Desde hace un par de días está en marcha un ataque principalmente dirigido contra sitios creados con WordPress cuya intención es romper las webs infectadas e inyectar spam en las mismas.
La web de seguridad Sucuri informa que los objetivos de este ataque son:
- Sitios que usen WordPress
- Están dirigidos a instalaciones de WordPress con plugins sin actualizar (vulnerables).
- Está dirigidos a instalaciones con contraseñas de administrador débiles.
¿Entra tu WordPress en alguno de los puntos anteriores?. Si cumples las condiciones 2 y 3 ya tardas en solucionarlo, antes de recibir ataques de los que fácilmente te podrías librar.
Índice de contenidos
¿Qué hace el malware?
Intenta infectar archivos de la instalación de WordPress, ya sean del núcleo como de plugins y temas, y una manera fácil de detectarlo son errores visibles que se muestran en vez del sitio, como …
Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91
Y el código que inyectan es algo parecido a esta horripilancia …
<?php $pblquldqei = ’5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j…
Ya estoy infectado ¿cómo lo elimino?
Pues la solución no es cómoda pero sí sencilla: reinstala una versión limpia de WordPress y todos los plugins y temas susceptibles, así como de los archivos de configuración de WordPress.
¿Cómo evito ser infectado o atacado?
Pues ya lo hemos visto muchas veces, y la mejor solución pasa por la prevención, instalando algún plugin de seguridad.
Y aprovecho para recordar la guía definitiva para evitar el malware en WordPress, que debes aplicar y guardar en favoritos.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Si ha sido accedido por la vulnerabilidad de MailPoet, también hay que reinstalar MailPoet y eliminar la carpeta /wp-contents/upload/wysija/ o seguirá el sitio con el Backdoor activo, ya que ahí es dónde se sitúa el Backdoor.
De hecho, el ataque masivo que ha habido ahora se está basando en el theme inyectado hace unas semanas por la vulnerabilidad. La inmensa mayoría de gente arregló archivos, actualizó plugins, pero no eliminó el directorio, lo que quiere decir que seguían con el Backdoor.
yo soy un afectado mas pero mi problema es el siguiente, como recuperar el contenido que tenia en la web, aun no he hecho nada por que quiero estar bien informado para no perder nada, cojo la instalacion nueva y la sustituyo ademas de los plugin y con eso ya tendria la web operativa otra vez?
La información está en la base de datos y, que se sepa, este ataque no toca esa información. Así que haz limpieza de archivos, teniendo en cuenta lo que ha dicho José de no dejar nada por ahí.
Supongo que a estas alturas habrán resuelto la vulnerabilidad, porque esta noticia es del 1 de julio …
http://blog.sucuri.net/2014/07/remote-file-upload-vulnerability-on-mailpoet-wysija-newsletters.html
Ayer o anteayer, por cierto, hubo actualización de MailPoet.