Limpieza y securización progresiva de servidor VPS con PrestaShop infectado
Detección, limpieza de malware, endurecimiento de ModSecurity y plan de securización por etapas
En este proyecto, un cliente con una tienda online en PrestaShop alojada en un VPS nos contactó tras detectar alertas de seguridad e indexaciones sospechosas en Google Search Console, donde se había creado una nueva propiedad para analizar el sitio.
Al realizar una auditoría inicial, confirmamos que el sitio se encontraba infectado desde hacía varios años, con presencia de webshells y ficheros maliciosos distribuidos en múltiples directorios del núcleo de PrestaShop.
Acciones realizadas
1. Limpieza integral de archivos infectados
Se realizó un análisis completo del sistema de archivos mediante herramientas de detección y revisión manual, identificando y eliminando todos los ficheros comprometidos, incluyendo scripts ocultos y backdoors persistentes.
2. Sanitización de base de datos
Se ejecutó una limpieza profunda de la base de datos para eliminar posibles inyecciones o referencias maliciosas en tablas y configuraciones, asegurando la integridad del contenido y la normalización de los datos del e-commerce.
3. Revisión y endurecimiento de ModSecurity
Durante el diagnóstico se detectó que el firewall ModSecurity estaba instalado pero configurado en modo “report only”, es decir, registraba amenazas pero no las bloqueaba.
Se procedió a activar el modo de bloqueo activo, actualizando las reglas CRS y creando excepciones personalizadas para evitar falsos positivos en el flujo normal del sitio (checkout, formularios, login, etc.).
4. Implementación de medidas de securización iniciales
Tras la limpieza y corrección del firewall, se aplicó una primera etapa de securización progresiva, configurando parámetros de protección en Apache, PHP y acceso SSH.
El objetivo fue bloquear los intentos de reinfección y estabilizar el entorno, sentando la base para las siguientes fases de endurecimiento del servidor y monitoreo preventivo.
Resultados obtenidos
- Eliminación completa de malware y restauración de la integridad del sistema.
- Reforzamiento de la seguridad con ModSecurity en modo activo.
- Reducción inmediata de intentos de intrusión detectados en logs.
- Sitio estable, sin reinfecciones ni redirecciones no autorizadas.
- Plan de securización por etapas establecido para mantener el entorno seguro a largo plazo.
1. ¿Cómo sé si mi sitio PrestaShop está infectado con malware?
Algunos síntomas comunes incluyen redirecciones sospechosas, lentitud repentina, alertas en Google Search Console, archivos desconocidos en el servidor o bloqueos por parte de Google. Un análisis de logs y archivos suele confirmar la infección.
2. ¿Qué implica una limpieza completa del sitio?
La limpieza incluye eliminar archivos maliciosos, revisar el núcleo de PrestaShop, módulos y temas, además de depurar la base de datos para remover cualquier código inyectado. También se restauran permisos y configuraciones seguras.
3. ¿Por qué es importante activar ModSecurity en modo bloqueo?
Cuando ModSecurity está en modo report only, solo registra ataques sin bloquearlos. Activarlo en modo de bloqueo real impide que scripts maliciosos se ejecuten, evitando nuevas infecciones o accesos no autorizados.
4. ¿Qué medidas se implementan después de la limpieza?
Se aplica un plan de securización por etapas que incluye ajustes en Apache y PHP, configuración de firewall, revisión de accesos SSH, instalación de certificados SSL y activación de políticas de seguridad HTTP.
5. ¿Puedo evitar futuras infecciones en mi PrestaShop?
Sí. Con mantenimiento regular, actualizaciones, monitoreo de logs, backups automáticos y reglas personalizadas en ModSecurity, tu sitio puede mantenerse protegido y estable a largo plazo.
En TGA Software, ayudamos a empresas a detectar, limpiar y proteger sus sitios web frente a ataques y vulnerabilidades.
Si tu tienda o servidor presenta signos de infección, caídas frecuentes o alertas de seguridad, podemos ayudarte a restaurar la estabilidad y reforzar tu infraestructura con medidas de seguridad avanzadas.