Seguridad en WordPress

Elimina y previene el malware de MailPoet en WordPress

Desarrollo Web 0 min. de lectura

Un malware está atacando masivamente sitios en WordPress a través del plugin de MailPoet. Te enseñamos cómo detectarlo, qué acciones seguir para eliminarlo y las medidas de prevención que debes tomar.

Seguridad en WordPress

En IDA preferimos WordPress para desarrollar nuestros proyectos digitales y por esto estamos siempre atentos a cualquier nueva infección que pueda comprometer la seguridad de los sitios en esta plataforma. Esta vez nos enteramos de una vulnerabilidad en el plugin de MailPoet que permite la entrada de malware, spam y ejecuta cambios en el sitio.

En un par de días la cantidad de sitios infectados se masificó, todos atacados por el mismo malware que rompe las páginas, sobreescribe archivos y envia spam, entre otras acciones.

MailPoet fue detectado como el punto de entrada. Esto significa que si el plugin está en el servidor en una página vecina, igual corres riesgo, aun cuando no lo tengas activado en tu propio sitio.

¿Cómo detectarlo?

Todos los ataques comienzan con el agresor intentando instalar un tema personalizado al sitio:

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

Esto afecta a archivos de la instalación en el núcleo, plugins y temas. Si estas infectado, verás errores como este:

Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91

Además, crea un usuario de administración llamado 1001001 e inyecta el siguiente código a todos los archivos de temas y núcleo:

<?php $pblquldqei = ’5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j…

¿Cómo eliminarlo?

Tendrás que reinstalar WordPress y todos los plugins, temas y archivos de configuración. El mayor problema es que sobreescribe archivos buenos, lo que dificulta la recuperación si es que no tienes un buen backup.

¿Cómo prevenir?

Si estás usando MailPoet y no tienes un firewall, lo primero es actualizar el plugin a la última versión o simplemente desinstalarlo.

Activa SSL en el administrador e instala un plugin de seguridad. En IDA te recomendamos WordFence, el cual instala una protección parecida a un firewall y revisa la integridad de los archivos. Tiene la desventaja de que baja el rendimiento del sitio, pero si quieres estar súper protegido vale la pena.

Te sugerimos además evitar el uso de plugins gratuitos, ya que muchos de ellos vienen con código malicioso y abren vulnerabilidades.

Adicionalmente, restringe los permisos de escritura de archivos de WP con este comando en el terminal:

sudo chmod 555 -R /carpeta_wordpress

 

Encuentra más información en nuestro post sobre medidas de seguridad para proteger tu sitio.

Acerca del Autor

Investigamos las tendencias en proyectos y estrategias digitales para complementarlas con nuestra experiencia en artículos informativos. Nuestro objetivo es aportar al desarrollo del área, discutiendo la efectividad de las tecnologías y técnicas aplicadas.

Agregar un comentario