Cómo verificar, eliminar y prevenir el malware de su sitio de WordPress

el malware

Esta semana estuvo bastante ocupada. Una de las organizaciones sin fines de lucro que conozco se encontró en una situación bastante difícil: su sitio de WordPress estaba infectado con malware. El sitio fue pirateado y se ejecutaron scripts en los visitantes que hicieron dos cosas diferentes:

  1. Intenté infectar Microsoft Windows con el malware.
  2. Redirigió a todos los usuarios a un sitio que utilizaba JavaScript para aprovechar la PC del visitante para criptomoneda de la mina.

Descubrí que el sitio fue pirateado cuando lo visité después de hacer clic en su último boletín y les notifiqué de inmediato lo que estaba pasando. Desafortunadamente, fue un ataque bastante agresivo que pude eliminar, pero reinfecté inmediatamente el sitio al comenzar a funcionar. Esta es una práctica bastante común de los piratas informáticos de malware: no solo piratean el sitio, sino que también agregan un usuario administrativo al sitio o alteran un archivo central de WordPress que reinyecta el pirateo si se elimina.

El malware es un problema constante en la web. El malware se utiliza para inflar las tasas de clics en los anuncios (fraude publicitario), inflar las estadísticas del sitio para cobrar de más a los anunciantes, para intentar obtener acceso a los datos financieros y personales de los visitantes y, más recientemente, para extraer criptomonedas. A los mineros se les paga bien por los datos de minería, pero el costo de construir máquinas de minería y pagar las facturas de electricidad por ellas es significativo. Aprovechando secretamente las computadoras, los mineros pueden ganar dinero sin el gasto.

WordPress y otras plataformas comunes son objetivos importantes para los piratas informáticos, ya que son la base de muchos sitios en la web. Además, WordPress tiene una arquitectura de temas y complementos que no protege los archivos principales del sitio de los agujeros de seguridad. Además, la comunidad de WordPress es sobresaliente en la identificación y reparación de los agujeros de seguridad, pero los propietarios de sitios no están tan atentos a mantener su sitio actualizado con las últimas versiones.

Este sitio en particular estaba alojado en el alojamiento web tradicional de GoDaddy (no Alojamiento de Managed WordPress), que ofrece protección cero. Por supuesto, ofrecen un Escáner y eliminación de malware servicio, aunque. Empresas de alojamiento de WordPress administradas como Volante, WP Engine, LiquidWeb, GoDaddy y Panteón todos ofrecen actualizaciones automáticas para mantener sus sitios actualizados cuando los problemas identificados y parcheados. La mayoría tiene escaneo de malware y temas y complementos en la lista negra para ayudar a los propietarios de sitios a prevenir un ataque. Algunas empresas van un paso más allá: Kinsta, un host de WordPress administrado de alto rendimiento, incluso ofrece un garantía de seguridad.

¿Está su sitio en la lista negra de malware?

Hay muchos sitios en línea que promueven la "comprobación" de su sitio en busca de malware, pero tenga en cuenta que la mayoría de ellos no están comprobando su sitio en tiempo real. El escaneo de malware en tiempo real requiere una herramienta de rastreo de terceros que no puede proporcionar resultados instantáneamente. Los sitios que brindan una verificación instantánea son sitios que previamente encontraron que su sitio tenía malware. Algunos de los sitios de control de malware en la web son:

  • Informe de transparencia de Google - si su sitio está registrado con Webmasters, le avisarán inmediatamente cuando rastreen su sitio y encuentren malware en él.
  • Norton Safe Web - Norton también opera complementos del navegador web y software del sistema operativo que impedirá que los usuarios abran su página por la noche si la han incluido en la lista negra. Los propietarios de sitios web pueden registrarse en el sitio y solicitar que su sitio sea reevaluado una vez que esté limpio.
  • Sucuri - Sucuri mantiene una lista de sitios de malware junto con un informe sobre dónde han sido incluidos en la lista negra. Si su sitio está limpio, verá un Forzar una nueva exploración enlace debajo de la lista (en letra muy pequeña). Sucuri tiene un complemento excepcional que detecta problemas ... y luego lo empuja a un contrato anual para eliminarlos.
  • Yandex - si busca su dominio en Yandex y ve "Según Yandex, este sitio podría ser peligroso ”, puede registrarse en Yandex webmasters, agregar su sitio, navegar a Seguridad y violacionesy solicite que se borre su sitio.
  • Phishtank - Algunos piratas informáticos colocarán scripts de phishing en su sitio, lo que puede hacer que su dominio aparezca como un dominio de phishing. Si ingresa la URL exacta y completa de la página de malware denunciada en Phishtank, puede registrarse en Phishtank y votar si es realmente un sitio de phishing o no.

A menos que su sitio esté registrado y tenga una cuenta de monitoreo en algún lugar, probablemente obtendrá un informe de un usuario de uno de estos servicios. No ignore la alerta ... aunque es posible que no vea un problema, los falsos positivos rara vez ocurren. Estos problemas pueden hacer que su sitio sea desindexado de los motores de búsqueda y bloqueado de los navegadores. Peor aún, sus clientes potenciales y los clientes existentes pueden preguntarse con qué tipo de organización están trabajando.

¿Cómo se comprueba si hay malware?

Varias de las empresas mencionadas anteriormente hablan de lo difícil que es encontrar malware, pero no es tan difícil. ¡Lo difícil es averiguar cómo llegó a su sitio! El código malicioso se encuentra con mayor frecuencia en:

  • Mantenimiento - Antes que nada, apunte a un página de mantenimiento y haga una copia de seguridad de su sitio. No utilice el mantenimiento predeterminado de WordPress o un complemento de mantenimiento, ya que aún ejecutarán WordPress en el servidor. Desea asegurarse de que nadie esté ejecutando ningún archivo PHP en el sitio. Mientras lo hace, revise su .htaccess en el servidor web para asegurarse de que no tenga un código falso que pueda redirigir el tráfico.
  • Buscar los archivos de su sitio a través de SFTP o FTP e identifique los últimos cambios de archivo en complementos, temas o archivos centrales de WordPress. Abra esos archivos y busque cualquier edición que agregue scripts o comandos Base64 (utilizados para ocultar la ejecución del script del servidor).
  • Comparar los archivos principales de WordPress en su directorio raíz, directorio wp-admin y directorios wp-include para ver si existen archivos nuevos o archivos de diferente tamaño. Solucione todos y cada uno de los archivos. Incluso si encuentra y elimina un pirateo, siga buscando, ya que muchos piratas informáticos dejan puertas traseras para volver a infectar el sitio. No se limite a sobrescribir o reinstalar WordPress ... los piratas informáticos a menudo agregan scripts maliciosos en el directorio raíz y llaman al script de alguna otra forma para inyectar el truco. Los scripts de malware menos complejos normalmente solo insertan archivos de script en header.php or footer.php. Los scripts más complejos realmente modificarán cada archivo PHP en el servidor con código de reinyección para que tenga dificultades para eliminarlo.
  • Eliminar scripts publicitarios de terceros que pueden ser la fuente. Me negué a aplicar nuevas redes publicitarias cuando leí que habían sido pirateadas en línea.
  • Consulta  su tabla de base de datos de publicaciones para scripts incrustados en el contenido de la página. Puede hacer esto haciendo búsquedas simples usando PHPMyAdmin y buscando las URL de solicitud o etiquetas de script.

Antes de poner su sitio en vivo ... ahora es el momento de fortalecer su sitio para evitar una reinyección inmediata u otro truco:

¿Cómo puede evitar que su sitio sea pirateado y se instale software malicioso?

  • Verificar todos los usuarios del sitio web. Los piratas informáticos a menudo inyectan scripts que agregan un usuario administrativo. Elimine las cuentas antiguas o no utilizadas y reasigne su contenido a un usuario existente. Si tiene un usuario llamado Valeria García, agregue un nuevo administrador con un inicio de sesión único y elimine la cuenta de administrador por completo.
  • Reiniciar la contraseña de cada usuario. Muchos sitios son pirateados porque un usuario usó una contraseña simple que fue adivinada en un ataque, lo que le permite a alguien ingresar a WordPress y hacer lo que quiera.
  • Deshabilitar la capacidad de editar complementos y temas a través del administrador de WordPress. La capacidad de editar estos archivos permite a cualquier pirata informático hacer lo mismo si obtiene acceso. Haga que los archivos centrales de WordPress no se puedan escribir para que los scripts no puedan reescribir el código central. Todo en uno tiene un gran complemento que proporciona WordPress endurecimiento con un montón de funciones.
  • A mano descargue y reinstale las últimas versiones de cada complemento que necesite y elimine cualquier otro complemento. Elimine por completo los complementos administrativos que dan acceso directo a los archivos del sitio o la base de datos, estos son especialmente peligrosos.
  • Eliminar y reemplace todos los archivos en su directorio raíz con la excepción de la carpeta wp-content (por lo tanto, root, wp-includes, wp-admin) con una nueva instalación de WordPress descargada directamente de su sitio.
  • Mantener ¡Tú sitio! El sitio en el que trabajé este fin de semana tenía una versión antigua de WordPress con agujeros de seguridad conocidos, usuarios antiguos que ya no deberían tener acceso, temas antiguos y complementos antiguos. Podría haber sido cualquiera de estos lo que abrió la empresa para ser pirateado. Si no puede permitirse el mantenimiento de su sitio, asegúrese de trasladarlo a una empresa de alojamiento administrado que lo haga. Gastar un poco más de dinero en hosting podría haber salvado a esta empresa de esta vergüenza.

Una vez que crea que tiene todo arreglado y reforzado, puede volver a activar el sitio eliminando el .htaccess redirigir. Tan pronto como esté vivo, busque la misma infección que estaba allí anteriormente. Por lo general, utilizo las herramientas de inspección de un navegador para monitorear las solicitudes de red por página. Rastreo cada solicitud de red para asegurarme de que no sea malware o misterioso ... si lo es, vuelve a la parte superior y repite los pasos desde el principio.

También puede utilizar un tercero asequible servicio de escaneo de malware como Escáneres de sitios, que escaneará su sitio a diario y le permitirá saber si está o no en la lista negra de los servicios activos de monitoreo de malware. Recuerde: una vez que su sitio esté limpio, no se eliminará automáticamente de las listas negras. Debe comunicarse con cada uno y hacer la solicitud según nuestra lista anterior.

Ser pirateado de esta manera no es divertido. Las empresas cobran varios cientos de dólares para eliminar estas amenazas. Trabajé no menos de 8 horas para ayudar a esta empresa a limpiar su sitio.

¿Qué piensas?

Este sitio usa Akismet para reducir el correo no deseado. Descubra cómo se procesan los datos de sus comentarios.