el ordenador del lector.
• Inserción de código: Muchas veces, a través de agujeros de seguridad, pueden obtener los datos de tu FTP y modificar alguno de los ficheros. De esa forma podrán añadir el código para realizar una serie de acciones de las que tú no serás consciente, pero que seguramente sean maliciosas para el lector.
• Inserción de un iframe: Un iframe es una página web que se incrusta dentro de otra. Muchos plugins usan este tipo de elementos de HTML para mostrar sus contenidos. Compaginado con alguno de los apartados anteriores, consiguen colocar un iframe en tu página que hará que se cargue otra por debajo sin que te des cuenta. Esa página que se carga por debajo, seguramente tenga alguna llamada a algún procedimiento que se encarga de capturar datos de la persona que está viendo la página. Podrás pensar que si insertan una página dentro de la tuya te enterarías, pero normalmente suelen insertar iframes de 1 pixel x 1 pixel, por lo tanto son prácticamente invisibles para la vista.

¿Cómo saber si tu blog tiene un virus?

Podrás saber si tu blog, o cualquier otro tiene un virus, porque seguramente tu antivirus lo detecte y no te permita entrar en esa página. Esa es la forma más fácil de detectarlo, aunque si no tienes un sistema con un buen software de protección antivirus y firewall instalado, a lo mejor no llegar a recibir esa advertencia exponiendo tu ordenador a los efectos de ese código malicioso.

En mi caso, al tener un Mac, no suelo preocuparme mucho por esos temas, ya que es bastante infrecuente contraer un virus. Esa fue la razón por la que las veces que he tenido este problema, no lo he detectado de primeras y han sido otros amigos los que me han avisado de que han recibido una alerta de sus antivirus. Aunque no me ha sido necesario hasta ahora, solo por estas razones ya tengo funcionando los plugins pertinentes en los navegadores (propios de Avast) que me avisan si una página contiene algún tipo de virus.

Esta tarde me han avisado varias personas de que mi página parecia tener algún virus ya que les saltaba el antivirus. Me he instalado Avast en Mac y efectivamente he podido comprobar cómo en antivirus bloqueaba la página por un virus del tipo «Virus: HTML:Iframe-inf«.

Trás una tarde dándole duro para conseguir descubrir donde estaba el virus, he llegado a él y he conseguido eliminarlo.

Cómo eliminar el virus HTML:Iframe-inf de WordPress?

Cómo he comentado en los puntos anteriores, el virus puede ser insertado de varias formas. Según las que he comentado, el virus podrá estar en el código de los ficheros o en la base de datos.

Investigando sobre ese virus en concreto, he visto que normalmente estaba insertado por medio de un iframe, es decir, una página que se abre incrustada dentro de la tuya. Para que ese iframe se cargue, pueden insertarte código en la base de datos, o en los archivos del blog.

Por tanto, vamos a tener que escanear bien esos dos elementos.

La forma más fácil será conectarte por SSH a tu servidor, así puedes acceder a los archivos directamente y realizar las búsquedas que te comentaré a continuación u otras parecidas. También podrás entrar en tu gestor de la base de datos (suele ser phpMyAdmin en la mayoría de los hostings) y realizar una copia de seguridad de la base de datos sobre la que luego realizarás las búsquedas.

Para el código de la web también podrás decargártelo todo con un programa de FTP y realizar las búsquedas en tu ordenador.

Una vez que ya tenemos todo el código, tanto de los archivos como el SQL de la base de datos, vamos a buscar alguna de las siguientes cadenas de caracteres.

• http://d1.openx.org
• http://smuss.net/redirect.php
• http://smuss.net/jquery-1.6.3.min.js

La solución a mi virus de hoy ha sido eliminar la referencia a la última, pero he visto en el log del blog (localizado en /wp-admin/error_logs) que han intentado insertarme mediante SQL un iframe con una referencia al primero. Por suerte la tabla donde intentaban insertarlo no existía en mi base de datos. Supongo que será de algún plugin antiguo que ya no tengo instalado (por suerte).

Para realizar búsquedas, si te has bajado el código en local, podrás usar cualquier editor de texto para buscar esas cadenas sobre el texto.

Si quieres conectarte por SSH y realizar búsquedas directamente sobre el código de tus archivos en el servidor, podrás usar comandos del tipo:

grep -r ‘d1.openx.org’ *

Con ese comando estarás buscando recursivamente en todos los archivos a partir de la carpeta en la que te encuentras la palabra entre comillas. Te aparecerán en pantalla todos los archivos que contengan esa cadena así cómo la línea en la que aparece.

También puedes volcar en un archivo los resultados que obtengas de ese comando de la siguiente forma:

grep -r ‘d1.openx.org’ * > fichero_virus.txt

De esa forma luego podrás estudiar bien el contenido que se inserte en ese fichero. Podéis ver un artículo muy interesante con información sobre comandos de este tipo para localizar este virus aquí.

Si no llegaras a encontrar alguna de estas tres opciones que te comento, puede que tu virus sea por otro causa que no está entre ellas. Es muy posible que sea por un iframe, por lo tanto podrás realizar la misma búsqueda poniendo entre comillas ‘<iframe’. Es problema es que esto te devolverá muchos más resultados que no tienen porqué ser maliciosos, y serás tú el que tengas que ver cuál puede ser sospechoso. Una pista que te puede llevar a pensar que un iframe sea sospechoso es que tenga una dimensión de 1×1 (es decir width=1px ; height= 1px). Si encuentras eso cerca de la etiqueta iframe, SOSPECHA.

Si has detectado alguno de las cadenas anteriores, u otra parecida que leas por algún foro de Internet, tendrás que borrarla inmediatamente. Si está dentro de algún archivo importante como «index.php«, «header.php«, etc, tendrás que borrar solo la línea sobre la que esté.  Si por el contrario está en algún archivo de un plugin, te aconsejo que directamente borres ese plugin y dejes de usarlo.

Otra opción que no tendrás que descartar será, aprovechando que tienes el código de tu web en tu ordenador, pasarle el antivirus que tengas a la carpeta donde lo hayas descargado. De esa forma podrás comprobar también si hubieran metido algún archivo extra que tú no tengas controlado y que pueda contener directamente el virus.

Plugins de WordPress para detectar virus

Como se está poniendo de moda, lamentablemente, intentar inundar los blogs ajenos de virus, también están saliendo plugins que nos ayudarán a intentar detectarlos.

Hay dos que yo uso en concreto.

• WP Security Scan: Este plugin te dará un conjunto de herramientas para detectar estas anomalías que se podrán encontrar en tus archivos del blog que puedan indicar que se ha insertado código sospechoso en el mismo. Puedes visitar su página aquí.
• WP Antivirus: Este plugin lo que hará será repasar todos los archivos de tu tema, buscando código que le parezca sospechoso también, o que contenga alguna sentencia de las que suelen usar también para insertar virus. Por ejemplo la sentencia «eval(…..)» es un comando que permite insertar una llamada a una función desde dentro del código. Eso es muy usado para lanzar llamadas a otras webs que contengan algún programa que te pueda insertar un troyano. Este tipo de funciones sensibles serán detectadas con este plugin cuya web puedes visitar aquí.

Si alguno de los plugins te llegaran a detectar un código que pienses que puede ser perjudicial, tendrás que ir a dicho archivo y borrarlo.

Consejos para evitar tener un virus en tu blog

Como siempre se dice muy sabiamente, mejor prevenir que curar, y es por eso que deberás tener una serie de medidas bastante importantes para evitar llegar a esta solución desagradable.

Algunas de las medidas que yo destacaría serían:

• Mantén siempre la versión de WordPress actualizada así como la de los plugins. Muchas veces se detectas agujeros de seguridad sobre los archivos del propio Core de WordPress que se van solucionando en las distintas versiones que van subiendo. Lo mismo es aplicable a los plugins que te descargas e instalas.
• Repasa cuidadosamente los permisos de los ficheros en tu servidor. El hecho de tener total libertad para manipular los ficheros de nuestro blog, también puede hacer que facilitemos nosotros mismos la tarea de insertar código malicioso en los mismos permitiendo ciertas opciones en dichos archivos. Como sabéis a un archivo se le puede dar permisos de Lectura/Escritura/Ejecución. Habrá que estar atento a qué permisos se le da a cada fichero para evitar dejar la puerta abierta para que puedan modificarlos a su antojo.
• Evita siempre descargar un plugin o tema desde una página de Warez, u cualquier otra. Muchas veces puedes pensar en descargarte la versión Pro de algún plugin para evitar pagar. Créeme que eso te puede salir al final más caro. Lo mismo con los temas que te puedas descargar por ahí. Si no estás seguro de la fuente de donde te bajas algo, pásale un antivirus o asegúrate que no hay código malicioso en los códigos del mismo.
• Intenta cambiar a menudo la password de tu FTP para evitar que la capturen y puedan entrar para modificar los archivos a su antojo.

Espero que si habéis llegado a este artículo sea por curiosidad más que por necesidad. Si es porque realmente tenéis un virus, podéis libremente escribir en los comentarios si tenéis alguna duda e intentaré echaos una mano (ya me he pegado varias veces con esto por desgracia). También agradeceré si compartes este artículo si ves que alguna persona está teniendo este problema.