Voy a contaros paso a paso como resolver y limpiar tu web WordPress de un hackeo de go.oclasrv.com, delopen.com, pushlat.com… este caso particular también aplica para muchos otros tipos de hackeo para WordPress. Te lo cuento aquí tal como yo lo resolví, si tienes alguna duda déjame tus comentarios abajo.
Recuerda que la mayoría de hackeos en WordPress ocurren pro principalmente 3 motivos:
- Tu plantilla es pirata y la has descargado de algún sitio warez
- Tu plugin es pirata y lo has conseguido por Internet
- Tu WordPress, tus plugins y tu plantilla están desactualizados
Es por eso que recomiendo siempre, mantener tu web WordPress actualizado y disponer siempre de las licencias de tus plugins y plantillas.
Tabla de contenidos
Síntomas del hackeo
Los síntomas que se perciben en este tipo de hackeo son principalmente estos:
- Salen anuncios en formato «Popup» en todas las páginas
- Aparece una caja en la parte superior derecha o izquierda donde ponde «Deny» o «Allow» en cualquier caso te abre más ventanas de anuncios…eséticamente puede parecer un aviso del navegador para engañar al usuario
- Lentitud de tu web, notas que va muy lenta al navegar o editar tu web
- Existen usuarios en tu WordPress que no diste de alta
- …
Si eres un perfil medianamente técnico y ves uno de estos enlaces dentro de tu web lo más probable es que tu web esté hackeada:
- go.oclasrv.com/apu.php?zoneid=1527634
- deloplen.com/apu.php?zoneid=2775135
- pushlat.com/ntfc.php?p=2775139
- go.mobisla.com/notice.php?p=1527635
- basepush.com
- …
Sé que cuando nuestra web o la de un cliente es hackeada suele ser una situación muy desagradable ya que uno siente la sensación de estar infectado por un virus que no sabe como deshacerse de el. Esto a menudo lleva a la desesperación y a la frustración y a eso también le sigue el desanimo de seguir trabajando en las mejoras de la web. Mi consejo es mantener la calma, de la misma forma que se metió debe salir.
Análisis de la web con Sucuri
Lo primero que harás cuando tengas la duda sobre si tu web está infectada o no es comprobarlo mediante alguna herramienta de detección de virus. Estas herramientas funcionan con grandes bases de datos donde ya tienen listadas muchas referencias de otros hackeos, de modo que si hay alguna equivalencia saben de seguro que ahí hay un virus.
El que yo te recomiendo es usar Sitecheck de Sucuri, puedes hacer tu análisis de seguridad web aquí.
Fijaron como directamente me muestra el código que considera que es malicioso, la URL está presente:
deloplen.com/apu.php
Así es como debería verse tu web si está hackeada, rojo como un tomate:
Como dato aunque en la parte inferior se muestra claramente el script que se está inyectando directamente en la web que lo carga del servidor deloplen.com/apu.php seguramente existen más fragmentos de código inyectados, pero nos vale habiendo validado que existe un virus. Este código seguramente está mandando tooooooooda la información de mi web hacia sus servidores, mi ip de conexión, mi usuario, mi contraseña, todos los datos que le vengan en gana en realidad, una vez dentro estás muerto tiene lo que quiere.
Buscando archivos sospechosos en los archivos
Asi que lo que toca ahora es buscar esos fragmentos y archivos sospechosos, por lo general WordPress es fácil de mantener, es decir, al menos el framework en si, el propio núcleo de WordPress, lo que suele llevar muchos dolores de cabeza son los plugins y las plantillas y sobretodo cuando estas son pirata.
De modo que podemos decir que la gran mayoria de filtraciones en WordPress entran a través de una vulnerabilidad de un Plugin o la de una vulnerabilidad de una Plantilla. Pero ojo, aquí hay trampa, porque esa es la entrada principal, pero casi siempre los hacks tienen como objetivo establecerse en tu alojamiento al nivel más profundo posible… Además ellos saben que cuando notes algo lo que harás será cambiar de plantilla y/o eliminar el Plugin que te está causando problemas. Así que lo que van a hacer es intentar llegar a los archivos de tu WordPress, en el core, por lo general dentro de estos directorios:
- wp-admin
- wp-includes
Si consiguen llegar ahí, se aseguran que tienen un sitio para largo, además que tienen acceso directo a funciones y ficheros conocidos del propio WordPress.
Lo que yo hice fué ver a través de FileZilla cuales fueron los archivos que se modificaron por última vez dentro de esos dos directorios y….¡Surprise!
Comparar los archivos con el repositiorio de WordPress
Ya tenemos a dos archivos sospechosamente sospechosos…que si lo comparamos con el repositorio oficial de WordPress veremos que ni tan solo existen, fijaros:
Pero si los borramos, lo más seguro es que vuelvan a aparecer, podéis probarlo y revisarlo en unos minutos veréis que vuelven a reaparecer y eso significa que existe algun codigo que los está generando. ¿Recordáis al principio que dijimos que la entrada era un Plugin o una Plantilla?
Revisando dentro de functions.php
La gran mayoría inyectan codigo en el archivo functions.php de tu plantilla porque saben que es un fichero que TODAS las plantillas deben tener sí o sí.
Así que revisamos nuestro fichero functions.php y esto es lo que vemos:
Nos encontramos con algo muy muy feo la verdad, ya que veréis que en realidad estan haciendo lo que quieren con nuestro sitio. De modo que lo que haremos será eliminar todo ese trozo de codigo, ojo no borráis el codigo de functions.php, sólo el que os muestro, normalmente se ve claramente donde empieza el codigo original de functions.php porque empieza una función de la propia plantilla, legítima.
Eliminamos ficheros sospechosos de wp-includes
Una vez borrado esto, entonces borramos esos dos archivos que son no deseados wp-tmp.php y wp-feed.php que uno sirve para ejecutar codigo y el otro almacena información como IP’s entre otros datos.
Si tu plantilla usa un theme-child también deberás borrar el codigo de functions.php ya que segurmente estará ahí dentro también.
Finalmente, como sabemos que habrán tenido acceso a nuestro password, cambiamos nuestra contraseña en WordPress.
Revisamos en Sucuri que esté todo ok
Volvemos a revisar el sitio con SiteCheck Sucuri:
Cambiamos todas las contraseñas
Una vez hemos llegado a este punto debemos realizar las siguientes tareas:
- Eliminar los usuarios de WordPress que no tengas controlados (es decir los que se hayan podido crear mediante código malicioso)
- Cambiar todas las contraseñas de los usuarios
- Modificar la contraseña de tu FTP
- También modificar la contraseña de tu base de datos
- Revisar tu archivo .htaccess
- Vistazo sobre todos tus plugins y plantillas esten actualizados a su última versión
- Revisar que tengas las licencias de cada uno de los módulos de tu web, plugins y plantillas principalmente
Y como esto no es un punto y final, lo mejor es que estés pendiente. Durante unas semanas revisa por si se reactiva o por lo contrario está todo tranquilo.
¡Pues eso es todo, recuerda dejar tu comentario aquí abajo si te ha gustado!
hola como estas? cunado te refieres a function.php cual de todos los function php ? el archivo que esta en el theme? o el que esta en wp-includes
Hola,
He visto tu comentario algo tarde creo hehe, disculpa. Pues en el artículo me refiero al de la plantilla el que está dentro de tu plantilla (theme) pero revísalos ambos en todo caso.
Espero te ayude esto.
Saludos
Hola Met El Idrissi,
Consulta en la parte que te refieres a ((Revisando dentro de functions.php)) y en ((Eliminamos ficheros sospechosos de wp-includes)), los trozos de código que tu muestras son los que hay que eliminar??
Ejemplo : En Eliminamos ficheros sospechosos de wp-includes colocas un trozo de código de la línea 1 hasta 60 todo ese código es el que se elimina en ese caso puntual?
Hola Daniel,
Los dos ficheros a los que hago referencia son estos dos; wp-tmp.php y wp-feed.php.
Si te fijas en el repositorio oficial de WordPress:
https://github.com/WordPress/WordPress/tree/master/wp-includes
Esos dos archivos NO estan ahí por lo que algo o alguien los ha tenido que meter. Elimínalos sin miedo porque no traen nada de bueno (haz una copia antes y revísa el contenido).
Por otro lado esos dos scripts son codigo malicioso si los ves en otra parte también límpialo.
¿Tienes un caso similar? ¿Podrías indicar tu web?
Hola como estas? si me pasa algo que creo que es similar.
la web la realizaron dos programadores y ahora me dieron la pagina a mi para reformarla. La pagina es naturasiberica.com.ar
Hola Daniel, no le veo nada raro desde fuera. Tendría que verlo por dentro y decirte. ¿Quizá ya lo resolviste? Un saludo