Anoche recibimos un correo electrónico de un amigo diciendo que encontró algunos usuarios nuevos con privilegios de administrador en algunos de sus sitios web de WordPress y nos pidió que lo revisáramos.
Comenzamos a investigar y parece que los sitios web tenían algo en común: el WP GDPR Compliance .
Parece que hay una vulnerabilidad en el complemento y ha habido una serie de ataques a sitios que utilizan este complemento.
Hay diferentes etapas de infección:
- Se están creando usuarios administradores.
- los archivos han sido modificados
- redirección al sitio web ruso
Le recomendamos comprobar si recientemente han aparecido en su sitio t3trollherten ”, “ t2trollherten ” o “ trollherten
Después de crear los usuarios, los atacantes modificaron los archivos de otros scripts PHP (complementos). Por ejemplo, encontramos archivos PHP modificados en la carpeta del complemento Akismet.
En algunos sitios web, encontramos esta URL de Pastebin en wp_options en siteurl.
https://pastebin.com/raw/V8SVyu2P?En este punto, el sitio web comienza a fallar, aparecen errores de conexión a la base de datos o su sitio web es redirigido a otro sitio, a veces ruso.
Cómo recuperarse del hack
Si no hay usuarios, debería estar bien, su sitio web probablemente no fue atacado.
Para evitar que eso suceda, actualice el complemento WP GDPR Compliance a la última versión, los desarrolladores han solucionado el problema.
Lo ideal es mantener actualizados todos los complementos y temas de WordPress para evitar posibles problemas de seguridad como este.
Si encuentra a estos usuarios, existe la posibilidad de que no hayan infectado el sitio, pero no puede estar seguro, por lo que probablemente sea mejor restaurar desde una copia de seguridad y luego actualizar el complemento WP GDPR Compliance.
Además, si tiene un complemento de seguridad como Defender Pro, escanee su instancia de WordPress para ver si está limpia.
Si no puedes restaurar o no tienes una copia de seguridad, tendrás que limpiar el sitio web manualmente:
- eliminar los usuarios maliciosos de la base de datos
- elimine todos los archivos PHP y JS (conserve solo wp-content/uploads)
- reinstale WordPress y los temas y complementos que utiliza
Si desea evitar estas situaciones, considere cambiar del alojamiento compartido a un alojamiento experto en WordPress. Ninguno de nuestros de alojamiento administrado de WordPress se vio afectado, todos los sitios web afectados estaban en alojamiento compartido.
No quiere decir que sea por el hosting, pero en el hosting administrado obtienes monitoreo proactivo, actualizaciones administradas y puedes evitar este tipo de situaciones.
Cuando identificamos lo que estaba pasando, actualizamos inmediatamente el complemento en los sitios web de nuestros clientes que tenían la versión vulnerable y realizamos un análisis automatizado.
También tenemos clientes que alojan con nosotros pero no administramos sus sitios web, no tenemos acceso a sus instancias de WordPress.
Entonces buscamos en el servidor la carpeta wp-gdpr-compliance para identificar los clientes que usaron el complemento. Les enviamos un correo electrónico notificándoles la vulnerabilidad de seguridad con instrucciones sobre cómo comprobar si sus sitios web habían sido pirateados.
Si tú también necesitas ayuda, no dudes en ponerte en contacto con nosotros.
Deja un comentario