¿Cómo sé si mi sitio fue afectado?

No hace falta que lo sepa usted. Listamos cada archivo parecido a un favicon en la instalación y revisamos las cabeceras — un favicon real es una imagen, lo demás es candidato a eliminar. Si los suyos están limpios, se lo decimos.

¿De verdad son peligrosas las backdoors de favicon?

Sí. Un archivo PHP disfrazado de favicon puede ejecutar cualquier cosa en su servidor cuando el atacante lo solicita del modo adecuado. Es un punto de apoyo que sobrevive a las actualizaciones de plugins y a la mayoría de escaneos automáticos.

¿Esto puede afectar al SEO o al posicionamiento en Google?

Solo de forma indirecta — la backdoor suele usarse para colocar otro malware (redirecciones, spam SEO, skimmers) que sí afecta al ranking. Lo comprobamos durante la limpieza.

Identificamos el plugin o credencial que dejó entrar al atacante y cerramos esa puerta antes de cerrar el encargo.

// PHARMA HACK · WORDPRESS · LIMPIADO

WordPress favicon malware removal.

Los atacantes disfrazan backdoors PHP de favicon porque nadie las mira. Encontramos las falsas, eliminamos la backdoor que las colocó y le contamos cómo entró. Tarifa única 279 $.

Iniciar limpieza → Cómo funciona la infección

§ 01 — MECANISMO

Un favicon es solo una imagen. Hasta que deja de serlo.

El truco es simple: el atacante coloca un archivo llamado favicon.ico_bak, favicon_baddc6.ico o wp-favicon.php en sus directorios de WordPress. La mayoría parecen copias de seguridad normales. Algunos son en realidad PHP que el servidor ejecuta al llamarlos del modo correcto.

Los proveedores de hosting y los plugins de seguridad ignoran archivos que parecen imágenes, y por eso el atacante escoge ese disfraz. Listamos cada archivo similar a un favicon, lo comparamos con un WordPress limpio y confirmamos qué es realmente.

// find — archivos favicon que no son favicons

01 find . -type f \( -name 'favicon*.ico*' \\
02     -o -name 'favicon*.php' \\
03     -o -name '*-favicon*' \)
04
05 // Anything outside the theme root, or any PHP file
06 // in the list, is a candidate for a backdoor.

§ 02 — QUÉ ELIMINAMOS

Cada lugar donde se esconde esta infección.

[ TRIAGE DE PLUGINS ]

Cada archivo con nombre similar a favicon se lista e inspecciona — cabeceras de imagen, tamaño, fecha de última modificación.
[ ARCHIVOS ]

Archivos favicon falsos eliminados. El PHP disfrazado de imagen se extrae antes de borrarlo para saber qué hacía.
[ BACKDOORS ]

La backdoor que las colocó — normalmente en wp-content/uploads o mu-plugins — se encuentra y se elimina.
[ BASE DE DATOS ]

wp_options y widgets activos revisados en busca de persistencia relacionada. Tareas programadas auditadas.
[ ENDURECIMIENTO ]

Ejecución PHP desactivada en directorios de uploads. Permisos endurecidos para que el truco no se pueda repetir.
[ INFORME ]

Informe forense en lenguaje claro, vector de entrada nombrado, qué cambiar antes de devolverle las llaves.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →