WordPress es uno de los sistemas de administración de sitios web más populares utilizados en todo el mundo. Según W3Techs^{(According to W3Techs)} , impulsa el 34% de todos los sitios web en Internet . La popularidad de WordPress se debe en parte a la enorme cantidad de complementos y plantillas disponibles que permiten hacer casi cualquier cosa en un sitio web.

Esa amplia gama de funcionalidades también conlleva vulnerabilidades. Los piratas informáticos a menudo pueden acceder al código e infectar sitios de WordPress con malware de la misma manera que podrían plantar malware en un enrutador^{(malware on a router)} .

El malware^(Malware) puede infectar y destruir su sitio, por lo que es importante actuar rápidamente para eliminar el malware de su sitio de WordPress .

Póngase en contacto con su proveedor de alojamiento web primero^{(Contact Your Web Host First)}

Antes de intentar cualquiera de las sugerencias a continuación, comuníquese primero con su empresa de alojamiento. Es posible que el servidor host, especialmente si está en un servidor compartido, esté propagando código malicioso desde otro sitio al suyo.

Pídales que realicen un escaneo de su servidor para asegurarse de que no sea el culpable antes de intentar eliminar el malware de su propio sitio. Además, pueden hacer sugerencias a los propietarios de sitios web menos técnicos sobre cómo escanear y eliminar malware de forma segura de su sitio. 

Algunos hosts también pueden ofrecer servicios en los que lo eliminarán por usted. Y luego haga una copia de seguridad de su sitio, reduciendo el riesgo de llevar el malware a su copia de seguridad. 

Los anfitriones web tienen la experiencia, las herramientas y las opciones para lidiar con el malware, así que consulte con ellos antes de intentar hacerlo por su cuenta. 

Tomar medidas preventivas^{(Take Preventative Measures)}

Siempre es mejor tratar de prevenir las amenazas antes de que sucedan. La acción más importante que deben tomar los usuarios es asegurarse de que siempre estén ejecutando la última y más estable versión de WordPress , incluso si solo están instalando una versión de prueba en su computadora.

Por lo general, se lanzan versiones más nuevas para corregir vulnerabilidades comunes encontradas en versiones anteriores. Lo mismo es cierto para complementos y temas. Manténgalos actualizados y elimine los que no esté utilizando.

Algunos de los muchos problemas negativos que el malware puede causar en un sitio de WordPress incluyen:

• Web y MySQL aumentaron el consumo de recursos del servidor.
• Publicidad no deseada.
• Correo no deseado enviado en masa.
• Robo de datos personales de clientes y usuarios.
• Pérdida de información de su sitio.
• Sanciones de Google.

¿Qué puede hacer si su sitio web está infectado o pirateado? En este artículo, describiremos los pasos que puede seguir para eliminar el malware de un sitio de WordPress .

Use los complementos de eliminación de malware de WordPress^{(Use WordPress Malware Removal Plugins)}

Si puede iniciar sesión y acceder a su área de administración de WP, es posible que no tenga que volver a cargar todo su sitio. El uso de un complemento de WordPress^{(WordPress plugin)} adecuado puede ayudar a eliminar el malware de su sitio web de WordPress .

Seguridad MalCare^{(MalCare Security)(MalCare Security)}

MalCare es un complemento premium que eliminará instantáneamente el malware de su instalación de WP. No solo limpiará un sitio pirateado, sino que también lo protegerá contra futuras infracciones de seguridad.

Uno de los muchos beneficios de MalCare es que escanea su sitio en sus propios servidores. Su sitio web no experimentará ninguna carga en sus recursos y continuará funcionando sin problemas.

Hay cuatro niveles de precios desde $99/año para un sitio ( Personal ) hasta un plan Custom Agency Plus para más de 20 sitios. 

Malcare es un completo complemento de seguridad de WP que incluye muchas funciones adicionales, como:

• Alertas de correo electrónico en tiempo real.
• Seguimiento de cambios en archivos pequeños.
• Minimizar las falsas alarmas.

WordFence

Uno de los complementos más utilizados para la seguridad de WP es WordFence . Incluye un escáner de malware y un firewall de punto final.

Desde protección contra ataques de fuerza bruta hasta bloqueos de firewall, la versión gratuita de WordFence^{(the free version of WordFence)} es lo suficientemente poderosa para sitios web más pequeños.

Si desea funciones adicionales, como la autenticación de dos factores, la protección de contraseñas filtradas y el bloqueo manual avanzado, puede comprar una licencia premium. El precio se basa en la cantidad de licencias que compre, a partir de $99 por una.

Todo en uno WP Seguridad y cortafuegos^{(All in One WP Security & Firewall)(All in One WP Security & Firewall)}

Uno de los complementos de seguridad gratuitos con más funciones es All in One WP Security & Firewall . Proporciona una interfaz visual sencilla utilizando medidores y gráficos.

El complemento está diseñado para principiantes y desarrolladores más avanzados con sus tres categorías: básico, intermedio y avanzado. 

All in One WP Security protegerá los sitios web al:

• Proporcionar seguridad de archivos y bases de datos.
• Mejorar la seguridad del registro de usuarios.
• Bloqueo de intentos de inicio de sesión forzados.

Las funciones adicionales incluyen la capacidad de realizar copias de seguridad de los archivos .wp-config^(.wp-config) y .htaccess . Los usuarios también pueden restaurar estos archivos si algo sale mal en su sitio.

Para obtener una lista completa de todos los complementos de seguridad de WordPress , visite WordPress.org^{(visit WordPress.org)} . Si no puede iniciar sesión, es posible que deba reinstalar todo el sitio. 

Si tiene más conocimientos de tecnología y ejecuta un sitio en su propio servidor, siga cuidadosamente los pasos a continuación.

Tenga en cuenta que hacer una copia de seguridad de su sitio y borrarlo puede ser peligroso y solo lo deben intentar los propietarios de sitios web altamente técnicos. 

Copia de seguridad de su base de datos y todos los archivos^{(Backup Your Database & All Files)}

Si está infectado y necesita eliminar el malware de su sitio de WordPress , es importante que proteja su contenido de inmediato. Antes de hacer nada, haz una copia de seguridad completa de tu sitio de WordPress para que puedas restaurarlo en caso de que algo salga mal. 

Asegúrese de hacer una copia de seguridad de una versión limpia de su base de datos MySQL^{(back up a clean version of your MySQL database)} y cuenta FTP . Hay varias formas de hacer una copia de seguridad de un sitio, incluso a través de complementos de cPanel, phpMyAdmin y WordPress (como Vaultpress ). 

Se recomienda encarecidamente que todos los usuarios de WordPress hagan^(WordPress) una copia de seguridad de su sitio con regularidad. Los pasos a continuación describen cómo eliminar manualmente el malware de su sitio de WordPress .

Paso 1: Examine sus archivos^{(Step 1: Examine Your Files)}

Después de hacer una copia de seguridad de todo su sitio WP, descargue el archivo zip de copia de seguridad en su computadora. Ábralo haciendo doble clic izquierdo sobre él. Deberías ver los siguientes archivos:

• Todos los archivos principales de WordPress.
• Wp-config.php.
• .htaccess : este es un archivo oculto e incluye el nombre, el nombre de usuario y la contraseña de su base de datos de WordPress . Para asegurarse de que hizo una copia de seguridad de este archivo, use una aplicación de edición de código o un programa FTP^{(an FTP program)} que le permita ver los archivos ocultos. Asegúrese de marcar la opción Mostrar archivos ocultos .^{(Show Hidden Files)}
• La carpeta wp-content que incluye temas, complementos y cargas.
• Base de datos SQL.

Paso 2: borre todos los archivos y carpetas de la carpeta Public_html^{(Step 2: Erase All Files & Folders From The Public_html Folder)}

Cuando esté seguro de que tiene una copia de seguridad completa de su sitio web, acceda al Administrador de archivos de^{(File Manager)} su alojamiento web . 

Busque la carpeta public_html y elimine su contenido excepto las carpetas wp-config.php, wp-content y cgi-bin.^{( cgi-bin folders.)}

Asegúrese^(Make) de que también está viendo los archivos invisibles, incluidos los . htaccess ya que puede estar comprometido.

Si está alojando varios sitios, debe asumir que también se han visto comprometidos porque la infección cruzada es común. Siga el mismo proceso para todos los sitios alojados en el mismo servidor.

Abra el archivo wp-config.php y compárelo con un archivo wp-config de^(wp-config) muestra . Puede encontrar este archivo en el repositorio de WP GitHub^{(WP GitHub repository)} .

Además, revise su archivo para ver si algo parece sospechoso, como largas cadenas de código. Si está seguro de que algo no debería estar allí, quítelo. 

Ahora ve al directorio wp-content y:

• Haga una lista de todos sus complementos instalados y luego elimínelos.
• Elimine^(Delete) todos los temas, incluido el que está utilizando. Lo reinstalarás más tarde.
• Mire en su carpeta de cargas para ver si hay algo que no haya puesto allí.
• Elimine index.php después de haber eliminado todos los complementos.

Paso 3: instale una versión limpia de WordPress^{(Step 3: Install a Clean Version Of WordPress)}

Navegue^(Navigate) hasta el panel de control de su servidor web y reinstale WordPress en el mismo directorio de la ubicación original. 

Será el directorio public_html o en un subdirectorio si instaló WordPress en un dominio adicional. Utilice el instalador de un clic o QuickInstall (dependiendo de su empresa de alojamiento) en su panel de control de alojamiento web.

Descomprima el archivo tar o comprimido y cargue sus archivos en su servidor. Deberá crear un nuevo archivo wp-config.php e ingresar los datos de la copia de seguridad de su sitio web. Solo necesita ingresar el nombre de la base de datos, la contraseña y el prefijo.

Paso 4: restablecer enlaces permanentes y contraseñas^{(Step 4: Reset Permalinks & Passwords)}

Inicie sesión^(Log) en su sitio WP y restablezca todos los nombres de usuario y contraseñas. Si hay usuarios no reconocidos, significa que su base de datos se ha visto comprometida. 

Puede contratar a un profesional para que limpie su base de datos y elimine cualquier código malicioso.

Para restablecer los enlaces permanentes^(Permalinks) , vaya a Configuración^(Settings) > Enlaces permanentes^(Permalinks) y luego Guardar cambios^{(Save Changes)} . Este proceso restaurará el archivo .htaccess y corregirá las URL^(URLs) de su sitio para que funcionen. Además, restablezca todas las cuentas de alojamiento y las contraseñas de FTP .

Paso 5: reinstalar el tema y los complementos^{(Step 5: Reinstall Theme & Plugins)}

No instale versiones antiguas de su tema o complementos. En su lugar, obtenga nuevas descargas del repositorio de WordPress o del sitio del desarrollador de complementos premium. No utilice complementos que ya no sean compatibles.

Si tiene personalizaciones del tema de su sitio anterior, mire los archivos de copia de seguridad que descargó en su computadora y replique los cambios en la copia nueva.

Paso 6: Escanee y vuelva a cargar sus imágenes y documentos desde su copia de seguridad^{(Step 6: Scan & Re-Upload Your Images & Documents From Your Backup)}

Este paso puede ser tedioso, pero es necesario. Mire cuidadosamente^(Carefully) sus imágenes y archivos cargados antes de volver a copiarlos en la nueva carpeta wp-content > uploads en el administrador de archivos.

Use un programa antivirus actualizado para escanear todos los archivos y ver si alguno de ellos está infectado. Vuelva a cargar los archivos limpios en su servidor utilizando un cliente FTP o el administrador de archivos. Mantén la misma estructura de carpetas para que no termines con enlaces rotos.

Paso 7: notifica a Google^{(Step 7: Notify Google)}

Si descubrió que su sitio se vio comprometido por una advertencia de Google , debe informarles que eliminó el malware para que puedan descartar el aviso en su cuenta.

Vaya a Google Search Console e inicie sesión si ya tiene una cuenta. Si no lo hace, registre su sitio web.

Busque Seguridad y acciones manuales^{(Security & Manual Actions)} en la barra de navegación de la izquierda. Haga clic^(Click) en el menú desplegable y seleccione Problemas de seguridad^{(Security Issues)} .

Aquí verá un informe sobre la seguridad de su sitio. Elija Solicitar una revisión^{(Request a review)} y envíela a Google.

How to Remove Malware From Your WordPress Site

WordPress is one of the most popular website management systemѕ used worldwide. According to W3Techs, it powers 34% of all websites on the Internet. The popularity of WordPress is in part due to the enormous number of plugins and templates available that allow almost anything to be done on a website.

That broad range of functionalities come with vulnerabilities as well. Hackers are often able to access the code and infect WordPress sites with malware just as they might plant malware on a router.

Malware can infect and destroy your site, so it’s important to act quickly to remove malware from your WordPress site.

Contact Your Web Host First

Before attempting any of the suggestions below, contact your hosting company first. It is possible that the host server, especially if you are on a shared server, is spreading malicious code from another site onto yours.

Ask them to do a scan of their server to ensure it is not the culprit before attempting to remove the malware from your own site. In addition, they can make suggestions to less technical website owners on how to safely scan and remove malware from their site. 

Some hosts might also offer services where they will remove it for you. And then backup your site, reducing the risk of carrying the malware into your backup. 

Web hosts have the expertise, tools, and options to deal with malware, so check with them first before attempting to do it on your own. 

Take Preventative Measures

It’s always better to try to prevent threats before they happen. The most crucial action users should take is to make sure they are always running the latest and most stable version of WordPress, even if they are only installing on a test version on their computer.

Newer versions are usually released to fix common vulnerabilities found in previous versions. The same is true for plugins and themes. Keep them up-to-date and remove those you aren’t using.

Some of the many negative issues that malware can cause on a WordPress site include:

• Web and MySQL increased consumption of server resources.
• Unwanted advertising.
• Spam mail sent in bulk.
• Theft of customers’ and users’ personal data.
• Loss of information from your site.
• Google penalties.

What can you do if your website is infected or hacked? In this article, we will outline the steps you can take to remove malware from a WordPress site.

Use WordPress Malware Removal Plugins

If you can log in and access your WP admin area, you may not have to reload your entire site. Using a suitable WordPress plugin may help remove malware from your WordPress website.

MalCare Security

MalCare is a premium plugin that will instantly remove malware from your WP installation. Not only will it clean up a hacked site, but it will also protect against future security breaches.

One of the many benefits of MalCare is that it scans your site on its own servers. Your website will not experience any load on its resources and will continue to run smoothly.

There are four pricing levels starting at $99/year for one site (Personal) up to a Custom Agency Plus plan for more than 20 sites. 

Malcare is a comprehensive WP security plugin that includes many additional features such as:

• Real-time email alerts.
• Tracking small file changes.
• Minimizing false alarms.

WordFence

One of the most used plugins for WP security is WordFence. It includes a malware scanner and endpoint firewall.

From protection against brute force attacks to firewall blocks, the free version of WordFence is powerful enough for smaller websites.

If you want additional features such as two-factor authentication, leaked password protection, and advanced manual blocking, you can purchase a premium license. The pricing is based on the number of licenses you buy, starting at $99 for one.

All in One WP Security & Firewall

One of the free security plugins with the most features is All in One WP Security & Firewall. It provides an easy visual interface using meters and graphs.

The plugin is designed for beginners and more advanced developers with its three categories: basic, intermediate, and advanced. 

All in One WP Security will protect websites by:

• Providing file and database security.
• Enhancing user registration security.
• Blocking forceful login attempts.

Additional features include the ability to back up .wp-config and .htaccess files. Users can also restore these files if anything goes wrong on their site.

For a full list of all WordPress security plugins, visit WordPress.org. If you are unable to log in, you may have to reinstall your entire site. 

If you are more tech savvy, and run a site on your own server, carefully follow the steps below.

Keep in mind that backing up your site and erasing it can be dangerous and should only be attempted by highly technical web owners. 

Backup Your Database & All Files

If you’re infected and need to remove malware from your WordPress site, it’s important to protect your content immediately. Before doing anything, make a complete backup of your WordPress site so you can restore it in case anything goes wrong. 

Be sure to back up a clean version of your MySQL database and FTP account. There are several ways to back up a site, including via cPanel, phpMyAdmin, and WordPress plugins (such as Vaultpress). 

It is highly recommended that all WordPress users backup their site regularly. The steps below outline how to manually remove malware from your WordPress site.

Step 1: Examine Your Files

After you have backed up your entire WP site, download the backup zip file on your computer. Open it by left double-clicking on it. You should see the following files:

• All core WordPress files.
• Wp-config.php.
• .htaccess: This is a hidden file and includes the name, username, and password to your WordPress database. To make sure you backed this file up, use a code editing application or an FTP program that allows you to view hidden files. Be sure to check the Show Hidden Files option.
• The wp-content folder that includes themes, plugins, and uploads.
• SQL database.

Step 2: Erase All Files & Folders From The Public_html Folder

When you are sure you have a complete backup of your website, go into your web hosting File Manager. 

Find the public_html folder and delete its contents except for wp-config.php, wp-content, and cgi-bin folders.

Make sure you are viewing the invisible files too, including .htaccess as it may be compromised.

If you are hosting multiple sites, you should assume they have also been compromised because cross-infection is common. Follow the same process for all hosted sites on the same server.

Open the wp-config.php file and compare it against a sample wp-config file. You can find this file in the WP GitHub repository.

Also, look through your file to see if anything looks suspicious such as long strings of code. If you are sure something should not be there, remove it. 

Now go to the wp-content directory and:

• Make a list of all your installed plugins and then delete them.
• Delete all themes, including the one you are using. You will reinstall it later.
• Look in your uploads folder to see if there is anything in it that you didn’t put there.
• Delete index.php after you have deleted all the plugins.

Step 3: Install a Clean Version Of WordPress

Navigate to your web host control panel and reinstall WordPress into the same directory of the original location. 

It will either be the public_html directory or in a subdirectory if you installed WordPress on an add-on domain. Use the one-click installer or QuickInstall (depending upon your hosting company) in your web hosting control panel.

Unzip the tar or zipped file and upload your files to your server. You will need to create a new wp-config.php file and enter the data from your website backup. You only need to enter the database name, password, and prefix.

Step 4: Reset Permalinks & Passwords

Log into your WP site and reset all usernames and passwords. If there are any unrecognized users, it means your database has been compromised. 

You can hire a professional to clean up your database to remove any malicious code.

To reset Permalinks, go to Settings > Permalinks and then Save Changes. This process will restore the .htaccess file and fix your site URLs so they will work. Also, reset all hosting accounts and FTP passwords.

Step 5: Reinstall Theme & Plugins

Don’t install old versions of your theme or plugins. Instead, get new downloads from the WordPress repository or the premium plugin developer’s site. Don’t use plugins that are no longer supported.

If you have customizations from your old site theme, look at the backup files you downloaded to your computer and replicate the changes on the fresh copy.

Step 6: Scan & Re-Upload Your Images & Documents From Your Backup

This step can be tedious, but it is necessary. Carefully look through your images and uploaded files before you copy them back into the new wp-content > uploads folder in the file manager.

Use an up-to-date antivirus program to scan all the files to see if any of them are infected. Upload the clean files back to your server using an FTP client or the file manager. Keep the folder structure the same so you don’t end up with broken links.

Step 7: Notify Google

If you found out that your site was compromised by a warning from Google, you need to let them know that you have removed the malware so they can dismiss the notice on your account.

Go to Google Search Console and log in if you already have an account. If you don’t, register your website.

Find Security & Manual Actions in the left-hand navigation. Click the dropdown and select Security Issues.

Here you will see a report about your site’s security. Choose Request a review and submit it to Google.

Related posts

• Cómo acelerar un sitio de WordPress en 11 pasos

• Cómo hacer un WordPress Site Secure

• Cómo configurar su propio sitio web similar a Twitter usando el tema P2 de WordPress

• 10 complementos esenciales de WordPress para un sitio web de pequeñas empresas

• Cómo instalar un sitio de prueba de WordPress en su computadora

• Squarespace Vs WordPress: ¿Cuál es la mejor plataforma de sitio?

• Cómo actualizar PHP en WordPress

• Cómo duplicar una página en WordPress

• Protect y seguro WordPress website de los hackers

• Los 11 mejores complementos de podcasts de WordPress

• Cómo realizar pruebas divididas efectivas en WordPress

• Must Have WordPress Yoast SEO Settings 2021

• Cómo hacer la transición del editor clásico de WordPress a Gutenberg

• Cómo comprobar si se ha prohibido un sitio web de AdSense

• 8 gratis Premium WordPress temas para instalar

• Cómo usar Lumen5 para convertir su publicación de blog en un video

• Tutorial de WordPress Gutenberg: Cómo usar el nuevo editor

• WordPress muestra HTTP Error al cargar imágenes

• Cómo agregar una barra lateral flotante en Wordpress

• Cómo encontrar su inicio de sesión de administrador de WordPress