Hace horas que se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak.
Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos.
Lo que sucede es que el atacante accede al fichero wp-includes/template-loader.php e incluye lo siguiente:
<?php
function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", 'FuncQueueObject');
Esto provoca que se añada lo siguiente al archivo wp-includes/js/swobject.js:
Este malware, al descodificarse, carga un malware en javascript desde el dominio SoakSoak.ru, en concreto este archivo: hXXp://soaksoak.ru/xteas/code
Si ya estás infectado la solución de urgencia es sustituir los archivos comprometidos por unos limpios descargados desde WordPress.org, para a continuación cargar una versión completa limpia tanto de WordPress como de plugins y temas.
Una vez hecho esto, ahora sí, instala algún plugin de seguridad como WordFence o el que más te guste, pero que tenga firewall integrado y detección temprana de archivos modificados.
Si quieres comprobar si estás infectado prueba en este comprobador de seguridad online gratuito.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
Gracias por el artículo-noticia, ya ando analizando mis webs, una si me marcó errores.
Gracias
Yo tengo una duda, si el único error que da es la versión del apache, que es lo que se puede hacer?, supongo que la gente de mi hosting tiene esa versión instalada, se puede solicitar que actualicen o algo?
si estas con un hosting compartido difícilmente te actualizaran apache por que es para todos el mismo, ya dependerá de su política de updates
si usas un vps o dedicado tu administrador de sistemas puede hacerlo
Con que herramienta puedo analizar y detectarse el problema?
Al final del post deja la url de sucuri 😉
Gracias por la noticia… lo bueno es que ya tenía instalado Wordfence…
Pero… cual es su acción? robar contraseñas de usuarios? infectar ordenadores?
Hola,
Nosotros hemos detectado desde ayer muchos ataques a WordPress con el plugin Revolution Slider desactualizado, mediante una vulnerabilidad de Revolution Slider subían un fichero que inyectaba el código que se menciona en el artículo, en los ficheros de WordPress.
El código hacía que al cargar el template se hiciese una llamada a una url externa de la red de SoakSoak que intentaba descargar un malware en el equipo del usuario que visitase la web.
También hemos visto intentos de infectar xmlrpc.php además de swobject.js
y template-loader.php.
Si tenéis Revolution Slider instalado si no se actualiza volverán a infectaros aunque limpiéis los ficheros.
Nosotros hemos añadido a nuestros sistemas antimalware las cadenas y md5 de ficheros infectados para evitar la infección y hemos creado regla de seguridad en modsecurity para bloquear desde apache cualquier petición POST al plugin revslider mientras los clientes se actualizan.
Saludos
Lucas
Gente para detectar malware prueben con «maldet».
¡Gracias por la información! Es muy valioso tu aporte 🙂
El gran problema es que muchos usan plantillas piratas y no saben que vienen con codigo ofuscado con lineas de base64 y eval ademas de que tambien le ponen codigo ofuscado a las imagenes, codigos php maliciosos etc…
Excelente aportacion. Saludos!!!
hice el control y me salieron errores, seguí todos los pasos, pero ese sitio me sigue dando los mismos errores despues de un par de días, no se hasta que punto es confiable el sitio o si realmente persisten los problemas wordfence dice que todo esta en orden. No se que pensar.
felicitaciones y gracias por tu excelente articulo