Llevo un buen rato recibiendo avisos de que se están produciendo inyecciones de archivos, en concreto de uno denominado «satan.php» en la carpeta «upgrade» de WordPress, así que revisa urgentemente tu instalación para eliminarlo lo antes posible.
La carpeta upgrade, situada dentro de wp-content (o sea, en tusitio.es/wp-content/upgrade/) es la que usa WordPress para los archivos temporales en actualizaciones e instalaciones de plugins y temas.
Pues bien, sin interacción por parte del administrador están apareciendo dentro de esta carpeta archivos como si fueran de una instalación fallida de un tema, en concreto de uno llamado BoxTheme, y dentro de esa carpeta un archivo único denominado satan.php con código malicioso que puede comprometer toda tu instalación de WordPress.
Así que revisa mediante FTP la carpeta upgrade y si encuentras algo así lo borras directamente (esta carpeta debería estar siempre vacía salvo mientras actualizas o instalas algo). A continuación instala algún plugin que te avise de modificaciones en tu instalación, cómo Wordfence o WordPress File Monitor, y protege la carpeta contra escritura cambiando los permisos de la misma a 444 (temporalmente).
Sobre todo, modifica las contraseñas de acceso FTP cuando antes. El fichero es un mal bicho, con 1.420 líneas, algunas ofuscadas, de código que no hace nada bueno, pues prácticamente da acceso a todo tu servidor. No es una amenaza nueva, pero si que hace meses que no se veía, y ahora parece haber renacido. Un posible culpable sería un timthumb sin actualizar.
Si detectas algo más nos lo cuentas para actualizar la información y, por favor, difunde este aviso, que al menos estemos avisados.
Actualizaciones:
- Algunos proveedores de alojamiento, cómo CDmon, reconocen el archivo como virus, y lo borra automáticamente (bien hecho).
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.
Gracias por el aviso Fernando. Voy a revisar ahora mismo mis servidores
Yo desde que deje de usar timthumb fue un cambio en mis web y varios dolores de cabeza, mejor utilizar set_post_thumbnail_size y add_image_size, Saludos
Permisos modificados, gracias.
La verdad es que es buena idea tener siempre el directorio upgrade en sólo lectura y conceder escritura cuando quieras actualizar plugins o temas.
Gracias por el aviso amigo, que buen blog el que tienes!!
Esto de los ataques a WP en las últimas semanas es para no dormir, tal parece que todos los frentes se han abierto y dispuestos para atacar sitios basados en WP, a proceder entonces con esto y gracias por compartirlo
Yo no tengo el Satan, pero una inyección de código me esta volviendo loco.
Algún código malicioso me crea una carpeta ‘public’, además de dos más, dentro de wp-content, y dentro de esta carpeta ‘public’ más de 1.000 webs. La borro y se vuelve a crear en unas horas.
Claro miro en webmaster tools y estas web se indexan.
He mirado con Wordfence y me encuentra un par de archivos infectados, los elimino y al tiempo se vuelven a crear.
Alguna idea?
¿Puede ser por el theme WPInsurance que es el que he puesto hace un mes?
De dónde sacaste el tema? Le pasaste el Theme Authenticity Checker primero?
Revisaque los permisos CHMOD sean los correctos, sino medio dificil que alguien te escriba asi tan de facil en el servidor.
Gracias por el aviso!! Una pregunta, cuando devolvemos los permisos que habían antes de cambiar a 444? Hay alguna guía de «permisos/números»? Al lío y gracias de nuevo Fernando!!
https://ayudawp.com/que-permisos-poner-a-archivos-y-carpetas-en-wordpress/
Muchas gracias por el aviso (qué alegría cuando he leído lo de CDmon porque yo tengo casi todo ahí).
Dicho y hecho…difundido en facebook. Los que tenemos decenas de web con wordpress menudo trabajito nos espera. Gracias