Una y otra vez, hemos ayudado a los usuarios a reparar sus sitios de WordPress pirateados. La mayoría de las veces cuando se comunican con nosotros, ya han limpiado el sitio, y el hacker pudo volver a entrar. Esto sucede si no lo limpiaste bien, o si no sabías lo que estabas buscando. . En la mayoría de los casos que encontramos, hubo una puerta trasera creada por el pirata informático que les permitió eludir la autenticación normal. En este artículo, le mostraremos cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo.

¿Qué es un Backdoor?

Backdoor se refiere a un método para eludir la autenticación normal y obtener la capacidad de acceder de forma remota al servidor mientras permanece sin ser detectado. La mayoría de los hackers inteligentes siempre cargan la puerta trasera como lo primero. Esto les permite recuperar el acceso incluso después de encontrar y eliminar el complemento explotado. Las puertas traseras a menudo sobreviven a las actualizaciones, por lo que su sitio es vulnerable hasta que limpie este desastre.

Algunas puertas traseras simplemente permiten a los usuarios crear un nombre de usuario administrador oculto. Mientras que las puertas traseras más complejas pueden permitir al hacker ejecutar cualquier código PHP enviado desde el navegador. Otros tienen una interfaz de usuario completa que les permite enviar correos electrónicos como su servidor, ejecutar consultas SQL y todo lo demás que quieran hacer.

Captura de pantalla de Backdoor

¿Dónde está este código escondido?

Las puertas traseras en una instalación de WordPress se almacenan más comúnmente en las siguientes ubicaciones:

  1. Temas – Lo más probable es que no esté en el tema actual que está usando. Los hackers quieren que el código sobreviva a las actualizaciones principales. Entonces, si tiene el viejo tema de Kubrick en su directorio de temas u otro tema inactivo, entonces los códigos probablemente estarán ahí. Es por eso que recomendamos eliminar todos los temas inactivos.
  2. Complementos – Los complementos son un excelente lugar para que el hacker oculte el código por tres razones. Uno porque la gente realmente no los mira. Dos porque a las personas no les gusta actualizar sus complementos, por lo que sobreviven a las actualizaciones (la gente los mantiene actualizados). Tres, hay algunos complementos mal codificados que probablemente tienen sus propias vulnerabilidades para empezar.
  3. Directorio de Subidas – Como blogger, nunca revisas tu directorio de cargas. ¿Por que lo harias? Solo sube la imagen y úsala en tu publicación. Probablemente tengas miles de imágenes en la carpeta de subidas divididas por año y mes. Es muy fácil para el pirata informático cargar una puerta trasera en la carpeta de carga porque se ocultará entre miles de archivos multimedia. Además, no lo revisas con regularidad. La mayoría de la gente no tiene un plugin de monitoreo como Sucuri. Por último, el directorio de carga es de escritura, por lo que puede funcionar de la manera que se supone. Esto lo convierte en un gran objetivo. Muchas puertas traseras que encontramos están allí.
  4. wp-config.php – Este es también uno de los archivos altamente dirigidos por los piratas informáticos. También es uno de los primeros lugares a los que la mayoría de las personas deben mirar.
  5. Incluye carpeta – / wp-includes / folder es otro lugar donde encontramos puertas traseras. Algunos hackers siempre dejarán más de un archivo de puerta trasera. Una vez que carguen uno, agregarán otra copia de seguridad para garantizar su acceso. Incluye la carpeta es otra donde la mayoría de la gente no se molesta en mirar.

En todos los casos que encontramos, la puerta trasera estaba disfrazada para parecerse a un archivo de WordPress.

Por ejemplo: en un sitio limpiamos, la puerta trasera estaba en la carpeta wp-includes, y se llamaba wp-user.php (esto no existe en la instalación normal). Hay user.php, pero no wp-user.php en la carpeta / wp-includes /. En otra instancia, encontramos un archivo php llamado hello.php en la carpeta de carga. Estaba disfrazado como el complemento Hello Dolly. Pero ¿por qué diablos está en la carpeta de carga? D’oh.

También puede usar nombres como wp-content.old.tmp, data.php, php5.php, o algo por el estilo. No tiene que terminar con PHP solo porque tiene código PHP. También puede ser un archivo .zip. En la mayoría de los casos, estos archivos están codificados con código base64 que generalmente realiza todas las operaciones de clasificación (es decir, agrega enlaces de spam, agrega páginas adicionales, redirige el sitio principal a páginas fraudulentas, etc.).

Ahora probablemente estés pensando que WordPress es inseguro porque permite puertas traseras. Estás MUERTO INCORRECTO. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso del truco. Por lo general, es el segundo paso. A menudo, los piratas informáticos encuentran un exploit en un plugin o script de un tercero que les da acceso para subir la puerta trasera. Sugerencia: el truco TimThumb. Sin embargo, puede ser todo tipo de cosas. Por ejemplo, un complemento mal codificado puede permitir la escalada de privilegios del usuario. Si su sitio tiene registros abiertos, el pirata informático puede registrarse de forma gratuita. Explota una característica para obtener más privilegios (que luego les permite cargar los archivos). En otros casos, podría ser que sus credenciales se hayan visto comprometidas. También podría ser que estuvieras usando un mal proveedor de alojamiento.

Cómo encontrar y limpiar la puerta trasera?

Ahora que sabes lo que es una puerta trasera, y dónde se puede encontrar. Debes comenzar a buscarlo. Limpiarlo es tan fácil como borrar el archivo o el código. Sin embargo, la parte difícil es encontrarlo. Puede comenzar con uno de los siguientes complementos de WordPress de escáner de malware. De ellos, recomendamos Sucuri (sí, se paga).

También puede usar Exploit Scanner, pero recuerde que los códigos base64 y eval también se usan en complementos. Por lo tanto, a veces devolverá muchos falsos positivos. Si usted no es el desarrollador de los complementos, entonces es realmente difícil para usted saber qué código está fuera de su lugar en las miles de líneas de código. Lo mejor que puedes hacer es borre su directorio de complementos y reinstala tus complementos desde cero. Sí, esta es la única forma en que puedes estar seguro a menos que tengas mucho tiempo para gastar.

Buscar en el directorio de Subidas

Uno de los complementos del escáner encontrará un archivo deshonesto en la carpeta de carga. Pero si está familiarizado con SSH, solo necesita escribir el siguiente comando:

encontrar cargas -name "* .php" -print 

No hay una buena razón para que un archivo .php esté en su carpeta de carga. La carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si hay un archivo .php allí, debe irse.

Eliminar temas inactivos

Como mencionamos anteriormente, a menudo los temas inactivos están dirigidos. Lo mejor que puedes hacer es eliminarlos (sí, esto incluye el tema predeterminado y clásico). Pero espera, no verifiqué si la puerta trasera estaba allí. Si lo fue, entonces ya no está. Acabas de ahorrar tiempo para mirar y eliminaste un punto de ataque extra.

Archivo .htaccess

A veces los códigos de redirección se agregan allí. Simplemente elimine el archivo, y se volverá a crear. Si no lo hace, vaya a su panel de administración de WordPress. Configuraciones »Enlaces permanentes. Haga clic en el botón Guardar allí. Recreará el archivo .htaccess.

archivo wp-config.php

Compare este archivo con el archivo predeterminado wp-config-sample.php. Si ves algo que está fuera de lugar, deshazte de él.

Análisis de base de datos para exploits y SPAM

Un hacker inteligente nunca tendrá un solo lugar seguro. Crean muchos. Apuntar a una base de datos llena de datos es un truco muy fácil. Pueden almacenar sus malas funciones PHP, nuevas cuentas administrativas, enlaces SPAM, etc. en la base de datos. Sí, a veces no verás al usuario administrador en la página de tu usuario. Verás que hay 3 usuarios, y solo puedes ver 2. Las posibilidades son piratas.

Si no sabe lo que está haciendo con SQL, entonces probablemente quiera dejar que uno de estos escáneres haga el trabajo por usted. El complemento Exploit Scanner o Sucuri (versión paga) se encargan de eso.

¿Crees que lo has limpiado? ¡Piensa otra vez!

Bien, el truco ya no está. Uf. Espera, no te relajes todavía. Abra su navegador en modo de incógnito para ver si el hack regresa. A veces, estos hackers son inteligentes. No mostrarán el truco a los usuarios que hayan iniciado sesión. Solo los usuarios desconectados lo ven. O mejor aún, intente cambiar el agente de uso de su navegador como Google. A veces, los piratas informáticos solo quieren apuntar a los motores de búsqueda. Si todo se ve bien, entonces estás listo para ir.

Solo para tu información: si quieres estar 100% seguro de que no hay truco, entonces elimina tu sitio. Y restaurarlo hasta el punto en que sepa que el truco no estaba allí. Puede que esta no sea una opción para todos, por lo que debe vivir al límite.

Cómo prevenir hacks en el futuro?

Nuestro consejo número 1 sería mantener copias de seguridad sólidas (VaultPress o BackupBuddy) y comenzar a usar un servicio de monitoreo. Como dijimos anteriormente, no puedes controlar todo lo que sucede en tu sitio cuando estás haciendo otras cosas. Es por eso que utilizamos Sucuri. Puede sonar como que los estamos promoviendo. Pero nosotros NO somos Sí, recibimos una comisión de afiliación de todos los que se registran en Sucuri, pero esa no es la razón por la que la recomendamos. Solo recomendamos productos que usemos y que sean de calidad. Publicaciones importantes como CNN, USAToday, PC World, TechCrunch, TheNextWeb y otros también están recomendando a estos tipos. Es porque son buenos en lo que hacen.

Lea nuestro artículo sobre 5 razones por las que utilizamos Sucuri para mejorar nuestra seguridad de WordPress

Pocas cosas más que puedes hacer:

  1. Use contraseñas seguras: fuerce contraseñas seguras a sus usuarios. Comience a usar una utilidad de administración de contraseñas como 1Password.
  2. Autenticación de 2 pasos: si su contraseña se ha visto comprometida, el usuario aún necesitaría tener el código de verificación de su teléfono.
  3. Intentos de inicio de sesión de límite: este complemento le permite bloquear al usuario después de X números de intentos fallidos de inicio de sesión.
  4. Deshabilitar editores de temas y complementos: esto evita problemas de escalamiento del usuario. Incluso si se aumentaran los privilegios del usuario, no podrían modificar su tema o complementos mediante el WP-Admin.
  5. Password Protect WP-Admin: puede proteger con contraseña todo el directorio. También puedes limitar el acceso por IP.
  6. Deshabilitar la ejecución de PHP en ciertos directorios de WordPress: esto deshabilita la ejecución de PHP en los directorios de carga y otros directorios de su elección. Básicamente, incluso si alguien pudiera cargar el archivo en su carpeta de carga, no podría ejecutarlo.
  7. Mantente actualizado – Ejecuta la última versión de WordPress y actualiza tus complementos.

Por último, no seas barato cuando se trata de seguridad. Siempre decimos que la mejor medida de seguridad son las copias de seguridad excelentes. Por favor, por favor mantenga buenas copias de seguridad regulares de su sitio. La mayoría de las empresas de hosting NO hacen esto por ti. Comenzando con una solución confiable como BackupBuddy o VaultPress. De esta manera, si alguna vez te piratean, siempre tienes un punto de restauración. También si puedes, solo consigue Sucuri y sálvate todos los problemas. Controlarán su sitio y lo limpiarán si alguna vez lo piratean. Se obtiene como $ 3 por mes por sitio si obtiene el plan de 5 sitios.

Esperamos que este artículo te haya ayudado. Siéntase libre de dejar un comentario a continuación si tiene algo que agregar :)