Qué es una inyección de código?
Una inyección de código o ataque de virus a la web, es la intrusión de datos o denegación de acceso a la web. En este tipo de ataques, se intentan modificar ficheros y valores propios del CMS y también de la estructura de la programación web.
Las técnicas de inyección del código vienen siendo muy populares en el "Hacking" para conseguir acceder a información restringida, y para aumentar privilegios o para conseguir acceder a sistemas restringidos. Este tipo de ataques son siempre con efectos malintencionados, incluyendo:
- Modificación de valores arbitrariamente en una base de datos mediante inyección de .SQL. El impacto de esta acción puede ser desde cambios en la apariencia de la web cómo también comprometer datos muy sensibles.
- Instalar malware o ejecutar código malintencionado en un Servidor mediante la inyección de código PHP.
- Aumentar, disminuir los privilegios del propietario de la web, generando vulnerabilidades en el sistema operativo.
- Atacar usuarios de páginas web con inyecciones de código PHP o scripts i shell. Esta es una técnica que permite a un atacante enviar código a una aplicación web, que posteriormente será ejecutada localmente por el Servidor Web.
- Penalización por parte de Google y acceso restringido a la web, afectando la reputación del sitio web.
- Envío masivo de spam.
- Aparición de publicidad, así cómo también imágenes no deseadas en la web.
Factores de riesgo
Este tipo de vulnerabilidades se pueden dar con mucha frecuencia en estos casos:
- Cuando la web (CMS; WordPress, Joomla, Prestashop, etc) lleva tiempo sin actualizar su contenido web.
- Cuando los plugins o themes no son del repositorio oficial del CMS en concreto. A veces se instalan plugins y themes gratuitos que no son del repositorio oficial y pueden provocar vulnerabilidades y agujeros de seguridad.
- Cuando no se ha modificado nunca la contraseña de acceso al gestor FTP y también del Panel de control del CMS.
¿Porqué puede pasar, aún teniendo el firewall activado?
Cdmon dispone de herramientas para detectar virus en los alojamientos (tanto para web cómo para correo). Tenemos todas las medidas de protección activadas en el Servidor. No obstante, se recomienda tener, por parte del cliente, actualizada la web y el CMS con el que trabaja.
Cuando se detecta que la web está infectada y por tanto puede generar "Phising" o otros síntomas propios de infección, se bloquea el alojamiento para evitar que el servidor sufra y también para evitar pérdida de datos. Cdmon se encarga de realizar un análisis de la web a la busca de ficheros dudosos de tener código infectado. Posteriormente, se avisa al cliente para ponerlo en conocimiento.
¿Cómo proceder en caso de inyección?
En CDmon disponemos de un servicio de consultoría Wordpress que nos encargamos de actualizar y limpiar su Wordpress para dejarlo completamente óptimo. Actualizamos tu Wordpress
Sin embargo, es posible que disponga de otro CMS en su web o que prefiera revisarlo por su parte. Puedes proceder, de forma independiente a cdmon. Recomendamos que sigas los siguientes pasos:
- Revisar, modificar y eliminar, en el caso que sea necesario, los ficheros dudosos de tener código infectado.
- Una vez la web está limpia, previa verificación mediante nuestro script de detección y/o de soporte externo (verificación de virus a través del buscador google), por ejemplo:
1. Vikinguard dirección : https://www.vikinguard.com/free-audit-es
Analiza la web y tiene un buen soporte. Dispone de una herramienta gratuita y otra de pago. Tiene módulos para diferentes CMS; WordPress, Joomla, Prestashop, Magento.
2. Sered dirección: https://sered.net/auditorias-de-seguridad
Auditoria de seguridad de la competencia Sered Hosting Profesional.
3. Innovacreación dirección: http://www.innovacreacion.com
Servicio de pago por mantener la web funcional, es decir, actualización de módulos y tienda, auditorias internas de seguridad, corrección de bugs y error, formación y soporte técnico, optimización.
Otras páginas de soporte de inyecciones:
https://hackertarget.com/
https://www.virustotal.com
Por otra parte, para evitar futuros ataques, en la medida de lo posible, se recomienda actualizar el CMS, así cómo también los plugins o themes que tenga instalados.
- Tener el alojamiento en un Servidor que tenga la posibilidad de modificar la versión PHP.
- Modificar la contraseña del gestor FTP. Se recomienda modificar la contraseña cada cierto tiempo.
- Modificar el usuario y contraseña de acceso al Panel de control del CMS.
- Instalación de plugins de seguridad. Normalmente los CMS tienen diversos plugins de detección de virus. También es importante, sobretodo en formularios web la configuración de reCaptcha.
- Crear un fichero robots.txt para evitar que algunas partes de la web sean rastreadas o indexadas por algunos buscadores.
- Si el sitio web ha sido bloqueado por Google, es necesario, una vez la web está limpia, ponerse en contacto a través de la herramienta "Webmaster Tools de Google" para que revisen la web y quiten la restricción de acceso a la página web.
- Se recomienda realizar copias de seguridad del alojamiento. Cdmon realiza copias de seguridad cada día, y el cliente, desde su Panel de control de cdmon, dispone de la herramienta de recuperación de la web hasta 14 días. No obstante, se recomienda tener una copia local en el ordenador del cliente, ya que es posible que si la web lleva más de 14 días infectada, aunque recupere la web a un estado anterior, desde su Panel de control, esta le aparecerá igualmente infectada.
Para más información, puedes contactar con nosotros.