Alerta de seguridad en WordPress: satan.php

ataque wordpress

Llevo un buen rato recibiendo avisos de que se están produciendo inyecciones de archivos, en concreto de uno denominado “satan.php” en la carpeta “upgrade” de WordPress, así que revisa urgentemente tu instalación para eliminarlo lo antes posible.

La carpeta upgrade, situada dentro de wp-content (o sea, en tusitio.es/wp-content/upgrade/) es la que usa WordPress para los archivos temporales en actualizaciones e instalaciones de plugins y temas.

Pues bien, sin interacción por parte del administrador están apareciendo dentro de esta carpeta archivos como si fueran de una instalación fallida de un tema, en concreto de uno llamado BoxTheme, y dentro de esa carpeta un archivo único denominado satan.php con código malicioso que puede comprometer toda tu instalación de WordPress.

Así que revisa mediante FTP la carpeta upgrade y si encuentras algo así lo borras directamente (esta carpeta debería estar siempre vacía salvo mientras actualizas o instalas algo). A continuación instala algún plugin que te avise de modificaciones en tu instalación, cómo Wordfence o WordPress File Monitor, y protege la carpeta contra escritura cambiando los permisos de la misma a 444 (temporalmente).

Cambiar permisos a 444

Cambiar permisos a 444

Sobre todo, modifica las contraseñas de acceso FTP cuando antes. El fichero es un mal bicho, con 1.420 líneas, algunas ofuscadas, de código que no hace nada bueno, pues prácticamente da acceso a todo tu servidor. No es una amenaza nueva, pero si que hace meses que no se veía, y ahora parece haber renacido. Un posible culpable sería un timthumb sin actualizar.

satan.php

Si detectas algo más nos lo cuentas para actualizar la información y, por favor, difunde este aviso, que al menos estemos avisados.

Actualizaciones:

  • Algunos proveedores de alojamiento, cómo CDmon, reconocen el archivo como virus, y lo borra automáticamente (bien hecho).
    borrado satan.php por cdmon

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

Valora este artículo para mejorar la calidad del blog ...

Al hacer una valoración se recoge una cookie con la IP de tu dispositivo

FlojitoNo está malEstá bienMe ha servidoFantástico (sin valoración aún)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest