Hace unos días se detectó una nueva amenaza para WordPress, se trata de un malware creado por el sitio ruso SoakSoak.ru el cual ya ha atacado a más de 100.000 páginas. La noticia se expandió luego de que Google pusiera en lista negra a 11.000 dominios afectados por este código malicioso.
El malware ataca mediante el plugin RevSlider, el cual tiene una vulnerabilidad que permite ingresar un código de carga sin que los propietarios se percaten de esta acción. Una vez en el sistema, modifica el fichero wp-includes/template-loader.php para forzar la instalación del módulo wp-includes/js/swobject.js en todas las páginas de la web, el cual ejecuta a su vez el código JavaScript que carga SoakSoak.
Esto afecta solo a quienes usan el CMS en sus propios hostings, por lo que los usuarios gratuitos de WordPress.com no corren riesgo.
Cómo detectarlo
Si tu sitio está infectado, es posible que se comporte de forma irregular, redireccionándote a páginas de SoakSoak.ru, las que a su vez descargan código malicioso en tu sistema.
La empresa Sucuri, quien ya analizó la potencialidad de este malware, ofrece una herramienta online para revisar sitios. Solo tienes que ingresar la URL en SiteCheck scanner y este te indicará si tu web está infectada, se encuentra en una lista negra (Blacklists), presenta errores o está desactualizada. Si estás usando un firewall como CloudProxy, ya estás protegido de SoakSoak.
Qué hacer si tu sitio está infectado
Si revisas tu sitio y te encuentras con que ya fue atacado, sigue estos pasos:
Respalda
Baja todo el sitio a un computador para contar con una copia de seguridad.
Elimina
Borra las carpetas wp-admin y wp-includes, además de todos los archivos de la raíz de WordPress, con excepción de wp-config.php y htaccess.
Revisa
En la carpeta wp-content, revisa uno a uno los archivos guardados en Theme. Borra todos los plugins y vuelve a descargarlos e instalarlos. Si tienes plugin propios puedes revisar los originales con los instalados en tu sitio para identificar problemas.
Reinstala
Descarga un nuevo WordPress y vuelve a instalarlo. No lo sobre escribas, las distintas versiones incluyen nuevos archivos y algunas variaciones en los nombres, por lo que no quedará bien instalado.
Te recomendamos trabajar con un sistema de control de versiones como Git o SVN (subversion) para facilitar tu trabajo al comparar y buscar errores. Si realizas es tos pasos ordenadamente, tu sitio estará fuera de funcionamiento solo por unos 20 a 60 minutos.
Revisa además nuestra nota sobre medidas preventivas para proteger tus sitios de otras amenazas, y mantente al tanto sobre nuevos ataques, ya que por lo general cada malware requiere de acciones específicas.