El pasado viernes 9 de diciembre parte de la seguridad del hosting fue vulnerable por varias horas, ya había pasado este tipo de intentos de ataque antes por supuesto, pero siempre sin éxito, me refiero a los intentos de hackear Hackeame, lamentablemente el viernes pasado, alguien usó un exploit en un theme perteneciente al theme HeadLines de la empresa WooThemes, el script en si que les dejo explotar el sitio fue el: TimThumb.

Lamentablemente tenía aquel theme, claro que sin uso ya que uso otro para este sitio, de igual forma se vio comprometido mi hosting entero, y por lo tanto todos mis otros sitios, como Hackeame.org, Hackeame.net, foro.hackeame.org así como otros.

Al parecer el exploit les permitía luego tener acceso total a hosting, por lo que si ellos hubieran querido hubieran defaced a todo el sitio y los subsitios que albergan en el. ¿Como se que tuvieron acceso a todo el hosting?, fue porque pudieron modificar varios archivos del sitio, ya que todos llevaban como detalle: modificación 5/12/2011 y 9/12/2011, y bueno la pagina principal: index.php también fue modificada y codificada, para que se re direccionara a un sitio ruso, mismo que no mencionare porque es peligroso en si.

Otra parte comprometida fue el archivo .htaccess que fue cambiado en cada dominio, el código que fue agregado fue:

El resultado de lo que agregaron en el archivo .htaccess fue que todas los visitantes que provenían de los buscadores, ejemplo Google, Yahoo, Bing, etc. todos automáticamente eran re direccionados al sitio ruso.

El día 5 de diciembre también hubo incidentes de este caso, pero basto con borrar el archivo y automáticamente WP recreaba uno nuevo, pero lo que paso el 9 de diciembre fue que cada vez que borrábamos el archivo el mismo archivo con el código malicioso volvía a crearse, y claro esto sucedió porque se modificaron archivos del core de WP.

¿WordPress es seguro? esto me dice que no, no lo es en lo absoluto, bien podemos culpar al theme, o incluso al archivo thumb.php, pero acaso no es más culpable aquel que le dio permiso a un theme que ni siquiera esta en uso, hablo de WP, permisos que bien explotados pueden dar acceso total a cualquier Script kiddie sobre un hosting entero. Por supuesto que este archivo ahora puede estar corregido para evitar estos problemas, pero en lo personal WP no menciono que hubiera actualizaciones para este theme, ¿como habría de saberlo?.

Conclusiones: WordPress no es seguro, me dirán que ningún CMS lo es, y estoy de acuerdo, pero les dejo unos consejos de seguridad que debieron haber evitado este catástrofe si yo los hubiera hecho:

• Si tus visitas bajan hay un buen porcentaje que se deba a que has sido hackeado y tus visitas se re direccionan a otro sitio. Por lo que revisa que tu archivo .htaccess este siempre limpio.
• Siempre haz una copia de tu base de datos al menos cada semana, si tienes flojera de hacerlo manualmente hay una gran cantidad de plugins que crearan una copia de tu base de datos automáticamente cada determinado tiempo.
• Siempre hacer una copia de tus archivos ftp de tu hosting, esto es opcional, ya que si estas en un hosting mínimamente decente ellos lo hacen por ti.
• Eliminar cualquier plugin o theme que no estés usando, ya que pueden ser una puerta abierta a los Script kiddie.
• Obviamente tener siempre actualizado tus plugin y tu WordPress, es tedioso muchas veces pero esencial hacerlo.
• Échale un vistazo siempre a tus archivos y a su fechas de modificación, puede que estés bajo ataque desde hace mucho solo que aún no se han apoderado de todo, y estás aún a tiempo para parar los ataques, así que también mira los archivos error_log de tus sitios para ver que errores de permiso o similares tienes.
• Fíjate si tienes un plugin o theme que use el archivo thumb.php o TimThumb.php en caso de ser tu respuesta positiva actualízalo ya mismo, bajándote la ultima versión de TimThumb y reemplazándola.

Si estás leyendo esto porque tu sitio fue hackeado, la solución es sencilla, borra todos tus archivos excepto la carpeta donde están tus archivos subidos como imágenes, etc. Luego proseguir a re subir una instalación limpia de wordpress, y claro luego cambias tu contraseña.

Otra forma es llamar al soporte de tu hosting y ellos harán todo esto por ti, sin que tengas que mover un dedo.

Hoy es una fecha muy especial, sin importar la excusa, la religión y/o el credo religioso, estamos contentos de pasar nuestra primera navidad junto con ustedes.

Agradecemos sus visitas, comentarios, sin ustedes el sitio no tendría sentido.

Deseamos que en estas fechas, puedan pasarla lo mejor posible, en compañía de quienes sean importantes para ustedes.

Aquí en Bolivia de donde soy, aún falta bastante, son las 19:24 PM, faltan 4 horas y 36 minutos.  Para dar comienzo a la “Noche Buena”, desde aquí no dejan de sonar petardos, cohetes, y todo tipo de festejos. Por mi parte es una fecha más dentro del calendario, motivo de regalos, marketing, y comercio.

Sin más me despido, y les deseo lo mejor en estas fechas, y nos vemos pronto, ya volví de mis vacaciones ^^.

Deja tus deseos en los comentarios...

Isaac Zarzuri

Hola a todos, antes que nada disculparme por no publicar en estos 4 días.

Ayer estaba empezando a escribir un artículo sobre:

Guerra de Navegadores, ya iba mas de 10.000 palabras, pero sucede que luego se me fue la luz, no pude salvar nada. Hoy volvere a hacer el tema, este mensaje es para decirles que estoy trabajando en ello.

Sera un artículo super interesante, esperenlo.

Disculpas por la demora.