Joomla

A+ A A-

Sitios WordPress atacados en masa

En los últimos días se han producido un fuerte y masivo ataque a sitios realizados en WordPress. se está inyectando código malicioso a ciegas lo que está provocando que los sitios web se rompan. Aunque todavía se está investigando, queremos compartir algunas observaciones:

 

  1. Esta infección está dirigida a sitios web construidos en el WordPress

  2. Se dirige a sitios con complementos obsoletos (vulnerables) o contraseñas de administrador débiles.

  3. El malware es muy perseverante y intenta inyectar SPAM al sitio web hackeado

 

No es, sin embargo, un impacto muy desagradable esta infección. El código PHP infecta y esta corrompiendo archivos de sitio web legítimos. Se dirige no sólo a los archivos del núcleo de WordPress, sino también archivos de templates y plugins. El resultado son varios errores de PHP que se muestra en lugar del contenido normal del sitio. Si aparece este error en su sitio:

Parse error: syntax error, unexpected ')' en / home / user / public_html / site / wp-config.php on line 91

Esto significa que su sitio probablemente a sido hackeado. el sitecheck escáner le advertirá de este error, así: 

 

 

 

 

 

Al parecer el responsable es un plugin llamado MailPoet que tenía una vulnerabilidad que los atacantes aprovecharon para inyectar el código malicioso. El Malware permite crear una una puerta trasera que da acceso administrativo a todo el sistema, creando un usuario llamado 1001001.La recomendación si no estas infectado es actualizar de inmediato MailPoet para evitar ser una víctima.

 

La única solución conocida (después de la eliminación del malware que inyectan) es la restauración de estos archivos dañados desde la copia de seguridad. Si eres curioso acerca de la inyección de malware, esto es lo que parece (generado aleatoriamente):

<? Php $ pblquldqei = '5c%x7824-%x5c%x7824*!|!%x5c%x7824-%x5c%x7824%x5c%x785c%x5c%x7825j^%xq%x5c%x7825%x5c%x7827Y%x5c%x78256<.msv%x5c%x7860ftsbqA7>q7825)3of:opjudovg<~%x5c%x7824!%x5c%x782421787825!|!*!***b%x5c%x7825)…

 

 

 

Fuente SucuriBlog

Inicia sesión para enviar comentarios