Este artículo explica las alertas de malware o virus que pueden aparecer en servicios de hosting y hacer que tu sitio figure como inseguro o potencialmente peligroso en navegadores y buscadores.
¿Cómo llega el malware a mi servicio?
Las formas más comunes son:
1. Contraseña insegura
Una contraseña fácil de adivinar puede permitir que un tercero acceda a tu servicio por el panel de control o FTP. Evitá contraseñas simples (nombres, direcciones, teléfonos).
Una contraseña segura debe tener al menos 8 caracteres e incluir mayúsculas, minúsculas, números y símbolos (por ejemplo: @#~$).
2. PC infectada con virus o spyware
No accedas al panel ni por FTP desde lugares públicos (locutorios, etc.). Revisá con un antivirus actualizado todas las PC desde las que administrás el servicio. El spyware puede robar contraseñas guardadas y permitir accesos no autorizados.
3. Aplicaciones desactualizadas o mal configuradas
CMS como Joomla, WordPress u otros, instalados sin medidas de seguridad o sin actualizar, suelen tener vulnerabilidades explotables por terceros.
Consideraciones sobre CMS
Los CMS permiten administrar el sitio desde una interfaz web. Deben actualizarse periódicamente: muchas actualizaciones corrigen fallos de seguridad que, si no se aplican, pueden ser explotados.
En muchos casos, el atacante modifica el código de las páginas (sobre todo el index) con una técnica conocida como iframe attack: agrega líneas que cargan otra página sin que el visitante lo note, para posicionar sitios externos o infectar las PC de quienes navegan tu web.
¿Cómo eliminar el virus o la alerta?
- Respaldo y cambio de contraseña: ingresá por FTP, descargá todo el contenido del sitio a tu PC y cambiá la contraseña de FTP desde el panel de control.
- Escaneo de tu PC: analizá el equipo con antivirus y antispyware actualizados.
- Revisión manual de archivos: en la copia local del sitio, buscá código malicioso en archivos HTML y PHP.
Código sospechoso: iframes ocultos
Buscá <iframe> con estilo oculto que no correspondan a tu sitio:
<iframe src="http://UN_DOMINIO.COM" style="visibility: hidden; display: none"> </iframe>
Código sospechoso: document.write codificado
Buscá también document.write seguido de texto encodeado:
<script language="javascript"> document.write( unescape( '%70%61%67%65%20%6F%6E%65' ) ); </script>
Recordá: si encontrás código como en los ejemplos, eliminá esas porciones.
Verificá que todos los src= y http:// apunten a archivos de tu sitio o a sitios externos conocidos y confiables.
Revisá manualmente si existen archivos .php, .js, .htm, .html, .asp, .aspx, .inc, .cfm, etc., que no pertenezcan a tu sitio.
Restaurar el sitio limpio
Cuando estés seguro de que el sitio está limpio:
- Conectate por FTP, eliminá todo el contenido de public_html (cPanel) o la carpeta raíz web de tu panel, y subí los archivos ya revisados.
- Eliminá la caché del navegador (habitualmente Ctrl + Shift + Supr o Ctrl + F5).
Si Google marcó el sitio como sospechoso
Deberás solicitar una revisión completando el formulario en:
- Google Search Console (antes Google Webmaster Central).
- StopBadware.
Nota: La advertencia de Google suele desaparecer en un plazo de hasta 7 días, una vez que vuelva a analizar el sitio y no detecte código malicioso.
¿Necesitás ayuda?
Si no podés identificar o eliminar la infección, contactá al soporte técnico desde el portal de clientes o el chat online del sitio. También podés consultar en la base de conocimiento artículos sobre sitios marcados como no seguros en buscadores.