Seguridad en WordPress
Elimina y previene el malware de MailPoet en WordPress
En IDA preferimos WordPress para desarrollar nuestros proyectos digitales y por esto estamos siempre atentos a cualquier nueva infección que pueda comprometer la seguridad de los sitios en esta plataforma. Esta vez nos enteramos de una vulnerabilidad en el plugin de MailPoet que permite la entrada de malware, spam y ejecuta cambios en el sitio.
En un par de días la cantidad de sitios infectados se masificó, todos atacados por el mismo malware que rompe las páginas, sobreescribe archivos y envia spam, entre otras acciones.
MailPoet fue detectado como el punto de entrada. Esto significa que si el plugin está en el servidor en una página vecina, igual corres riesgo, aun cuando no lo tengas activado en tu propio sitio.
¿Cómo detectarlo?
Todos los ataques comienzan con el agresor intentando instalar un tema personalizado al sitio:
194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"
Esto afecta a archivos de la instalación en el núcleo, plugins y temas. Si estas infectado, verás errores como este:
Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91
Además, crea un usuario de administración llamado 1001001 e inyecta el siguiente código a todos los archivos de temas y núcleo:
<?php $pblquldqei = ’5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j…
¿Cómo eliminarlo?
Tendrás que reinstalar WordPress y todos los plugins, temas y archivos de configuración. El mayor problema es que sobreescribe archivos buenos, lo que dificulta la recuperación si es que no tienes un buen backup.
¿Cómo prevenir?
Si estás usando MailPoet y no tienes un firewall, lo primero es actualizar el plugin a la última versión o simplemente desinstalarlo.
Activa SSL en el administrador e instala un plugin de seguridad. En IDA te recomendamos WordFence, el cual instala una protección parecida a un firewall y revisa la integridad de los archivos. Tiene la desventaja de que baja el rendimiento del sitio, pero si quieres estar súper protegido vale la pena.
Te sugerimos además evitar el uso de plugins gratuitos, ya que muchos de ellos vienen con código malicioso y abren vulnerabilidades.
Adicionalmente, restringe los permisos de escritura de archivos de WP con este comando en el terminal:
sudo chmod 555 -R /carpeta_wordpress
Encuentra más información en nuestro post sobre medidas de seguridad para proteger tu sitio.
¿Cómo detectarlo?
194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"Esto afecta a archivos de la instalación en el núcleo, plugins y temas. Si estas infectado, verás errores como este:
Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91Además, crea un usuario de administración llamado 1001001 e inyecta el siguiente código a todos los archivos de temas y núcleo:
<?php $pblquldqei = ’5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j…
¿Cómo eliminarlo?
¿Cómo prevenir?
sudo chmod 555 -R /carpeta_wordpress
Autor
Equipo IDA
Equipo IDA
Investigamos las tendencias en proyectos y estrategias digitales para complementarlas con nuestra experiencia en artículos informativos. Nuestro objetivo es aportar al desarrollo del área, discutiendo la efectividad de las tecnologías y técnicas aplicadas.
Artículos relacionados
14 años y 2.550 posts después.
Sabíamos optimizar WordPress como nadie. Por eso lo dejamos
Accesibilidad cognitiva
Estás perdiendo a uno de cada cinco usuarios porque el modo oscuro no es una estrategia de inclusión
Diseño de Experiencia