Què fer si la teva web ha estat hackejada

Descobrir que la teva web ha estat compromesa no és agradable. I el primer impuls sol ser tocar-ho tot ràpid: esborrar fitxers, canviar plugins, restaurar qualsevol còpia i resar una mica davant del router.

Però aquí convé anar amb ordre. Una web hackejada no només s'ha de "netejar": cal entendre com han entrat, què han modificat i què s'ha de reforçar perquè no torni a passar.

Senyals que la web pot estar compromesa

No sempre és evident. A vegades la web funciona aparentment bé, però per sota hi ha redireccions, fitxers estranys o contingut injectat.

Alguns senyals habituals:

• Google mostra avisos com "This site may be hacked" o "Deceptive site ahead".
• La web redirigeix a pàgines externes sospitoses.
• Apareixen usuaris administradors que no has creat.
• Hi ha fitxers estranys al servidor.
• El hosting t'avisa d'un consum anormal.
• La web va molt lenta sense motiu clar.
• Search Console mostra problemes de seguretat.
• Apareixen pàgines indexades que no són teves.

Google explica que l'avís "This site may be hacked" pot aparèixer quan detecta que algú ha modificat pàgines existents o ha afegit pàgines de spam, i recomana revisar el problema des de Search Console abans de demanar una revisió.

Passos immediats

1. No entris en pànic, però actua ràpid

El pitjor és improvisar. Si comences a esborrar coses sense mirar què ha passat, pots perdre pistes importants: fitxers modificats, dates, usuaris creats, logs o patrons d'entrada.

Primer cal estabilitzar la situació. Després ja netejarem.

2. Canvia les contrasenyes importants

Canvia les contrasenyes dels accessos principals:

• hosting;
• FTP/SFTP;
• base de dades;
• administrador de WordPress o CMS;
• correu associat al domini;
• panell DNS si hi ha sospita d'accés.

Fes-ho des d'un dispositiu segur. Si el teu ordinador també està compromès, canviar contrasenyes des d'allà és com canviar el pany i deixar la clau sota l'estora.

3. Guarda una còpia de l'estat actual

Abans de netejar, guarda una còpia dels fitxers i de la base de dades tal com estan. Pot semblar contradictori, però és important.

Aquesta còpia pot ajudar a veure què s'ha modificat, quan ha passat i quin ha estat el punt d'entrada. També pot ser útil si cal parlar amb el hosting o amb un tècnic.

4. Revisa fitxers i canvis recents

Cal buscar fitxers modificats recentment, codi ofuscat, scripts estranys, carpetes que no haurien de ser-hi i canvis en fitxers sensibles.

En WordPress, revisaria especialment:

• plugins i temes instal·lats;
• usuaris administradors;
• fitxers del tema actiu;
• carpeta uploads;
• fitxers de configuració;
• permisos de fitxers i directoris.

No és feina de "mirar una mica per sobre". Els hacks sovint amaguen portes del darrere perquè la web es torni a infectar dies després.

5. Restaura només si la còpia és neta

Restaurar una còpia pot ser la via més ràpida, però només si tens clar que aquella còpia és anterior a la infecció.

Si restaures una còpia infectada, només estàs tornant al mateix punt amb cara de "ara sí que sí". I no: el problema continuarà allà.

6. Actualitza i reforça

Quan la web ja està estabilitzada, toca reforçar:

• actualitzar WordPress, plugins i temes;
• eliminar plugins i temes que no es fan servir;
• revisar usuaris i permisos;
• activar autenticació en dos passos si és possible;
• revisar permisos de fitxers;
• desactivar editors interns si no calen;
• millorar còpies de seguretat;
• revisar logs i monitoratge.

WordPress recorda que cap sistema és perfectament segur i que la seguretat consisteix a reduir riscos amb controls raonables: actualitzacions, permisos, contrasenyes, backups, logging i monitoratge.

I si Google ha marcat la web?

Si Google ha mostrat un avís de seguretat, no n'hi ha prou amb netejar la web i esperar.

El camí habitual és:

1. Verificar la web a Search Console.
2. Revisar l'apartat de problemes de seguretat.
3. Corregir la causa de la infecció.
4. Netejar pàgines, fitxers i contingut maliciós.
5. Demanar una revisió quan tot estigui net.

Google avisa que no s'ha de demanar la revisió abans d'haver resolt realment el problema, perquè això només allarga el temps que el lloc pot continuar marcat com a perillós.

Quan demanar ajuda

Si no tens experiència tècnica, no intentis arreglar-ho tot sol. Un hack mal netejat pot tornar al cap de pocs dies.

Demanar ajuda té sentit si:

• no saps per on han entrat;
• la web redirigeix a llocs estranys;
• Google o el navegador mostren avisos;
• tens una botiga online o formularis amb dades;
• han aparegut administradors desconeguts;
• no tens còpies de seguretat fiables;
• el hosting t'ha bloquejat el servei;
• la web torna a infectar-se després de netejar-la.

Aquí no es tracta només de treure el codi dolent. Es tracta de recuperar el control.

Què faig en aquests casos

Quan una web arriba compromesa, el primer és entendre l'abast del problema. No prometo miracles ni "neteja en cinc minuts", perquè això normalment és mentida amb una mica de purpurina.

El procés acostuma a ser:

• revisar l'estat actual;
• guardar evidències abans de tocar res important;
• recuperar accessos;
• detectar fitxers, usuaris o codi sospitós;
• netejar o restaurar des d'una còpia neta;
• actualitzar i reforçar;
• revisar Search Console si Google ha marcat la web;
• deixar recomanacions perquè no torni a passar.

Si la web és crítica per al negoci, val més fer-ho bé que fer-ho ràpid i malament.

Resum

Si la teva web ha estat hackejada, no improvisis.

Primer recupera el control. Després neteja. I finalment reforça. Perquè una web no queda segura només perquè torni a carregar bé a la home.

Tens la web compromesa o sospites que alguna cosa no va bé?

Explica'm què has vist: avisos de Google, redireccions estranyes, usuaris desconeguts, errors del hosting o canvis que no has fet. Revisaré el cas i et diré quin és el primer pas raonable.

Demanar revisió urgent →