Si los anuncios de spam en tu sitio de WordPress están redirigiendo a un sitio web de spam, tu primer instinto podría ser culpar a tu socio publicitario. Sin embargo, lo más probable es que tu sitio web tenga el malware wp-vcd en su lugar.

Escanea tu sitio web para obtener una respuesta instantánea y definitiva.

El malware wp-vcd.php viene en una variedad de sabores, pero cada uno es tan difícil de eliminar como el otro. El administrador de WordPress ha intentado eliminar el código incorrecto directamente de los archivos de temas y las carpetas principales, solo para ver que todo reaparece cuando se recarga el sitio web. Comprensiblemente, este es un ejercicio frustrante, especialmente si le preocupa que sus visitantes vean anuncios de spam que no representan su sitio web en absoluto.

La infección de malware wp-vcd ha recibido el dudoso honor de ser el malware más prolífico en WordPress en los últimos años y, por lo tanto, se ha escrito mucho al respecto. En este artículo, le mostraremos la forma definitiva de diagnosticar la infección, deshacerse de ella y, lo que es más importante, asegurarse de que desaparezca de forma permanente.

¿Qué es el malware wp-vcd.php?

El malware wp-vcd es un malware autorreplicante que infecta sitios web de WordPress para dirigir el tráfico a sitios web de spam o estafa. Los síntomas pueden variar mucho, pero la mayoría de los sitios web de WordPress pirateados muestran ventanas emergentes de anuncios de spam a los visitantes. Cubriremos los síntomas con más detalle en la siguiente sección. Primero, profundicemos un poco más en lo que se trata este malware.

• Cómo llegó el malware wp-vcd a tu sitio web

Quizás se pregunte cómo el malware infectó su sitio web en primer lugar. La forma más común en que el malware de WordPress wp-vcd infecta un sitio web es a través de un tema o complemento anulado. De hecho, a WordFence le gusta llamar al malware: “el malware que instalaste en tu propio sitio”.

Por supuesto, esto es una simplificación excesiva, como lo son la mayoría de las declaraciones grandiosas. Sin embargo, hay un grano de verdad en ello. Los temas y complementos anulados son responsables de muchos de los ataques que hemos visto en los años, porque vienen cargados con malware o puertas traseras, a veces incluso con ambos. Wp-vcd.php es un ejemplo permanente de esto. Sin embargo, se cometen errores, a veces por personas que desarrollaron el sitio y se lo entregaron a usted para que lo administrara. Este no es el momento para un juego de culpas o para ponerse a la defensiva. La prioridad es deshacerse del malware lo más rápido posible.

Una palabra de precaución aquí: si tiene muchos sitios web en alojamiento compartido, puede esperar razonablemente que esos sitios también sean pirateados. Wp-vcd es un malware prolífico y se replica a sí mismo a un ritmo alarmante.

• Cómo funciona el malware wp-vcd

Como dijimos antes, el malware wp-vcd.php generalmente ingresa a tu sitio web a través de un tema o complemento infectado. Luego procede a infectar todos los demás complementos y temas instalados. A continuación, pasa a infectar los archivos principales de WordPress y crear una carpeta.

El resultado de esta rápida propagación a través de su sitio web es que el malware está en casi todas partes en su sitio web, y la limpieza ya se ha vuelto exponencialmente más difícil. La situación se complica y amplifica aún más si tiene más de un sitio web instalado en el mismo Cpanel. En este caso, verá que otros sitios web también son pirateados.

Si ha intentado limpiar los archivos del tema, o incluso ha eliminado el archivo wp-vcd antes de leer este artículo, es posible que haya notado que el sitio se vuelve a infectar después de un tiempo. Algunos de nuestros clientes han informado que el malware regresa tan pronto como se vuelve a cargar el sitio. Esto se debe a que no se ha limpiado por completo y el código existente simplemente está regenerando cualquier malware que haya eliminado.

El malware tiene una puerta trasera incorporada, y la puerta trasera recarga el malware cada vez, por lo que la infección reaparece casi instantáneamente.

Qué hace el malware wp-vcd

El objetivo de este malware es dirigir el tráfico a sitios web de spam, mediante el uso de tácticas de SEO de sombrero negro o anuncios de spam, un fenómeno conocido como publicidad maliciosa. Además, al dirigir el tráfico al sitio web de spam mediante anuncios, el malware también genera ingresos publicitarios. En realidad, se cierra el círculo, ya que los sitios web de destino suelen distribuir el malware en sus productos.

Además de la publicidad maliciosa, el virus wp-vcd.php hace otras cosas desagradables en su sitio web:

• Crea perfiles de administrador falsos
• Inyecta enlaces de spam en su sitio web
• Ocasionalmente, también puede causar redireccionamientos, aunque no para todo el tráfico.

Más que nada, los propietarios y administradores de sitios web están preocupados por el impacto que estos horribles anuncios tienen en sus marcas. Puede imaginar que ver contenido publicitario pornográfico o ilegal crea una experiencia desagradable para los visitantes. Ningún administrador quiere que su marca y su sitio web sean atacados de esa manera.

¿Cuáles son los síntomas del malware wp-vcd que infecta mi sitio web?

El malware wp-vcd.php está diseñado para impulsar el SEO o los ingresos publicitarios de un sitio web de spam. El malware hace esto mediante la inserción de enlaces de spam o a través de ventanas emergentes de anuncios, respectivamente.

En caso de que sospeche que su sitio web tiene una infección wp-vcd, estos son algunos de los síntomas que puede ver:

• Ventanas emergentes de spam: los sitios web pueden tener ventanas emergentes de anuncios de spam que aparecen todo el tiempo o algunas veces. En algunos casos, los anuncios se mostrarán solo para los usuarios que no hayan iniciado sesión. Los anuncios se pueden ocultar a los usuarios administradores mediante el uso de cookies. En algunos casos, solo los visitantes de ciertos motores de búsqueda verán los anuncios o, alternativamente, solo un cierto porcentaje los verá. El resultado es que los anuncios obligarán a los visitantes a visitar un sitio de spam. En cierto sentido, esto es como el truco de redirección de WordPress.
• El sitio se ralentiza: verá una disminución notable en la velocidad y el rendimiento del sitio
• Los análisis se verán afectados: si los anuncios de spam están redirigiendo a los visitantes fuera de su sitio, verá un aumento en la tasa de rebote.
• Lista negra de Google: Eventualmente, Google detectará el malware mientras indexa su sitio web y lo pondrá en la lista negra. Sus visitantes verán una advertencia de sitio engañoso o un sitio podría ser un aviso de pirateo en sus resultados de búsqueda.
• La cuenta de Google Ads está suspendida: similar a la lista negra de Google, si tiene una cuenta de Google Ads, podría suspenderse debido a contenido engañoso. Como alternativa, sus anuncios se rechazan debido a la detección de malware. Google trabaja muy duro para garantizar que sus usuarios tengan una experiencia segura, así que tómese el malware muy en serio.

Los hacks de WordPress pueden aparecer en una variedad de formas, que es una de las razones por las que es tan difícil determinar si un sitio web está pirateado o no. Si no ve ninguno de los síntomas anteriores, no es una garantía de que su sitio web esté libre de malware. Simplemente significa que aún no lo has visto.

Cómo eliminar la infección de malware wp-vcd

Ahora que hemos establecido que tu sitio web tiene el malware wp-vcd, debemos concentrarnos en deshacernos de él.

• Eliminar el malware manualmente

Antes de continuar, debemos señalar que estas opciones NO son igualmente efectivas. Como mencionamos antes, el malware wp-vcd se replica mucho y puede aparecer en muchos lugares diferentes en su sitio web. El método manual seguramente dejará algo de malware y volverá al punto de partida una vez que su sitio web se vuelva a infectar.

Pasos para eliminar el malware wp-vcd de su sitio web

1. Haz una copia de seguridad de tu sitio web

Siempre recomendamos hacer una copia de seguridad de su sitio web, incluso si está pirateado. Su sitio web está funcionando actualmente, aunque con malware. Si algo sale mal en el proceso de limpieza, puede restaurar su copia de seguridad y, con suerte, usar un complemento de seguridad para eliminar el malware.

2. Descarga el núcleo, los complementos y los temas de WordPress del repositorio

Haga una lista de las versiones que se encuentran actualmente en su sitio web de WordPress y los complementos y temas legítimos. Descargue instalaciones nuevas de estos desde el repositorio de WordPress. Estos serán útiles cuando intente localizar malware en los archivos. Puede usar un verificador de diferencias en línea para resaltar las diferencias en el código y luego identificar el malware en consecuencia.

3. Eliminar todo el software anulado

Si tiene instalados complementos y temas anulados, debe deshacerse de ellos. El software anulado está plagado de scripts maliciosos y se sabe que es la fuente principal del malware wp-vcd. Más allá de eso, el software premium es creado y mantenido por desarrolladores que dedican su tiempo y recursos a crear software seguro para WordPress. Es injusto para ellos usar su trabajo sin compensarlos por ello.

4. Limpiar archivos y carpetas principales de WordPress

A estas alturas, ya sabe cómo acceder a los archivos de su sitio web. Si está limpiando el sitio web localmente o utilizando el Administrador de archivos para acceder a los archivos, primero debe reemplazar las carpetas /wp-admin y /wp-includes por completo.

Lo siguiente que debe hacer es verificar los siguientes archivos en busca de instancias del malware wp-vcd: index.php, wp-config.php, wp-settings.php, wp-load.php y .htaccess. El malware es conocido por infectar el archivo wp-config.php, así que tenga mucho cuidado con eso. Busque las siguientes firmas: wp-tmp, wp-feed y wp_vcd.

Finalmente, la carpeta /wp-uploads no debería tener ningún archivo PHP. Borra todo lo que ves por allí. Esto no es típico del malware wp-vcd, pero cuando lea este artículo, es posible que cambie. Así de rápido puede evolucionar el malware en la naturaleza.

5. Limpia la carpeta /wp-content

La carpeta /wp-content tiene todos sus complementos y temas. Compare sus versiones instaladas con las nuevas instalaciones que obtuvo del repositorio de WordPress. Esto te ayudará a acotar la búsqueda de malware, porque entonces solo tendrás que analizar las diferencias. Puede haber archivos adicionales, por ejemplo, o anomalías en el código real.

Es importante señalar aquí que no todas las diferencias son necesariamente malas. Las personalizaciones también aparecen como diferencias, al igual que los fragmentos de malware. Tenga cuidado al eliminar el código y revise su sitio web periódicamente para asegurarse de que todavía funciona.

El malware wp-vcd en temas anulados generalmente aparece en el archivo functions.php y luego se propaga a partir de ahí.

Nota: asegúrese de limpiar los temas principales y secundarios siempre que corresponda. Limpiar solo uno u otro resultará en una reinfección.

6. Limpia la base de datos de tu sitio web

Aunque wp-vcd generalmente reside en los archivos de su sitio web, hay otras partes del malware que pueden estar en la base de datos. Consulte la tabla wp_options para ver los parámetros correctos, o consulte la tabla de publicaciones para ver si hay enlaces de spam que se hayan agregado a su sitio web.

7. Elimina las puertas traseras

Incluso si eliminas el complemento o el tema que causó la infección, no garantiza que el malware se elimine, ya que podría haberse propagado al resto del sitio web. El complemento o tema anulado es solo el punto de partida.

Wp-vcd es conocido por dejar atrás las puertas traseras y frustrar todos los intentos manuales de limpieza. El malware reaparece instantáneamente cuando se vuelve a cargar el sitio, por ejemplo. Esto se debe a las puertas traseras.

Las puertas traseras son como el malware y pueden estar en cualquier lugar. Busque un código como este: eval, base64_decode, gzinflate, preg_replace y str_rot13

Estas funciones permiten el acceso desde fuera del sitio web y pueden manipularse como puertas traseras. Dicho esto, no todos son malos. Así que tenga cuidado de verificar el uso de cada instancia antes de eliminarla.

8. Eliminar cualquier usuario administrador adicional

Una de las peculiaridades de este malware es la adición de un administrador fantasma a su sitio web. Revise la lista de usuarios administradores y elimine los que parezcan sospechosos.

9. Repita este proceso con subdominios y sitios en alojamiento compartido

Si tiene varias instalaciones de WordPress en su dominio, o tiene varios sitios web en una cuenta de alojamiento compartido, asegúrese de limpiar todos los sitios web. Wp-vcd es conocido por infectar otras instalaciones muy rápidamente.

10. Borra las cachés de WordPress y del navegador

Los cachés almacenan una copia de su sitio web para aumentar la carga y el rendimiento. Una vez que haya limpiado el malware de su sitio web, asegúrese de vaciar los cachés para que se eliminen las versiones anteriores.

11. Use un escáner de seguridad para confirmar

Esta es la línea final del proceso de limpieza. Todo lo que queda es la confirmación final de que el malware se ha eliminado.

Una de las cosas más frustrantes del malware wp-vcd es su reaparición casi instantánea después de la limpieza. Puede regenerarse a partir de una sola instancia de código de malware olvidado o pasado por alto en cualquier archivo o carpeta. Para evitar la frustración de ver todo su esfuerzo desperdiciado, asegúrese de escanear su sitio web una vez más.

Por qué las limpiezas manuales a menudo fallan

Aunque hemos explicado los pasos de limpieza anteriores, desaconsejamos encarecidamente las limpiezas manuales. Solo los expertos en WordPress deben intentar una limpieza manual y, seamos sinceros, no necesitarías esta guía si fueras un experto en WordPress.

Estas son solo algunas de las cosas que pueden salir mal con la limpieza manual:

• El malware wp-vcd se propaga rápidamente por todo el sitio web. Puede ir a lugares inesperados y, por lo tanto, se vuelve difícil de encontrar.
• Eliminar el tema anulado o el complemento que causó el ataque no es suficiente, porque el malware ahora se ha multiplicado. Lo mismo ocurre con la desactivación de los temas y complementos.
• Además de eliminar todas las instancias del malware, también debe eliminar todas las puertas traseras para evitar la reinfección.

La principal razón por la que fallan las limpiezas manuales es por una eliminación inexperta. Para poder distinguir entre malware y buen código, debe comprender la lógica de codificación. Eso implica comprender el código en sí, lo que hace y cómo interactúa con otro código.

Cómo evitar que el malware wp-vcd vuelva a infectar su sitio web

El malware se ha ido y es hora de tomar algunas medidas de precaución. Wp-vcd es un malware especialmente obstinado y puede volver a infectar el sitio web en un abrir y cerrar de ojos. Aquí hay algunas cosas que debe hacer para que su sitio permanezca seguro y libre de malware:

• Nunca use software anulado, sin importar cuán atractivos puedan parecer los ahorros de costos inmediatos. A la larga, termina pagando mucho más en términos de daños y pérdida de ingresos.
• Instale un complemento de seguridad que escaneará, limpiará y protegerá su sitio web. Sin embargo, tenga en cuenta que incluso el mejor complemento de seguridad no puede proteger contra el malware que usted mismo instala en su sitio web.
• Revise a los usuarios administradores con regularidad; de hecho, revise a todos los usuarios regularmente y asegúrese de implementar una política de cuenta de privilegios mínimos.
• Verifique los permisos de archivo de los archivos críticos.
• Configure una política de contraseñas y exija que todos los usuarios establezcan contraseñas seguras en sus cuentas.

También puedes optar por fortalecer WordPress, que incluye medidas como agregar autenticación de dos factores y evitar la ejecución de php en ciertas carpetas.

¿Cuál es el impacto del ataque del malware Wp-vcd en tu sitio web?

Es posible que el malware wp-vcd no se haga evidente de inmediato para el administrador que inició sesión, pero sus visitantes pueden ver drogas ilegales, productos del mercado gris o contenido potencialmente profano en forma de anuncios. No necesitas que te lo digamos: son malas noticias.

Estas son algunas de las repercusiones del ataque de malware wp-vcd.php que hemos visto en los sitios web:

• Pérdida de confianza de los visitantes y, por lo tanto, pérdida de ingresos.
• lista negra de google
• Problemas de seguridad en Google Search Console
• Las clasificaciones de SEO caen debido a la lista negra de Google
• Sitio suspendido por el servidor web
• Problemas legales de usuarios descontentos

Y muchos más. Para resumir, todo el malware es malo y tiene terribles consecuencias para todos excepto para el hacker. Dado que no está ejecutando su sitio web para piratas informáticos, tómese los ataques en serio y elimínelos lo antes posible.

Neothek ofrece servicios de web hosting, registro de dominios, correo electrónico, certificados SSL, diseño de páginas web y diseño gráfico.