La inyección de código NO es en WordPress 2.9.2

Desde hace días estamos viendo noticias acerca de ataques a sitios actualizados a WordPress 2.9.2, o sea, la última versión estable y, tras una espera razonable por mi parte para ver por donde iban los tiros, y constatar esta misma tarde que es lo que está pasando en varios sitios, puedo apuntar lo siguiente:

  1. El ataque es real, afecta a cualquier instalación de WordPress, incluida la 2.9.2, la 3.0, la que sea.
  2. Los síntomas principales de los ataques son popups de imágenes, granjas de enlaces antes de , el escritorio desconfigurado y múltiples variaciones de los anteriores.
  3. Se produce una inyección de código, encriptado en base64 en todos los archivos php del sitio.
  4. Se introduce un código html en la tabla wp-options de la base de datos (no siempre).
  5. El problema no es de WordPress, como Network Solutions ha reconocido ante la aclaración de Matt
  6. Cualquier CMS es susceptible de este tipo de ataque, y ya se han visto sitios creado con Drupal afectados
  7. Cualquier carpeta con permisos superiores a 644 puede verse afectada. Encontrarás que los plugins por defecto obtienen permisos 755, así como wp-config.php
  8. El problema proviene de servidores con problemas de seguridad, mayoritariamente VPS

Si tu sitio ha sido atacado debes repasar estos enlaces para asegurar lo máximo posible tu instalación de WordPress:

Como limpiar completamente tu sitio si ya ha sido afectado

A grandes males grandes remedios. Si tu sitio ya ha sido infectado puedes estar seguro que pronto lo estará de nuevo a no ser que salga pronto una solución. Si quieres tener ciertas garantías igual es interesante que realices una operación de limpieza profunda:

  1. Exporta todo tu contenido mediante la utilidad de exportación de WordPress y guarda la carpeta wp-content así como cualquier otra que utilices de modo manual. Revisa tu tema, plugins y carpetas de uploads, etc, antes de darlos por seguros.
  2. Revisa el fichero wp-config.php para eliminar cualquier posible inyección de código, cambia los permisos a 644 o, mucho mejor, carga un wp-config.php totalmente limpio.
  3. Cambia todas las contraseñas: ftp, base de datos. Usa contraseñas fuertes, usando caracteres alfanuméricos y símbolos
  4. Como el problema afecta a la base de datos hay que descartarla. Borra la actual y crea una nueva o, en su defecto, revisa cada una de las tablas
  5. Borra todo el contenido de la instalación actual de WordPress (recuerda que antes has hecho backup)
  6. Instala un WordPress limpio (última versión), usando la información de la nueva base de datos recién creada
  7. Carga tu carpeta wp-content de nuevo, una vez comprobado que todo está limpio
  8. Importa los posts de tu sitio que exportaste con la utilidad de importación de WordPress
  9. Configura tu WordPress de manera segura siguiendo las instrucciones de los enlaces facilitados

Y, bueno, aquí os dejo, sigo repasando sitios de clientes por si las moscas. Entretanto revisad el código fuente de vuestra instalación y hablad con vuestro hosting para ver si saben del asunto.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(0 votos, promedio: 0)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

27 comentarios en “La inyección de código NO es en WordPress 2.9.2”

  1. No entiendo exactamente de donde viene el problema, ¿de apache? ¿de Mysql? ¿de algun programa de virtualización?. Porque sencillamente no puedo tener todos mis directorios en 644, perderia un monton de funcionalidad.

  2. qué tal Fernando. Creo que has hecho un gran trabajo en el posicionamiento de AyudaWordPress como uno de los mejores blogs sobre el cms en español, ya ni digamos que tienes una buena comunidad, el conocimiento y sobre todo que bueno que hay gente como tú que se toma el tiempo en compartir ese conocimiento tan valioso sin nada a cambio.

    Sin embargo, me da tristeza que utilices -y seas parte de la gran cantidad de blogs que lo hacen- este tipo de posts 'alarmistas'. Si bien los sitios que usan wordpress están siendo atacados, en realidad no hay ningún problema con wordpress (como tú mismo mencionas), si a caso, esto va en la sección 'hosting' o 'seguridad en servidores' y no precisamente en 'inyección de código en wordpress 2.9.2'. Este problema afectaría a WordPress y a cualquier otra aplicación que esté instalada en un servidor inseguro o a cualquier tipo de archivo.

    Una lástima de verdad que caigas en esto.

    Como consejo a los principiantes, si tienen miedo de su instalación en WordPress, mejor hagan una investigación -en google por supuesto =D- de su proveedor de hosting o pregunten directamente a su proveedor sobre cómo gestionan la seguridad de su sitio.

    Saludos!

    1. Jesús, ya indico que el problema es de hosting y que no afecta exclusivamente a WordPress, y precisamente por la alarma suscitada he utilizado este "title" para atraer a los asustados y que sepan de lo que va esto y, los que estén infectados, encuentren solución … la de siempre: asegurar su CMS todo lo posible.

      No te lo tomes tan a pecho hombre.

  3. Rodolfo Pilas

    Yo no logro racionalizar el problema:

    * Si mi sitio corre con el usuario web en un servidor compartido: los permisos 644 no solucionan el problema, pues todos los usuarios web podrían escribir en todos lados si colocan un PHP dentro del servidor.

    * Si mi sitio corre con un usuario único para mi: los permisos 644 igual dejan que mi usuario pueda escribir en todo mi sitio, por lo que una inyección de código sería viable.

    Así que el 755 y el 644 no cambia mucho la cosa, siempre hay permisos de escritura para alguien. Es raro un reporte que defina permisos y no aclare a qué usuario o grupo esos permisos deben afectar.

    Por otro lado:

    "El problema proviene de servidores con problemas de seguridad, mayoritariamente VPS"

    es algo muy muy vago y que no dice nada…. es como decir que "la Gripe H1N1 afecta a gente con problemas de salud, mayoritariamente de bajos recursos económicos" o sea nada!

    A ver, si los servidores tiene problemas de seguridad… pues tienen problemas de seguridad… qué problemas? mala configuración? qué software está afectado? el kernel, el servidor, los programas de aplicación….

    Si son los VPS, pues bien, cual ? todos? OpenVZ, Virtuozzo, VMWare…otro?

    Creo que el tema merece un estudio más profundo, principalmente atendiendo a la gravedad de la alarma y a la profundidad con que siempre abordan los temas en ayudaworpress.com.

    1. hola rodolfo, y demas interesados en general.

      Por lo que pone de los permisos, basicamente se estara refiriendo a que el host debe ejecutar el php con el usuario que corresponda a tu web en lugar de uno general para todos, y entonces ahi si que sirve el 644 para ficheros y el 755 para directorios.

      Normalmente esto se hace con suPHP aunque tambien con FastCGI por ejemplo.

      Respecto a inyeccion de codigo, lo ideal para prevenirlo es mod_security (tambien a nivel de servidor) y firewall bien configurado. Se puede seguir más, pero esto es un buen comienzo 😉

      Aclaro que no soy ningun experto en seguridad pero algo se me queda de oir a nuestro experto en seguridad hablar sobre lo que aplica en nuestros servidores 🙂

      Saludos!

  4. Hola Fernando:

    Pues me tocó el tigre de la rifa, mi sitio ha sido afectado y ahora estoy revisando las tablas de la Base de Datos, espero encontrar el problema pronto para resolverlo.

    Tu artículo me ha sido de mucha ayuda, gracias

      1. Hola Gerardo, podrias especificar que es lo que encontraste en wp-config? Digo, para nosotros los que no sabemos de tecnicidades 🙁

        1. Como lo describe Fernando, lo mejor es que revises todo, en mi caso estaba junto a "define ('WPLANG', 'es_ES');" en el archivo wp-config.php

  5. Pingback: Zona Bloguismo XXI | Bloguismo

  6. Por lo pronto estoy tomando la medida de seguridad numero mas basica y mas eficiente. Hice backup hasta del favicon. Recomiendo lo mismo.

  7. Pingback: de la red – 16/04/2010 « Tecnologías y su contexto

  8. Esta alarma del título del artículo es medio amarillista, pareciera que dijera "Mujer mató a sus 2 hijos a puñaladas" = "Inyección de código en WordPress 2.9.2", debería decir "Inyección de código en servidores con problemas de seguridad", asi no tendremos alarmados a todo el mundo, creyendo que el problema es exclusivo de wordpress.

    Este es el tipico problema de siempre, en el que se meten en tu servidor no importa las medidas de seguridad que tomes en wordpress, si afecta cualquier web.

    A finales del año pasado tuve problemas con un portal inmobiliario (CMS propio), no habia sido una inyeccion de código, pero lo parecia. Al parecer habian hackeado el servidor entero y habrian logrado a acceder a todos los directorios donde estaban alojadas cientos de páginas. Aqui el problema no es el CMS ni las medidas de seguridad que uno tome.

    Las posibles soluciones que se plantean en el artículo:

    * Seguridad en la instalación de WordPress

    * 12 maneras de proteger la administración de WordPress

    * Evita ataques de fuerza bruta

    * Protege tu sesión de WordPress con SSL

    * Seguridad de Plugins WordPress: La Regla de Oro

    No sirven de nada ante este tipo de ataques. Así que creo conveniente destacar que la regla de oro para estos casos es BACKUP de tu web.

    Ya hace unos 10 meses enfrenté un problema similar en mi blog, habian inyectado un codigo en el Foro, el wordpress tenia un plugin que hacia puente con el mismo, y por ahi se desencadeno todo el problema. Después de probar una decena de consejos y posibles soluciones lo mas certero fué, reinstalar wordpress y recuperar el sitio con un respaldo.

    Plugin: WordPress Database Backup

    Puede hacer respaldos autómaticos desde cada hora, hasta semanalmente.

    Nunca sabes por donde viene el ataque, asi que toda precaucion para evitar ataques es poca. ¡Mejor respalda!

    1. Amigo, ya dije que es una estrategia (la del título) para atraer a gente que tenga el problema o haya leído de el y encuentre la información adecuada. No me seáis tan tiquismiquis hombre ; )

  9. Pingback: Inyección de código en WordPress 2.9.2

  10. Bueno fenrnando disculpa, pero cuando uno riega una informacion de este tipo apuntando a WORDPRESS como culpable, (a lo mejor tu caso no es) pero estoy seguro que el de mucha gente sí, que te llama un cliente y te dice:

    "Acabo de leer por ahi que estan hackeando paginas de wordpress como arroz, eso no es lo que usamos en nuestro blog?"

    ¿Cómo le explicas o se sacas a tu cliente la idea de que no es un problema único de wordpress?, cuando hay gente que escribe cosas como…

    "Problemas en WordPress… Hum… "

    "Alerta de seguridad en WordPress."

    "Fallo de seguridad en WordPress 2.9.2" – ¿fallo de seguridad? este no se leyó el artículo –

    "inyeccion de codigo en #wordpress 2.9.2" – tampoco lo leyó –

    "Una nueva vulnerabilidad de wordpress casi casi te hace elegir entre la vaselina y la valentina ¬¬ "

    "Inyección de código en WordPress 2.9.2"

    "Alerta con los CMS: Inyección de código en WordPress 2.9.2 "

    "Oh oh, code injection detected on WordPress 2.9.2 …"

    Estas alarmas mas que ayudar, dificultan las cosas. Acuérdate que muchas veces las mentiras repetidas se convierten en verdades. A ti no te afecta pero a mi ya me han llamado 2 veces por esto, esta semana. Después de todo lo que hay que hacer para convencerlos de usar wordpress y no otro cms, ahora hay una ola de miedo hacia el uso de wordpress en internet solo por querer llamar la atencion…

    Pienso que se podía haber escrito el titulo de otra forma.

  11. Una cuestión: he intentado cambiar el nombre del usuario "admin" desde la página de administración, pero no me lo permite. ¿Es normal? ¿Hay alguna manera de hacerlo? Igual estoy haciendo algo mal …

    Gracias de antemano

    1. Crea un nuevo usuario administrador, entras con ese usuario y eliminas el usuario admin. WordPress te preguntará si quieres asignar las entradas y enlaces a otro usuario, eliges el nuevo administrador 😉

      1. Gracias, Fernando. Después de escribir el comentario, a través de un buscador, encontré el artículo en el que trataste esto. De todos modos, gracias por tu tiempo. Saludos.

  12. Pingback: Zettapetta: Nuevo ataque a servidores compartidos | Ayuda WordPress

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido