Miles de sitios WordPress infectados con malware ¡PROTÉGETE!

En las últimas horas miles de sitios creados con WordPress han sido infectados con un malware denominado visitorTracker_isMob , también conocido ya como VisitorTracker, que utiliza las webs infectadas como servidores zombie para redirigir tráfico hacia una página con un exploit que intenta infectar navegadores de los visitantes, ahí es nada.

Aunque el malware no es nuevo, ha sido en los últimos dos días cuando se ha mostrado realmente activo, como informa el blog de Securi. Si te fijas en la siguiente gráfica verás que el aumento de sitios WordPress infectados ha sido tremendo.

Qué hace el malware

Lo que hace el malware es inyectar código como este:

function visitorTracker_isMob( ){
var ua = window.navigator.userAgent.toLowerCase();
if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|mi..|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc .. |vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(ua.substr(0,4))) {
return true;
return false;
} /* .. visitorTracker .. */ /*

Este código interactúa con una segunda puerta trasera en el sitio que fuerza al navegador a cargar un marco malicioso desde las páginas donde esté instalado un Nuclear Exploit Kit.

El efecto es, como puedes ver en la siguiente captura del servidor de la empresa de seguridad Coverity, que fue hackeado, es un iframe que se carga y hace que el navegador dirija a la página del kit exploit, en este caso en vovagandon.tk (cambia regularmente).

Cómo identificar el malware

Aunque el comportamiento puede variar, en muchos sitios han aparecido ficheros denominados sample.php prácticamente en todos los directorios de la instalación.

De todos modos lo más seguro es tener siempre activo un plugin de escaneo permanente de cambios, como Wordfence, o comprobar tu web en escáners online como este.

Cómo elimino el malware

Igual que con cualquier otra infección de malware tienes que realizar una limpieza total de tu sitio, que pasar por:

1. Actualiza WordPress a la última versión del sitio oficial. Sube todos los archivos y carpetas salvo /wp-content/.
2. Borra todos los plugins, también los de pago, e instala versiones nuevas y seguras.
3. Borra todos los archivos que no sean de la instalación de WordPress y no tengas identificada claramente su procedencia.
4. Revisa las carpetas y subcarpetas de uploads y borra cualquier archivo PHP que encuentres.
5. Borra todos los temas, activos y no, también los de pago, y carga una versión nueva y segura de los mismos, especialmente el activo.

Cómo me protejo contra futuras inyecciones de malware

Lo hemos visto ya muchas veces pero las reglas son estas:

1. Mantén WordPress actualizado siempre a la última versión.
2. Mantén los plugins y temas actualizados siempre a la última versión.
3. Utiliza contraseñas seguras. WordPress te las ofrece, acéptalas y no uses las de siempre.
4. Cambia regularmente las contraseñas de administrador de WordPress y FTP.
5. No uses los prefijos por defecto de la base de datos de WordPress.
6. Protege WordPress contra ataques de fuerza bruta.
7. Protege WordPress contra inyecciones SQL.
8. Sigue paso a paso la guía para evitar malware en WordPress.
9. Instala un buen plugin de seguridad y escaneo para WordPress.
10. Suscríbete a Ayuda WordPress y revisa todas las guías de seguridad que publico.

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)