Mi sitio web ha sido reportado como malicioso, ¿qué puedo hacer?

Ni siquiera estoy ganando dinero a través de mi sitio web, es solo una página personal o un pequeño blog ¿Por qué alguien tendría interés en infectarlo? Los piratas informáticos a menudo piratean sitios web para propagar malware, redirigir a los visitantes a sitios web de spam o insertar enlaces ocultos a páginas de contenido infame.

Esta gente incluso comprometería un sitio web en blanco para añadirlo a su lista de recursos.

Los métodos más comunes utilizados para infectar un portal web son:

• Inyección SQL
• Cross Site Scripting (XSS).
• Cross Site Request Forgery (CSRF).
• Robo de cookies.
• DNS Spoofing. 
• Inyección de código en base 64 en extensiones y complementos.
• Equipos de trabajo infectados.

Un aparentemente inofensivo robot.txt mal configurado, también puede dejar la puerta abierta a un ataque informático.

Los motivos también son diversos.

• Si el sitio web recibe suficiente tráfico, es posible que haya sido pirateado para insertar publicidad maliciosa.
• El dominio asociado a la página se puede utilizar para enviar correo no deseado.
• Para alojar páginas de phishing.
• Como una forma de instalar malware en los dispositivos de los visitantes.
• Insertar enlaces ocultos.
• Para infectar el servidor donde se aloja la página web.

Independientemente de las intenciones o motivaciones que tengan los perpetradores, todas las páginas web, son contenedores potenciales donde poder colocar su código malicioso.

Si tienes un portal construido mediante un gestor de contenidos como por ejemplo WordPress, Joomla, Drupal o Moodle, la página será más propensa a sufrir ataques, que los sitios web estáticos, que solo muestran información sin permitir interacción por parte del visitante.

Huye del hosting «gratuito»

Puede que esté bien para llevar a cabo pruebas, y también para familiarizarte con el uso de aplicaciones web, sobre todo si estás empezando.

Pero si alojas tu página web en un servidor gratuito, tienes todas las papeletas para que te toque la lotería.

Además de no ofrecer características de seguridad sólidas, para mantener tus datos y los de tus visitantes seguros y protegidos, tu sitio web será vulnerable a violaciones de seguridad, ataques DDoS, inyección de malware etc.

Por no hablar de que muchos insertan publicidad en las páginas de sus clientes y, códigos ocultos, que solo ellos saben lo que hacen.

No son una ONG y tienen que ganar dinero.

También puedes llevarte la desagradable sorpresa de que trás meses de trabajo, te cierren la cuenta sin darte ninguna explicación.

Señales de que tu sitio está en peligro

• Muchas veces no notarás nada.
• No puedes iniciar sesión en la parte administrativa.
• La URL de tu sitio redirige a páginas de contenido infame.
• Cuando tu u otros usuarios intentan acceder al sitio, reciben una advertencia de seguridad del navegador.
• Google Safe Browsing bloquea el acceso a la página.
• Recibes una notificación de tu suite de seguridad.
• Tu proveedor de alojamiento web te notifica una actividad inusual en la cuenta.

La página web funcionará con total normalidad, pero entre otras cosas, en realidad, podría estar siendo manipulada de forma remota por los ciberdelincuentes, mediante el uso de Cross-Site-Scriptings (Secuencias de órdenes en sitios cruzados).

¿Qué puedo hacer si mi sitio ha sido infectado?

Sé que lo peor que le puedes decirle a alguien que está cabreado y nervioso es «no entres en pánico».

Pero hay que tranquilizarse y tener las ideas claras si pretendes diagnosticar y solucionar el problema.

Supongo que lo último que deseas es que tus visitantes se infecten con malware, o sean redirigidos a páginas de contenido abyecto al entrar en tu página web.

Así que ponlo en modo de mantenimiento durante un tiempo.

Si no puedes ponerlo fuera de servicio temporalmente, haz que devuelva un código de estado 503 que indica que el servidor no está listo para manejar las solicitudes.

Si no sabes como hacerlo, el primer paso debe ser contactar con el proveedor de alojamiento web.

A menudo ellos pueden hacerse cargo de los aspectos más técnicos del problema.

Haz un diagnostico

Normalmente el malware se aloja en archivos .php .html .htm y .js por lo que hay que revisar todos los archivos de la página para saber donde se encuentra exactamente y poder eliminarlo.

Pero los elementos malicioso se integran en el código fuente de la página de tal manera que su identificación a simple vista resulta sumamente difícil y compleja.

Afortunadamente existen servicios en línea como Scan My Server, Qualys FreeScan, Quttera Scan ,Observatory, o Sucuri SiteCheck que son útiles para hacer este trabajo.

El escáner de malware de pcrisk es otra herramienta en línea gratuita que se puede utilizar para escanear cualquier sitio web en busca de código malicioso, iframes, vulnerabilidades, archivos y complementos infectados, entre otras cosas sospechosas.

En la imágen superior se puede ver el resultado parcial del análisis realizado a una página web mediante la herramienta en línea de pcrisk.

Arriba del informe se indica claramente la ruta del archivo analizado, que es lo que nos interesa, para saber donde se oculta el malware.

En caso de haber detectado algún código malicioso incrustado en alguna parte del archivo, lo veríamos claramente en los apartados «Details» y «Reason».

Para poder eliminarlo tendríamos que acceder al archivo infectado mediante cualquier cliente de FTP, y suprimir solamente la línea de código marcada como malware.

En esta página puedes encontrar más herramientas de este tipo.

Eliminar el malware

Ahora viene la parte más delicada: la limpieza.

Dependiendo de las características del alojamiento web que tengas contratado, existe la posibilidad de que tu proveedor de alojamiento tenga un servicio de copia de seguridad.

En caso de que cuentes con esta prestación, puedes enviar un ticket de soporte para que restablezcan tu web mediante la copia de respaldo de mayor antigüedad.

Eliminar el código malicioso de forma manual.

Algunos de los servicios enumerados anteriormente ofrecen la posibilidad de eliminar el malware detectado, pero hay que pagar una suscripción.

Y si tenemos una pequeña página web personal, posiblemente no nos salga a cuenta.

Pero con un poco de paciencia, podemos hacerlo nosotros mismos.

Teniendo como referencia los resultados del análisis de seguridad, busca los archivos infectados mediante FTP, para poder eliminar las porciones de código malicioso insertados en las partes legítimas de tu sitio.

1. Inicia sesión en el servidor a través de SFTP o SSH.
2. Localiza los archivos infectados.
3. Abre el archivo con un editor de texto, o con el bolc de notas.
4. Elimina cualquier código sospechoso del archivo intentando no tocar nada más.

¿Ya has terminado de eliminar el código malicioso?

Una vez hayas terminado la limpieza, realiza una prueba para verificar que el sitio sigue operativo después de los cambios.

Vuelve a ejecutar un análisis de seguridad, mediante alguna de las herramientas anteriores, para comprobar si tu sitio está límpio.

Ten en cuenta que algunos servicios pueden tardar un poco en reflejar los cambios.

Efectuada la limpieza, vuelve a cambiar todas las contraseñas, sobre todo la de administrator.

He terminado, pero ahora el sitio no carga

Si el sitio no carga, es posible que hayas eliminado algo que no debías: vuelve a subir los archivos originales que previamente has guardado, para que tu página vuelva a estar operativa, y empieza de nuevo todo el proceso.

Hay que tener paciencia, ya que si no tenemos mucha experiencia es cuestión de ir probando hasta encontrar la solución.

Mejor prevenir

Si tienes un portal construido mediante un gestor de contenidos, en Internet puedes encontrar cientos de páginas web que ofrecen extensiones y temas premium de forma gratuita para WordPress, Joomla, Drupal etc.

Son conocidos como «nulled» y la mayoría de ellos contienen código malicioso incrustado, que incluso puede causar daños a otros sitios web con los que compartes el servidor.

Un malware llamado CryptPHP, incrustado en complementos de varios CMS, creaba una puerta trasera que permitía a un atacante subir malware al servidor para alistarlo a una botnet.

Por lo tanto desinstala todos los componentes, módulos y plugins susceptibles de contener código malicioso.

Intenta no implementar extensiones de este tipo: si has sido pirateado una vez, probablemente seguirás siéndolo en el futuro.

Deshazte también de todos los complementos obsoletos, o que han dejado de actualizarse periódicamente debido a que sus creadores han abandonado su desarrollo,

Y si  tu servidor lo permite (casi todos lo hacen) no te olvides de hacer copias de seguridad frecuentes.

Tampoco te olvides de actualizar los plugins, módulos, plantillas y el propio gestor de contenidos.

Conclusión

Como administrador debes ser proactivo para mantener seguro tu sitio web.

Eso significa analizarlo regularmente en busca de vulnerabilidades, malware y cualquier otro problema de seguridad.

Esa es la única forma en que te mantendrás un paso por delante de los piratas informáticos decididos a convertir tu portal en un robot que distribuye spam, o en un medio para inyectar código malicioso en los dispositivos de sus visitantes.

Pero recuerda, que es posible que un análisis mediante una utilidad en línea no siempre detecte todo el malware.

Por lo tanto, antes de contratar un servidor de alojamiento para tu página, asegurate que tiene implementada alguna solución de seguridad como Imunify360 para proteger los sitios web contra infecciones de malware, explotación de vulnerabilidades y todas las demás amenazas.

Siempre es mejor prevenir.

La importancia de un buen hosting para tu página web

Si construyes una magnífica casa sobre unos cimientos deficientes, posiblemente a la larga acabara con grietas, y en el peor de los casos, hasta derrumbándose por completo.

El mismo principio se podría aplicar a la hora de alojar un sitio web.

La seguridad de un portal depende en gran medida del proveedor de alojamiento.

Este debería contar con certificados SSL, CDN, firewall WAF basado en la red o en la nube, protección contra ataques de denegación de servicio etc.