Hosting en inglés

alojamiento web con Webhostinghub
Hosting SSD con Raiola

¿Como encontrar una “puerta trasera” en WordPress y arreglarla?

En muchas ocasiones nos encontramos con que nuestros sitios de WordPress han sido hackeados y después de invertir horas limpiandolos y arreglando todos los problemas,  en pocos días nos damos cuenta que todo el esfuerzo no sirvió de nada dado que los sitions vuelven a ser hackeados, lo que significa que el hacker sigue teniendo acceso. 

Esto sucede si no limpiamos el sitio correctamente o no sabemos lo que debemos buscar . En la mayoría de los casos, nos hemos encontrado con que había una puerta trasera creada por el hacker, la cual le permitió eludir la autenticación normal. En este artículo, vamos a mostrar cómo encontrar una puerta trasera en un sitio de WordPress hackeado y como cerrarla.

¿Qué es una puerta trasera?

El término “puerta trasera” se refiere a un método para evitar la autenticación normal y obtener la posibilidad de acceder de forma remota al servidor del sitio web sin ser detectados. La mayoría de los piratas informáticos inteligentes siempre cargan la puerta trasera cuando consiguen hackear un sitio. Esto les permite recuperar el acceso incluso después de que el propietario encuentra y elimina el plugin vulnerado. Las puertas traseras a menudo sobreviven a las actualizaciones, por lo que un sitio afectado es vulnerable hasta que se limpia este desastre.

 Algunas puertas traseras simplemente permiten a los piratas crear administradores con nombres de usuario ocultos. Sin embargo, las puertas traseras más complejas pueden permitir al hacker ejecutar cualquier código PHP enviado desde el navegador. Otros inyectan un código en el sitio  que les permite enviar mensajes de correo electrónico desde el servidor hackeado, ejecutar consultas SQL, y cualquier otra cosa que quiera hacer el intruso.

¿Donde puede esconderse el código de la puerta trasera?

Las puertas traseras en los blogs de  WordPress se almacenan con más frecuencia en los siguientes lugares:

  • Temas: Lo más probable es que el código invasor no está en el tema actual que está utilizando en su sitio. Los hackers quieren que el código sobreviva a actualizaciones y cambios importantes en el sitio. Así que si usted tiene un tema viejo inactivo que está almacenado en el directorio de temas, entonces es probable que los códigos malignos estén precisamente ahí. Por esta razón, se recomienda que elimine todos los temas inactivos. 
  • Plugins: Los plugins son uno de los lugares favoritos de los hackers para ocultar sus códigos por tres razones. En primer lugar, muchas personas ni siquiera los mira realmente. En segundo lugar, a las personas no les gusta actualizar sus plugins, lo que permite a los códigos maligos subsistir por más tiempo (por eso siempre hay que actualizar los plugins cuando hayan actualizaciones disponibles). En tercer lugar, hay algunos plugins mal codificados que probablemente tienen sus propias vulnerabilidades, para empezar.
  • Directorio de cargas: Como bloguero, probablemente nunca comprueba el directorio de carga de archivos. ¿Por que lo haria? Usted solo sube las imágenes y las utiliza en sus artículos. Es probable que tenga miles de imágenes en el directorio de cargas las cuáles están divididas por año y mes. Es muy fácil para los hackers cargar una puerta trasera en la carpeta de archivos, ya que se mantiene oculta entre los miles de archivos multimedia. Además, casi nadie comprueba este directorio regularmente. Para solucionar esto se recomienda utilizar un plugin de seguridad como Sucuri o Wordfence. Por último, el directorio de archivos es modificable, de tal forma que pueda funcionar de la forma en que debe hacerlo. Esto hace que sea un blanco perfecto para los hackers. Una gran cantidad de puertas traseras pueden encontrarse ahí. 
  • Archivo wp-config.php: Este también es uno de los archivos de WordPress más atacados por los piratas informáticos. Por eso es uno de los primeros lugares que debemos revisar.
  • Directorio Includes: La carpeta /wp-includes es otro lugar en donde podemos encontrar comunmente a las puertas traseras. Algunos hackers siempre dejarán más de un archivo de puerta trasera. Una vez que suben uno, probablemente agregarán otra copia de seguridad para garantizar su acceso. La carpeta Includes es otra sección de la instalación de WordPress que la mayoría de las personas no se molesta en revisar.

En muchos casos, la puerta trasera se encuentra disfrazada para parecerse a un archivo de WordPress. Por ejemplo, en uno de mis sitios, la puerta de atrás estaba en la carpeta wp-includes, y fue llamado wp-user.php (esto no existe en la instalación normal). Hay user.php, pero sin wp-user.php en el directorio / wp-includes / carpeta. En otro caso, me encontré con un archivo PHP llamado hola.php en la carpeta de archivos. Se disfraza como el plugin Hello Dolly. El código maligno también puede usar nombres como wp-content.old.tmp, data.php, php5.php, o algo por el estilo. No tiene por qué terminar con PHP sólo porque tiene código PHP. También puede ser un archivo .zip. En la mayoría de los casos, estos archivos están codificados con código base64 que suele realizar todas las operaciones de ordenación (es decir, añadir enlaces de spam, añadir páginas adicionales, redirigir el sitio principal a spam páginas, etc).

Ahora usted está pensando probablemente que WordPress es inseguro, ya que permite las puertas traseras. Está totalmente equivocado. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso para hackear un sitio. Por lo general, es el segundo paso. A menudo, los hackers encuentran una debilidad que pueden explotar en un plugin desarrollado por terceros o script que luego les da acceso al sitio y les permite cargar la puerta trasera. 

Por ejemplo, un plugin mal codificado puede permitir la escalación de privilegios de usuario. Si un sitio que utiliza este plugin permite el registro abierto de usuarios, el hacker solo tiene que registrarse de forma gratuita. A continuación puede explotar la característica del plugin que le permite ganar más privilegios (lo que a su vez le permite subir los archivos). En otros casos, podría muy bien ser que las credenciales fueron comprometidas. También podría ser que el sitio estaba alojado en una compañía de webhosting de mala calidad.

¿Como encontrar y limpiar una puerta trasera?

Ahora que ya sabe lo que es una puerta trasera, y donde se puede encontrar, lo prmero que necesita es comenzar a buscarlo. Eliminar la puerta trasera es fácil ya que lo único que se se requiere es borrar el archivo o código. Sin embargo, la parte difícil es encontrarla. Puede comenzar con uno de los diversos plugins de seguridad que incorporan un escáner para la detección de malware, tales como WordFence o Sucuri entre otros.

También puede utilizar el plugin Exploit Scanner, pero hay que recordar que los códigos de base64 y eval también se utilizan en muchos plugins. Así que a veces puede generar una gran cantidad de falsos positivos. Si usted no es el desarrollador de los plugins, entonces es muy difícil para usted saber qué código está fuera de lugar en los miles de líneas de código. Lo mejor que puede hacer es borrar el directorio de plugins, y volver a instalar los plugins desde cero. Sí, esta es la única manera en que puede estar seguro a menos que tenga una gran cantidad de tiempo para pasar.

Busca en el directorio de cargas

Cualquier de los plugins de seguridad, como los indicados anteriormete, es capaz de encontrrar archivos invasores en la carpeta de carga de archivos. Pero si usted está familiarizado con SSH, a continuación, sólo tiene que escribir el siguiente comando:

find uploads -name "*.php" -print

No existe ninguna razón para que hayan archivos php en este directorio. Esta carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si encontramos un archivo php en este directorio o en cualquier de sus subdirectorios, debemos eliminarlo, ya que seguramente no es nada bueno.

Borre los temas inactivos

Como hemos mencionado anteriormente, a menudo los temas inactivos son blanco de los hackers. Lo mejor que puede hacer es eliminarlos (sí esto incluye el tema clásico por defecro). Si la puerta trasera estaba en un tema inactivo, al eliminar este se borra automáticamente la puerta trasera. Al final, lo mejor es eliminar cualquier punto de ataque adiciona para reducir las oportunidades de los hackers.

Archivo .htaccess comprometido

A veces se añaden los códigos de redirección en el archivo .htaccess. Para eliminar el problema simplemente borre el archivo, este volverá a ser creado por el servidor pero sin ningún código maligno. Si no es así, vaya a su panel de administración de WordPress e ingrese a  Ajustes »Enlaces permanentes. Luego haga clic en el botón de Guardar. Con esto se volverá a crear el archivo .htaccess.

Archivo wp-config comprometido

Compare este archivo con el archivo wp-config-sample.php predeterminado. Si usted ve algo que está fuera de lugar, eliminelo inmediatamente. 

Análisis de base de datos por debilidades y spam

 Un pirata informático inteligente nunca va a tener un solo punto de acceso. Crean la mayor canidad posible. Atacar una base de datos llena de información es un truco muy sencillos. En una base de datos pueden almacenar sus funciones PHP malignas, nuevas cuentas administrativas, enlaces de spam, etc. Sí, a veces el ocultamiento es tan bueno que no se puede  ver el nuevo usuario administrador en la página de usuarios de WordPress. Por ejemplo, si usted encuentra que hay 3 usuarios pero solo puede ver a 2, lo más probable es que su sitio haya sido hackeado

En caso de que no sepa como trabajar con SQL, lo mejor es que deje que los plugins de seguridad revisen su sitio y busquen donde está el problema.

¿Como prevenir que su sitio sea hackeado en el futuro? 

 Nuestro consejo # 1 sería mantener copias de seguridad completas  y comenzar a usar un servicio que vigile la seguridad del sitio de forma constante. WordFence y Sucuri ofrecen servicios de seguridad bastante buenos y su mayor ventaja es que reducen significativamente la posibilidad de que un sitio sea hackeado ya que lo vigilan las 24 horas del día.

Otras medidas que podemos aplicar para mantener la seguridad de un sitio en nivel óptimo son las siguientes: 

  • Use Contraseñas fuertes: Utilice contraseñas seguras para todos los usuarios de su sitio, de tal forma que no puedan ser comprometidas mediante simple fuerza bruta. Empiece a utilizar una utilidad de gestión de contraseñas como 1Password.
  • Autenticación de dos pasos: Si la contraseña quedó comprometida, el usuario aún así tendría que tener el código de verificación en su teléfono. 
  • Límitar la cantidad de intentos de conexión: Hay plugins que permiten bloquear a un usuario después de un número X de intentos fallidos.
  • Deshabilite los editores de temas y de plugins:  Esto evita problemas por escalamiento de privilegios de usuaruos. Incluso si se aumentan los privilegios del usuario (el hacker), este no podrá modificar su tema o plugins utilizando el wp-admin.
  • Proteja con una contraseña el WP-Admin:  Usted puede proteger con contraseña el directorio completo WP-Admin. También puede limitar el acceso de acuerdo a su dirección IP.
  • Desactive la ejecución de PHP en ciertos directorios de WordPress: Otra medida efectiva es desactivar la ejecución de PHP en los directorios de carga de archivos y otros directorios de su elección. Básicamente incluso si alguien es capaz de cargar un archivo en la carpeta de carga de archivos, no va a ser capaz de ejecutarlo.
  • Mantengase actualizado: Utilice las últimas versiones de WordPress, de sus temas y de sus plugins.

 

SUSCRÍBETE SIN COSTO ALGUNO A NUESTRO BOLETÍN

Escribe tú correo electrónico:

Recibe contenido de este sitio sin costo alguno en tu e-mail. Solamente enviaremos los últimos artículos de Internetrcc, sin ningún tipo de spam

Acelera tu sitio

Leave a Reply