Vulnerabilidad de WordPress: Contenido de spam

Hemos detectado una vulnerabilidad que afecta a algunos sitios de WordPress. Con esta vulnerabilidad, los atacantes pueden obtener acceso al inicio de sesión administrativo de WordPress y subir archivos a tu cuenta de hosting. Luego, estos archivos se utilizan para introducir spam en el tema y/o base de datos de WordPress, creando enlaces ocultos a sitios fraudulentos.

Puedes obtener más información sobre vulnerabilidad y cómo ocuparte de ella en ¿Qué sucede si mi sitio web es pirateado?.

Señales de que has sido vulnerado

Debido a que esta vulnerabilidad crea enlaces ocultos, será invisible en tu sitio. La mejor forma de determinar si tu sitio se ha visto afectado es ver el código fuente de tu página de inicio. Para evitar visitar tu página de inicio infectada, te recomendamos utilizar Google® Chrome o Firefox® y visitar view-source:http://[tu nombre de dominio].

En esta ventana, puedes buscar en tu código fuente fraudes comunes en línea, como publicidad farmacéutica o préstamos de día de pago. Intenta buscar los siguientes términos comunes:

  • día de pago
  • farma
  • viagra
  • cialis

Recursos

La forma más sencilla de eliminar este contenido es restaurar el contenido y la base de datos de tu sitio web a partir de una restauración que sepas que no está afectada.

Si no tienes una copia de seguridad que sepas que está limpia, puedes eliminar el contenido manualmente. Hay dos ubicaciones comunes para este contenido: el encabezado de tema o la base de datos de WordPress.

Editar tu tema

Es posible acceder y editar tu tema de WordPress directamente a través de tu panel de control de administrador de WordPress. Si tienes un respaldo de tu tema, simplemente puedes reinstalarlo mediante el menú Apariencia de WordPress.

De lo contrario, puedes ver directamente el código de tus archivos. Para obtener información sobre cómo editar tus archivos mediante WordPress, revisa la documentación de WordPress.org aquí.

Desde aquí puedes eliminar cualquiera de los enlaces que hayas encontrado.

Limpieza de tu base de datos

Si los atacantes colocan enlaces maliciosos en tu base de datos, generalmente se ingresan en orden inverso para evitar su detección (por ejemplo, 'knil' en lugar de 'link'). Puedes buscar esto en tu base de datos.

Antes de realizar cambios en la base de datos, te recomendamos crear un respaldo (más información).

Puedes buscar las tablas de tu base de datos manualmente usando la pestaña Buscar de la interfaz phpMyAdmin (más información).

También puedes ejecutar la siguiente consulta de base de datos desde la pestaña SQL en phpMyAdmin:

SELECCIONAR *
DE `wp_options`
DONDE option_value COMO '%>vid/<%'

Esta consulta selecciona cualquier cosa de tu tabla wp_options que contenga un marcador div HTML al revés. Verás resultados similares a los siguientes:

query results

Puedes revisar los contenidos en detalle al hacer clic en el ícono de lápiz. Esto mostrará una vista más amplia de los contenidos de la fila. Desde aquí, puedes editar los contenidos directamente para eliminar cualquier texto malicioso. Luego de hacer tus cambios, haz clic Volver a la página anterior para guardar. Si los contenidos parecen completamente maliciosos, haz clic en Volver a la página anterior y luego haz clic en el ícono de la X roja para eliminar la entrada.

result details

Archivos adicionales vulnerados

Una vez que has limpiado el tema y/o base de datos, debes revisar los archivos en tu cuenta de hosting para asegurarse que sean válidos. Por lo general, esta vulnerabilidad tiene varios archivos asociados:

  • ./html/wp-admin/includes/class-wp-locale.php
  • ./html/wp-admin/admin-media.php
  • ./html/wp-content/themes/twentyten/entry-meta.php
  • ./html/wp-content/themes/twentyten/sidebar-funcs.php
  • ./html/wp-includes/theme-compat/content.php
  • ./html/wp-includes/default-option.php

Aunque estos nombres parezcan válidos, puede que los archivos no sean legítimos. Puedes identificar cuáles son legítimos al ver el código del archivo, o al comparar la fecha de modificación con otros archivos en el mismo directorio.

Recomendamos eliminar o renombrar (y, por lo tanto, desactivar) cualquier archivo que parezca malicioso.

Información técnica

Code Sample

MD5Sums of Known Malicious Files

  • dc1cd95ca7dcd00630a208024f89a5e1
  • 6e986fc5328ce3e3b1a36a3025704403
  • 0f183af9a1ed11124655a90b2fff54ac
  • 51377655c4d0b9db67a21b83f99dae4e
  • 51bb25bfbb0db6eb5359a9bc8567f4e6
  • f99b5bfd95336099a4adc436070d5cdd

¿Te fue útil este artículo?
Gracias por tus comentarios. Si deseas contactar a un agente del servicio de atención al cliente, llama a atención al cliente o usa la opción de chat que aparece arriba.
Nos alegramos de poder haberte ayudado. ¿Podemos hacer algo más por ti?
Disculpa las molestias. Cuéntanos si algo no te ha quedado claro o si no has podido solucionar el problema con la solución ofrecida .