WordPress Hosting

codigo seguro wordpress

Cómo saber si un tema WordPress contiene código malicioso

Por / 24-04-2024 / Avanzado, Experto / 5 minutos de lectura

Es muy raro, realmente prácticamente imposible, encontrar código malicioso en un tema Premium, de pago, pero aún así es mejor prevenir que curar. Desafortunadamente no se puede decir lo mismo de los temas gratuitos o Premium descargados de cualquier sitio que no sea la página del autor del tema.

Hoy vamos a ver cómo comprobar un tema de WordPress en busca de código malicioso.

¿Por qué meten código malicioso en los temas?

Los códigos maliciosos se añaden a estos temas por varias razones, algunas de las más habituales son conseguir enlaces desde tu web, añadir anuncios, redirigir tu web a enlaces de spam o, lo peor de todo, para crear una puerta trasera de acceso a tu sitio.

Son múltiples motivos, ninguno bueno para ti, así que vamos a ver guía sencilla sobre cómo comprobar si un tema de WordPress tiene código malicioso.

Cómo detectar código malicioso en temas WordPress

Vamos a ver varias pruebas que debemos hacer siempre que obtengamos un nuevo tema WordPress, especialmente si no lo hemos descargado del sitio oficial de temas de WordPress.

Busca en Google

Realiza una búsqueda en Google sobre la web de la que vas a obtener el tema. Esto es sólo una medida de precaución, pero hacer una búsqueda en Google es una buena manera de comprobar si hay un código malicioso en un tema de WordPress en particular, porque si alguien ha encontrado un código malicioso en un tema que compró en el mismo sitio, debe haber alertado a los demás y habrá alguna referencia en la red.

Por ejemplo, si descargaste el tema desde themes-premium-gratis.com, google algo como "themes-premium-gratis.com malicious code" o "themes-premium-gratis.com malware", por ejemplo.

Analiza el tema en busca de virus o malware

Si ya has descargado el tema, tendrás un archivo ZIP que puedes analizar en búsqueda de virus, malware o cadenas sospechosas.

Un sitio gratuito en el que puedes subir tu tema para analizarlo es virustotal.com.

Puedes subir un archivo, o analizarlo si lo has subido a alguna URL, y tras unos segundos, o minutos, te mostrará una serie de resultados sobre el mismo.

Analiza una web con el tema activo

Un modo algo más arriesgado, pero que puedes realizar relativamente sin riesgos con unos mínimos cuidados, es instalar el tema en una instalación de pruebas, a ser posible en un servidor en el que no tengas ninguna web importante, y analizar la URL de esa web con herramientas de comprobación de malware y virus online.

Digamos que has instalado el tema sospechoso en dominio-de-pruebas.com, solo tienes que introducir la URL en alguno de los siguientes analizadores:

Sube el archivo del tema sospechoso a tu hosting de confianza

Otro método, que cada vez utilizo más, es aprovechar el firewall de mi hosting, SiteGround, para detectar todo tipo de amenazas. He comprobado que es tremendamente eficaz, y está activo por defecto en todos los planes de alojamiento.

Solo tienes que subir tu archivo a cualquier carpeta de cualquier instalación que tengas en SiteGround y su sistema de detección automática analiza todo lo que subes a sus servidores, y si encuentra alguna vulnerabilidad, malware o código sospechoso en alguno de los archivos te avisa inmediatamente tanto el panel de usuario, como por email, poniendo incluso los archivos peligrosos en cuarentena, y añadiendo un archivo de texto a tu servidor, denominado suspicious-files.txt.

Es una joya, y hace tiempo que se ha convertido en una de mis comprobaciones fijas cada vez que me contratan la limpieza de una web.

Plugins de seguridad

Hay algunos plugins de seguridad, como WordFence o Sucuri, que incluyen un motor de detección de virus y malware. No suelo recomendarlos para nada más, pero para este tipo de usos puede ayudarte en ocasiones, aunque prefiero cualquiera del resto de métodos.

Busca vulnerabilidades del tema

Hay herramientas, como la base de datos de vulnerabilidades de PatchStack, en la que puedes indicar el nombre de tu tema y te mostrará qué vulnerabilidades conocidas tiene cada una de sus versiones.

vulnerabilidades temas wordpress patchstack

Busca código ofuscado

Otra comprobación, que siempre hago y recomiendo, es buscar código ofuscado, un tipo de código que no deja ver qué hace realmente, que de algún modo pervierte la filosofía de código abierto, pues no te deja ver, leyendo el código, si hace llamadas externas, si inyecta scripts o qué.

ofuscar codigo

Esto es una práctica muy habitual y en ocasiones supera las pruebas de muchos detectores de malware o virus, que como mucho avisan de que hay código no reconocible.

Puedes encontrarte este tipo de código en cualquiera de los archivos del tema, así que no hay una regla de cuáles mirar y cuáles no, hay que revisarlos todos, y mi regla es que si un tema tiene código ofuscado no es seguro y no se debe instalar, mucho menos activar.

 

He probado ya todo ¿es seguro mi tema?

Si has realizado todas las comprobaciones anteriores es bastante probable que tu tema sea seguro, pero por si acaso, vamos a resumir algunas reglas de oro:

  • Siempre que sea posible utiliza temas del repositorio oficial de WordPress.org
  • Siempre que compres temas hazlo en el sitio oficial del creador
  • Nunca descargues gratis temas de pago
  • Siempre aloja tus webs en un hosting que se tome en serio la seguridad
  • Siempre analiza el tema en busca de virus y malware antes de activarlo en una web en producción

Y si, a pesar de todo lo anterior, han conseguido colarte código malicioso, revisa esta guía de cómo limpiar y recuperar una web infectada.

Compartir en redes
Resumir con IA

¿De cuánta utilidad te ha parecido este contenido?

¡Haz clic en las estrellas para valorarlo!

Promedio de puntuación 4.6 / 5. Total de votos: 9

¡Todavía no hay votos! Sé el primero en valorar este contenido.

Ya que has encontrado útil este contenido...

¡Sígueme en las redes sociales!

Puede que también te interese…

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!


Sobre el autor

Apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y dos perritas. Vasco de nacimiento, español de corazón y ciudadano de donde me quieran. Mi último libro es WordPress - Web gratis para todos. Mi blog personal es este, donde hace años ofrezco mis visiones acerca de la Web. Sígueme en Twitter
Scroll al inicio

Utilizamos cookies para ofrecerte la mejor experiencia en la web. No se comparte tu información con nadie, simplemente queremos que navegues normalmente sin tener que rellenar formularios en cada visita.
Puedes aprender más sobre qué cookies utilizamos en este enlace, o simplemente rechazarlas.