Debes tener lo siguiente:
- La capacidad de evitar que tu servidor web entregue páginas (o puedes analizar las opciones con tu proveedor de servicios de hosting). Ten en cuenta que, en pasos posteriores, tendrás que volver a poner tu sitio en línea durante períodos breves.
- Permisos de administración de cuentas (la capacidad de ver todos los usuarios, borrarlos y cambiar todas las contraseñas relacionadas con tu cuenta)
Acciones siguientes
1. Lleva tu sitio sin conexión
Deja tu sitio sin conexión para que deje de mostrar contenido a los usuarios. Por ejemplo, detén el servidor web o dirige las entradas de DNS del sitio web a una página estática en un servidor diferente que use un código de respuesta HTTP 503.
Si desconectas tu sitio vulnerado por completo, puedes realizar tareas administrativas con menos interferencia del hacker y, mientras tanto, el código malicioso o los archivos generadores de spam no quedarán expuestos a los visitantes. Es poco probable que dejar tu sitio sin conexión de manera intermitente o temporal durante el proceso de recuperación afecte su clasificación futura en los resultados de la búsqueda.
Es útil comunicarte con el proveedor de servicios de hosting si no sabes cómo dejar tu sitio sin conexión. Por ejemplo, tu servidor de hosting puede configurar una respuesta 503 para tu sitio desde fuera de tus directorios infectados (lo cual es una buena opción). Infórmale a tu proveedor de servicios de hosting que pronto tendrás que activar o desactivar tu sitio entre los modos en línea y sin conexión para realizar pruebas, ya que eso podría ayudarlos a brindarte el método de autoservicio más adecuado para dejar tu sitio sin conexión.
Hacer que tu sitio muestre un código de estado HTTP 4xx o 5xx no es suficiente para proteger a los usuarios. De todos modos, se puede mostrar contenido dañino a los usuarios con estos códigos de estado. El código de estado 503 es un indicador útil de que tu sitio está inactivo temporalmente, pero la respuesta debe ocurrir desde fuera del servidor o sitio comprometido.
Tampoco basta con usar robots.txt disallow, ya que solo bloquea los rastreadores de los motores de búsqueda. Sin embargo, los usuarios normales aún pueden acceder a contenido dañino.
2. Comunícate con el proveedor de servicios de hosting
Si aún no lo hiciste, comunícate con tu proveedor de servicios de hosting para informarle de la situación. Si tu servidor de hosting también se vio comprometido, puede ayudarlos a comprender el alcance del problema.
3. Realizar una administración exhaustiva de la cuenta de usuario
- Consulta una lista de las cuentas de usuario de tu sitio y verifica si el hacker creó una cuenta de usuario nueva. Si se crearon cuentas ilícitas, anota los nombres no deseados de las cuentas para investigarlas posteriormente. Luego borra las cuentas para evitar que el hacker vuelva a acceder más tarde.
- Cambiar las contraseñas de todas las cuentas y los usuarios del sitio Esto incluye accesos para FTP, acceso a bases de datos, administradores de sistemas y cuentas del sistema de administración de contenido (CMS).