¿Cómo eliminar usuarios administradores invisibles de WordPress?

invisibles administradores suelen ser un indicio de que el sitio web ha sido pirateado o infectado con malware. Los atacantes crean cuentas de administrador ocultas para recuperar el acceso al sitio web, inyectar scripts maliciosos, robar datos o mantener el control sin ser detectados en el panel de control estándar de WordPress.

Si detecta actividad sospechosa, cuentas de administrador desconocidas o cambios no autorizados en el sitio web, es importante eliminar a estos usuarios ocultos de inmediato. Según Wordfence, los sitios de WordPress sufren un promedio de 172 intentos de ataque al día. Las cuentas de administrador ocultas son una de las señales más comunes de una intrusión exitosa.

TL;DR: Eliminar administradores invisibles

• Los usuarios administradores invisibles de WordPress son cuentas ocultas creadas por malware después de que un sitio web se vea comprometido.

• No aparecen en el panel de control de WordPress, pero existen en la base de datos con acceso de administrador completo.

• Para eliminarlos, es necesario acceder a phpMyAdmin y ejecutar una consulta directa a la base de datos.

• Realice siempre una copia de seguridad completa antes de realizar cualquier cambio en la base de datos.

• Tras la eliminación, actualice todos los complementos, habilite la autenticación de dos factoresy revise las cuentas de administrador mensualmente para evitar que vuelvan a aparecer.

Comprender los roles y permisos de usuario en WordPress

Antes de eliminar perfiles ocultos, conviene comprender los roles de usuario que admite WordPress. Conocer los roles existentes facilita la identificación de cuentas que no deberían tener acceso de administrador.

WordPress tiene seis roles de usuario. Esto es lo que cada uno puede y no puede hacer:

• Superadministrador: Tiene control total sobre una red multisitio de WordPress y puede administrar todos los sitios desde una única instalación. Este es el nivel de acceso más alto disponible.

• Administrador: Tiene control total sobre un único sitio de WordPress, incluyendo la configuración, los usuarios, los plugins y los temas. Cualquier cuenta oculta creada por malware generalmente utilizará este rol.

• Editor: Puede crear, editar, publicar y eliminar cualquier entrada o página, incluidas las escritas por otros usuarios. No puede acceder a la configuración del sitio ni instalar complementos.

• Autor: Solo puede escribir, editar y publicar sus propias entradas. No puede acceder ni modificar el contenido de otros usuarios.

• Colaborador: Puede escribir y editar sus propias publicaciones, pero no puede publicarlas sin la aprobación del administrador.

• Suscriptor: Solo puede administrar su propio perfil. No tiene acceso al contenido del sitio, la configuración ni a otros usuarios.

Al buscar cuentas ocultas, céntrate en los roles de Administrador y Superadministrador. Estos son los únicos dos roles que le dan a un atacante acceso significativo a tu sitio.

Señales comunes de cuentas de administrador ocultas en WordPress

Las cuentas de administrador ocultas suelen estar vinculadas a sitios web de WordPress pirateados, infecciones de malwareo intentos de acceso no autorizado. Detectar estas señales de alerta a tiempo puede ayudar a prevenir la pérdida de datos, la inactividad del sitio web y las brechas de seguridad recurrentes.

• Cuentas de administrador desconocidas: Aparecen usuarios administradores sospechosos en WordPress sin haber sido creados por los propietarios o administradores autorizados del sitio web.

• Instalaciones no autorizadas de plugins o temas: Se añaden nuevos plugins, temas o archivos sin permiso, que pueden contener scripts maliciosos o puertas traseras.

• Redirecciones sospechosas y páginas de spam: Los visitantes del sitio web son redirigidos a sitios web desconocidos, páginas de spam o enlaces de phishing sin autorización.

• Cambios inesperados en el sitio web: El contenido, la configuración, los permisos de usuario o los archivos del sitio web cambian inesperadamente sin que se hayan realizado actualizaciones o ediciones aprobadas.

• Problemas de inicio de sesión y seguridad: Los fallos frecuentes al iniciar sesión, las cuentas de administrador bloqueadas o la actividad inusual al iniciar sesión pueden indicar intentos de acceso no autorizados.

• Rendimiento lento del sitio web: Las infecciones de malware y las cuentas de administrador ocultas pueden aumentar la carga del servidor, lo que provoca tiempos de carga de página más lentos e inestabilidad del sitio web.

¿Por qué los usuarios administradores ocultos de WordPress representan un grave riesgo para la seguridad?

Las cuentas de administrador ocultas pueden otorgar a los atacantes el control total de tu sitio web de WordPress sin tu conocimiento. Estos usuarios no autorizados suelen crearse tras infecciones de malware, vulnerabilidades en pluginso intentos de pirateo exitosos.

• Acceso no autorizado al sitio web: Los usuarios administradores ocultos permiten a los atacantes acceder a su panel de control de WordPress y realizar cambios no autorizados.

• Inyección de malware: Los piratas informáticos pueden inyectar scripts maliciosos, contenido de spam, enlaces de phishing o archivos dañinos en su sitio web.

• Spam SEO y redirecciones: Los usuarios no autorizados pueden crear páginas de spam o redirigir a los visitantes a sitios web maliciosos, lo que perjudica su posicionamiento en los motores de búsqueda y su reputación.

• Robo de datos y brechas de seguridad: Los atacantes pueden robar información de los clientes, credenciales de inicio de sesión y datos confidenciales de los sitios web.

• Problemas de rendimiento y tiempos de inactividad del sitio web: de malware y las cuentas de administrador ocultas pueden ralentizar su sitio web, provocar fallos y comprometer la estabilidad general.

¿Cómo eliminar administradores invisibles de su sitio web de WordPress?

No existe una forma automatizada de eliminar las cuentas de administrador ocultas desde el panel de control de WordPress. Dado que estas cuentas se insertan directamente en la base de datos, solo se pueden encontrar y eliminar mediante phpMyAdmin, una herramienta de gestión de bases de datos web disponible en la mayoría de los paneles de control de alojamiento web.

Siga estos pasos con atención. No omita el paso de la copia de seguridad.

Paso 1: Crear una copia de seguridad

Antes de modificar la base de datos, crea una copia de seguridad completa con UpdraftPlus o BackupBuddy. Ambos plugins crean una copia de seguridad completa en minutos y te permiten restaurar tu sitio con un solo clic si algo sale mal.

Si comete un error durante la limpieza, una copia de seguridad reciente le permite revertirlo sin perder nada. No omita este paso.

Paso 2: Crear una nueva cuenta de administrador

Si tu nombre de usuario de administrador actual es "admin" o tu propio nombre, cámbialo ahora. Los nombres de usuario predecibles son uno de los primeros objetivos de los ataques de fuerza bruta.

Crea una nueva cuenta de administrador con un nombre de usuario difícil de adivinar. Cierra sesión en tu cuenta actual y vuelve a iniciar sesión con la nueva antes de continuar. Esto mantendrá tu acceso de administrador intacto mientras sigues los siguientes pasos.

Paso 3: Inicie sesión en phpMyAdmin

phpMyAdmin es una herramienta web para administrar directamente tu base de datos de WordPress. La encontrarás en el panel de control de tu hosting, en la sección de administración de bases de datos. La mayoría de los proveedores de hosting, como Cloudways y Bluehost, la incluyen por defecto.

Abre el archivo wp-config.php para encontrar el nombre de tu base de datos, nombre de usuario y contraseña. Los necesitarás para iniciar sesión.

Paso 4: Visualice su base de datos

Después de iniciar sesión, haga clic en el nombre de su base de datos en la columna izquierda. Aparecerá una lista de tablas. Dos tablas son importantes aquí:

• wp_users: Muestra todos los usuarios registrados en tu sitio. Anota los números de identificación de usuario que veas aquí. Estas son tus cuentas legítimas. Cualquier cuenta que no aparezca aquí, pero sí en el siguiente paso, es una cuenta oculta.

• wp_usermeta: Almacena metadatos para cada usuario, incluyendo su rol asignado. Las cuentas de administrador ocultas inyectadas por malware se almacenan aquí.

Paso 5: Identificar y eliminar a los usuarios

Haz clic en la pestaña SQL en la parte superior de la pantalla de phpMyAdmin. Pega la siguiente consulta en el cuadro de texto y haz clic en Ir:

seleccionar * de wp_usermeta donde meta_value LIKE '%administrator%';

Esto devuelve todos los ID de usuario a los que se les han asignado privilegios de administrador. Compara estos ID con los que anotaste en wp_users. Cualquier ID que aparezca en los resultados de la consulta pero no en tu tabla wp_users es una cuenta de administrador oculta que debe eliminarse.

Paso 6: Eliminar las cuentas ocultas

Elimina de los resultados de la consulta todos los ID de usuario que no aparezcan en la tabla wp_users. Elimina únicamente esas filas específicas. No modifiques ningún otro dato de la base de datos.

Una vez hecho esto, regresa al panel de control de WordPress y abre la sección Usuarios. Comprueba que las cuentas ocultas hayan desaparecido y que tu cuenta de administrador permanezca visible. Ahora, la lista debería mostrar solo las cuentas que reconoces.

¿Cómo evitar usuarios administradores ocultos en WordPress?

Para evitar usuarios administradores ocultos, es necesario un monitoreo regular de la seguridad de WordPress y un mantenimiento proactivo del sitio web. Unas buenas prácticas de seguridad ayudan a reducir el riesgo de infecciones por malware, cuentas de administrador no autorizadas e intentos de piratería informática futuros.

• Utilice contraseñas de administrador seguras: Las contraseñas débiles facilitan el acceso a los atacantes mediante fuerza bruta. Utilice un gestor de contraseñas para generar una contraseña única de al menos 16 caracteres para cada cuenta de administrador.

• Habilita la autenticación de dos factores: La autenticación de dos factores añade un paso de verificación adicional al proceso de inicio de sesión. Incluso si un atacante tiene tu contraseña, no podrá acceder a la cuenta sin el segundo factor. Plugins como WP 2FA lo gestionan en minutos.

• Actualiza tus plugins y temas con regularidad: Los plugins y temas obsoletos suelen contener vulnerabilidades que los hackers pueden explotar.

• Analice su sistema con frecuencia en busca de malware: realice análisis semanales con Wordfence o Solid Security. Estas herramientas detectan archivos sospechosos, scripts maliciosos y cuentas de administrador recién creadas que se salen de los patrones de actividad habituales.

• Limitar intentos de inicio de sesión: Instale Limit Login Attempts Reloaded para bloquear automáticamente los intentos de inicio de sesión fallidos repetidos. Los ataques de fuerza bruta se basan en intentos ilimitados para descifrar las credenciales.

• Eliminar plugins y usuarios no utilizados: Los plugins inactivos son posibles puntos de entrada. Desactive y elimine cualquier plugin o tema que no esté en uso. Elimine las cuentas de usuario de quienes ya no necesiten acceso.

• Utiliza un cortafuegos para WordPress: Un cortafuegos para aplicaciones web filtra el tráfico malicioso antes de que llegue a tu sitio. Wordfence y Cloudflare ofrecen protección de cortafuegos adecuada para sitios WordPress de todos los tamaños.

Conclusión

Los usuarios administradores invisibles de WordPress casi siempre son señal de que algo más grave ha ocurrido en tu sitio. Eliminarlos a través de phpMyAdmin soluciona la amenaza inmediata, pero aún es necesario abordar la vulnerabilidad que permitió el acceso al atacante.

Actualiza todos los plugins y temas, cambia todas las contraseñas de administrador, habilita la autenticación de dos factores y realiza un análisis completo de malware antes de considerar que el sitio está limpio. Si una cuenta oculta sigue apareciendo, significa que la causa raíz del problema no se ha solucionado.

Preguntas frecuentes sobre cómo eliminar administradores invisibles de WordPress