Desde hace unos días al entrar en una instalación de wordpress los clientes me indican que encuentran ventanas emergentes y redirecciones a un dominio llamado deloplen.com o pushlat.com.

Evidentemente se trata de un hackeo en nuestro wordpress. Tras revisar carpetas y leer foros he detectado que en la carpeta /wp-includes de wordpress existen archivos llamados wp-temp.php y wp-feed.php y wp-vcd.php , estos archivos no son de la instalación de wordpress original y hay que eliminarlos.

Además en la carpeta wp-themes/<tema_de_wordpress_utilizado> existe el archivo functions.php que si lo abrimos veremos que tenemos código que no es de la instalación original (el código original se inicia en el archivo functions a partir del comentario etiquetado como $start_wp_theme_tmp) como el siguiente:

<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'd53c64ff8f8588a8291acfe705847485'))
	{
$div_code_name="wp_vcd";
		switch ($_REQUEST['action'])
			{

	

Es bastante largo el código y llega desde el inicio del archivo hasta la etiqueta que hemos citado antes start_wp_theme_tmp. Tenemos que eliminarlo, ya que este código es el que hace lo que quiere con nuestra instalación.

Lo mejor para detectar posibles hackeos es tener instalado un plugin como wordfence que nos indica que archivos no deberían estar ya que no existen en la instalación original de wordpress , que archivos han sido modificados y que código es malicioso, lo recomiendo tener instalado.

Tras hacer estas operaciones deberíamos asegurarnos que los permisos son los adecuados y corregir las posibles vulnerabilidades que nuestra instalación pudiese tener y a través de las cuales se ha podido introducir este código en nuestro wordpress, como siempre, se recomienda tener la última versión de los plugins, actualizada la versión de wordpress y la versión de la plantilla o theme utilizada en nuestra instalación. También se recomienda borrar los plugins que no se están utilizando y los themes utilizados, ya que el tema de la modificación de los archivos se hace a nivel de todos los temas utilizados en nuestra instalación. De hecho si pasamos un antivirus nos detectará que el archivo functions.php está modificado tanto en el que estamos utilizando como en los que no estamos utilizando pero siguen instalados en nuestro sistema.

por files

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.