Cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo

Una y otra vez, hemos ayudado a los usuarios a arreglar sus sitios de WordPress pirateados. La mayoría de las veces, cuando se comunican con nosotros, ya han limpiado el sitio y el pirata informático pudo volver a ingresar. Esto sucede si no lo limpió correctamente o si no sabía lo que estaba buscando. . En la mayoría de los casos que encontramos, había una puerta trasera creada por el pirata informático que les permitía eludir la autenticación normal. En este artículo, le mostraremos cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo.

¿Qué es una puerta trasera?

La puerta trasera se refiere a un método para eludir la autenticación normal y obtener la capacidad de acceder de forma remota al servidor sin ser detectado. La mayoría de los piratas informáticos inteligentes siempre cargan la puerta trasera como lo primero. Esto les permite recuperar el acceso incluso después de encontrar y eliminar el complemento explotado. Las puertas traseras a menudo sobreviven a las actualizaciones, por lo que su sitio es vulnerable hasta que limpie este desastre.

Algunas puertas traseras simplemente permiten a los usuarios crear un nombre de usuario de administrador oculto. Mientras que las puertas traseras más complejas pueden permitir al hacker ejecutar cualquier código PHP enviado desde el navegador. Otros tienen una interfaz de usuario completa que les permite enviar correos electrónicos como su servidor, ejecutar consultas SQL y todo lo demás que quieran hacer.

Captura de pantalla de la puerta trasera

¿Dónde está escondido este código?

Las puertas traseras en una instalación de WordPress se almacenan comúnmente en las siguientes ubicaciones:

  1. Temas – Lo más probable es que no esté en el tema actual que está utilizando. Los piratas informáticos quieren que el código sobreviva a las actualizaciones principales. Entonces, si tiene el antiguo tema de Kubrick en su directorio de temas, u otro tema inactivo, entonces los códigos probablemente estarán allí. Por eso recomendamos eliminar todos los temas inactivos.
  2. Complementos – Los complementos son un gran lugar para que el hacker oculte el código por tres razones. Uno porque la gente realmente no los mira. Dos porque a las personas no les gusta actualizar sus complementos, por lo que sobreviven a las actualizaciones (la gente los mantiene actualizados). Tres, hay algunos complementos mal codificados que probablemente tengan sus propias vulnerabilidades para empezar.
  3. Directorio de subidas – Como bloguero, nunca verificas tu directorio de subidas. ¿Por que lo harias? Simplemente sube la imagen y úsala en tu publicación. Probablemente tenga miles de imágenes en la carpeta de cargas divididas por año y mes. Es muy fácil para el pirata informático cargar una puerta trasera en la carpeta de cargas porque se ocultará entre miles de archivos multimedia. Además, no lo revisa con regularidad. La mayoría de la gente no tiene un complemento de monitoreo como Sucuri. Por último, se puede escribir en el directorio de cargas, por lo que puede funcionar como se supone que debe hacerlo. Esto lo convierte en un gran objetivo. Hay muchas puertas traseras que encontramos allí.
  4. wp-config.php – Este es también uno de los archivos más atacados por los piratas informáticos. También es uno de los primeros lugares en los que se le dice a la mayoría de la gente que busque.
  5. Incluye carpeta – / wp-includes / folder es otro lugar donde encontramos puertas traseras. Algunos piratas informáticos siempre dejarán más de un archivo de puerta trasera. Una vez que carguen uno, agregarán otra copia de seguridad para garantizar su acceso. Incluye carpeta es otro en el que la mayoría de la gente no se molesta en mirar.

En todos los casos que encontramos, la puerta trasera estaba disfrazada para parecerse a un archivo de WordPress.

Por ejemplo: en un sitio que limpiamos, la puerta trasera estaba en la carpeta wp-includes y se llamaba wp-user.php (esto no existe en la instalación normal). Hay user.php, pero no wp-user.php en la carpeta / wp-includes /. En otro caso, encontramos un archivo php llamado hello.php en la carpeta de cargas. Estaba disfrazado como el complemento Hello Dolly. Pero, ¿por qué diablos está en la carpeta de subidas? D’oh.

También puede usar nombres como wp-content.old.tmp, data.php, php5.php o algo por el estilo. No tiene que terminar con PHP solo porque contiene código PHP. También puede ser un archivo .zip. En la mayoría de los casos, estos archivos están codificados con código base64 que generalmente realiza todas las operaciones de clasificación (es decir, agregar enlaces de spam, agregar páginas adicionales, redirigir el sitio principal a páginas de spam, etc.).

Ahora probablemente esté pensando que WordPress es inseguro porque permite puertas traseras. Estás MUERTO INCORRECTO. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso del truco. Suele ser el segundo paso. A menudo, los piratas informáticos encuentran un exploit en un complemento o script de terceros que luego les da acceso para cargar la puerta trasera. Pista: el truco TimThumb. Sin embargo, puede ser todo tipo de cosas. Por ejemplo, un complemento mal codificado puede permitir la escalada de privilegios de usuario. Si su sitio tenía registros abiertos, el pirata informático puede registrarse de forma gratuita. Aproveche la única función para obtener más privilegios (que luego les permite cargar los archivos). En otros casos, es muy posible que sus credenciales se hayan visto comprometidas. También puede ser que esté utilizando un proveedor de alojamiento inadecuado. Consulte nuestra lista recomendada de alojamiento web.

¿Cómo encontrar y limpiar la puerta trasera?

Ahora que sabe qué es una puerta trasera y dónde se puede encontrar. Tienes que empezar a buscarlo. Limpiarlo es tan fácil como borrar el archivo o código. Sin embargo, lo difícil es encontrarlo. Puede comenzar con uno de los siguientes complementos de WordPress para escáneres de malware. De esos, recomendamos Sucuri (sí, se paga).

También puede usar Exploit Scanner, pero recuerde que los códigos base64 y eval también se usan en complementos. Entonces, a veces devolverá muchos falsos positivos. Si usted no es el desarrollador de los complementos, le resultará muy difícil saber qué código está fuera de lugar en las miles de líneas de código. Lo mejor que puedes hacer es eliminar su directorio de complementosy reinstale sus complementos desde cero. Sí, esta es la única forma en que puede estar seguro a menos que tenga mucho tiempo para gastar.

Buscar en el directorio de subidas

Uno de los complementos del escáner encontrará un archivo fraudulento en la carpeta de cargas. Pero si está familiarizado con SSH, solo necesita escribir el siguiente comando:

find uploads -name "*.php" -print

No hay una buena razón para que un archivo .php esté en su carpeta de cargas. La carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si hay un archivo .php ahí, debe irse.

Eliminar temas inactivos

Como mencionamos anteriormente, a menudo se apunta a los temas inactivos. Lo mejor que puede hacer es eliminarlos (sí, esto incluye el tema clásico y predeterminado). Pero espera, no verifiqué si la puerta trasera estaba allí. Si lo fue, ahora se ha ido. Acabas de ahorrar tu tiempo de mirar y eliminaste un punto extra de ataque.

Archivo .htaccess

A veces, los códigos de redireccionamiento se agregan allí. Simplemente elimine el archivo y se volverá a crear. Si no es así, vaya a su panel de administración de WordPress. Configuración »Enlaces permanentes. Haga clic en el botón Guardar allí. Volverá a crear el archivo .htaccess.

archivo wp-config.php

Compare este archivo con el archivo wp-config-sample.php predeterminado. Si ve algo que está fuera de lugar, deshágase de él.

Análisis de la base de datos en busca de vulnerabilidades y spam

Un hacker inteligente nunca tendrá un solo lugar seguro. Crean numerosos. Apuntar a una base de datos llena de datos es un truco muy fácil. Pueden almacenar sus funciones PHP incorrectas, nuevas cuentas administrativas, enlaces de SPAM, etc. en la base de datos. Sí, a veces no verá al usuario administrador en la página de su usuario. Verá que hay 3 usuarios y solo puede ver 2. Es probable que haya sido pirateado.

Si no sabe lo que está haciendo con SQL, probablemente quiera dejar que uno de estos escáneres haga el trabajo por usted. El complemento Exploit Scanner o Sucuri (versión paga) se encargan de eso.

¿Crees que lo has limpiado? ¡Piensa otra vez!

Muy bien, el truco se ha ido. Uf. Espera, no te relajes todavía. Abra su navegador en modo incógnito para ver si el truco regresa. A veces, estos piratas informáticos son inteligentes. No mostrarán el truco a los usuarios que hayan iniciado sesión. Solo los usuarios desconectados lo ven. O mejor aún, intente cambiar el agente de usuario de su navegador como Google. A veces, los piratas informáticos solo quieren apuntar a los motores de búsqueda. Si todo se ve bien, entonces está listo para comenzar.

Solo para su información: si desea estar 100% seguro de que no hay piratería, elimine su sitio. Y restáurelo hasta el punto en el que sepa que el truco no estaba allí. Es posible que esta no sea una opción para todos, por lo que debe vivir al límite.

¿Cómo prevenir los hacks en el futuro?

Nuestro consejo número uno sería mantener copias de seguridad sólidas (VaultPress o BackupBuddy) y comenzar a usar un servicio de monitoreo. Como dijimos anteriormente, no es posible monitorear todo lo que sucede en su sitio cuando está haciendo muchas otras cosas. Por eso usamos Sucuri. Puede parecer que los estamos promocionando. Pero NO lo somos. Sí, obtenemos una comisión de afiliado de todos los que se inscriben en Sucuri, pero esa no es la razón por la que lo recomendamos. Solo recomendamos productos que usamos y que sean de calidad. Las principales publicaciones como CNN, USAToday, PC World, TechCrunch, TheNextWeb y otras también recomiendan a estos chicos. Es porque son buenos en lo que hacen.

Lea nuestro artículo sobre 5 razones por las que usamos Sucuri para mejorar la seguridad de WordPress

Algunas otras cosas que puedes hacer:

  1. Use contraseñas seguras: fuerce contraseñas seguras a sus usuarios. Empiece a utilizar una utilidad de gestión de contraseñas como 1Password.
  2. Autenticación de 2 pasos: si su contraseña se vio comprometida, el usuario aún necesitaría tener el código de verificación de su teléfono.
  3. Limitar intentos de inicio de sesión: este complemento le permite bloquear al usuario después de X números de intentos fallidos de inicio de sesión.
  4. Deshabilitar editores de temas y complementos: esto evita problemas de escalada de usuarios. Incluso si se aumentaran los privilegios del usuario, no podrían modificar su tema o complementos utilizando WP-Admin.
  5. Proteger con contraseña WP-Admin: puede proteger con contraseña todo el directorio. También puede limitar el acceso por IP.
  6. Deshabilitar la ejecución de PHP en ciertos directorios de WordPress: esto deshabilita la ejecución de PHP en los directorios de carga y otros directorios de su elección. Básicamente, incluso si alguien pudiera cargar el archivo en su carpeta de cargas, no podría ejecutarlo.
  7. Manténgase actualizado – Ejecute la última versión de WordPress y actualice sus complementos.

Por último, no sea tacaño cuando se trata de seguridad. Siempre decimos que la mejor medida de seguridad son las excelentes copias de seguridad. Por favor, mantenga buenas copias de seguridad periódicas de su sitio. La mayoría de las empresas de hosting NO hacen esto por usted. Comenzando a usar una solución confiable como BackupBuddy o VaultPress. De esta manera, si alguna vez te piratean, siempre tendrás un punto de restauración. Además, si puedes, consigue Sucuri y ahórrate todos los problemas. Ellos monitorearán su sitio y lo limpiarán si alguna vez lo piratean. Resulta como $ 3 por mes por sitio si obtiene el plan de 5 sitios.

Esperamos que este artículo te haya ayudado. No dude en dejar un comentario a continuación si tiene algo que agregar :)

Publicaciones relacionadas

Botón volver arriba