Llevo un buen rato recibiendo avisos de que se están produciendo inyecciones de archivos, en concreto de uno denominado «satan.php» en la carpeta «upgrade» de WordPress, así que revisa urgentemente tu instalación para eliminarlo lo antes posible.
La carpeta upgrade, situada dentro de wp-content (o sea, en tusitio.es/wp-content/upgrade/) es la que usa WordPress para los archivos temporales en actualizaciones e instalaciones de plugins y temas.
Pues bien, sin interacción por parte del administrador están apareciendo dentro de esta carpeta archivos como si fueran de una instalación fallida de un tema, en concreto de uno llamado BoxTheme, y dentro de esa carpeta un archivo único denominado satan.php con código malicioso que puede comprometer toda tu instalación de WordPress.
Así que revisa mediante FTP la carpeta upgrade y si encuentras algo así lo borras directamente (esta carpeta debería estar siempre vacía salvo mientras actualizas o instalas algo). A continuación instala algún plugin que te avise de modificaciones en tu instalación, cómo Wordfence o WordPress File Monitor, y protege la carpeta contra escritura cambiando los permisos de la misma a 444 (temporalmente).
Sobre todo, modifica las contraseñas de acceso FTP cuando antes. El fichero es un mal bicho, con 1.420 líneas, algunas ofuscadas, de código que no hace nada bueno, pues prácticamente da acceso a todo tu servidor. No es una amenaza nueva, pero si que hace meses que no se veía, y ahora parece haber renacido. Un posible culpable sería un timthumb sin actualizar.
Si detectas algo más nos lo cuentas para actualizar la información y, por favor, difunde este aviso, que al menos estemos avisados.
Actualizaciones:
- Algunos proveedores de alojamiento, cómo CDmon, reconocen el archivo como virus, y lo borra automáticamente (bien hecho).
¿Te gustó este artículo? ¡No sabes lo que te estás perdiendo en YouTube!
