fbpx

Doble Factor de Autenticación (2FA): ¿Qué es y cómo funciona?

La autenticación en dos fases (2FA) es un método de seguridad de administración de identidad y acceso que requiere dos formas de identificación para acceder a los recursos y los datos. 2FA ofrece la posibilidad de supervisar y ayudar a proteger su información y sus redes más vulnerables.
El doble factor de autenticación añade una segunda capa de protección, reforzando el nivel de seguridad. El primer método generalmente es una contraseña segura, y el segundo método podría ser un código obtenido a través de un correo electrónico, un mensaje de texto o usando una app en su teléfono celular como Google Authenticator.

¿Cómo funciona?

Existen diversas maneras en las que se puede lograr esta capa adicional de seguridad. Sin embargo, todos los métodos logran lo mismo y cumplen con ciertas generalidades. El funcionamiento típico de estos sistemas es el siguiente:

  • Primero, se accede a un servicio o plataforma en línea y se ingresa la contraseña. Este es el primer factor de autenticación. Como por ejemplo, al querer acceder al panel de login de su cuenta cPanel.
  • A continuación, el servicio en línea solicita un segundo factor de autenticación, que puede ser un código de verificación. Por ejemplo, le pide que ingrese un código numérico que llega a su Google Authenticator que tiene configurado en su teléfono celular.

Finalmente, se proporciona ese segundo factor de autenticación para verificar la identidad del dueño de la cuenta y completar el inicio de sesión.

Tipos de autenticación en dos pasos

Hay varios métodos de autenticación cuando se utiliza la autenticación en dos fases. A continuación, se muestra una lista de las opciones más comunes:

Verificación o código por SMS

La mensajería de texto o SMS se puede utilizar como una forma de autenticación en dos fases cuando se envía un mensaje a un número de teléfono de confianza. El usuario deberá interactuar con el texto o utilizar un código de un solo uso para verificar su identidad en un sitio o una aplicación.

Código al correo electrónico

El correo electrónico como tipo de autenticación de dos pasos consiste en usar la dirección de correo electrónico del usuario, por ejemplo Gmail, como factor de autenticación. Se realiza el envío de un código de verificación, o un enlace de confirmación, al correo electrónico del usuario. 

El usuario debe introducir su contraseña más ese código, o hacer clic en ese enlace, para acceder al servicio en línea. Este método es similar al que se hace mediante SMS, pero usa el correo electrónico en lugar del teléfono.

Aplicaciones móviles

Existen algunas aplicaciones móviles que generan un código de verificación desechable, pues es válido generalmente por 30 segundos o 1 minuto. Esta es la opción cada vez más popular, ya que combina practicidad y seguridad. 

El usuario debe instalar una aplicación de autenticación en su teléfono que genere los códigos aleatorios sincronizados con el servicio en línea. El ejemplo más conocido de estas aplicaciones es Google Authenticator.

Preguntas de seguridad

Las preguntas de seguridad como tipo de autenticación de dos pasos consisten en usar unas preguntas y respuestas personales que el usuario elige y recuerda como factor para autenticarse. 

El usuario debe responder a esas preguntas correctamente, junto con el ingreso de su contraseña, para poder acceder a la plataforma deseada.

Código QR

El método de autenticación mediante un código QR consiste en usar una imagen que contiene un código de barras bidimensional, que se puede escanear con la cámara del teléfono u otro dispositivo. El usuario debe escanear el código QR que se muestra en el servicio en línea, junto con su contraseña, para acceder a la plataforma.

Es rápido y cómodo, ya que no requiere introducir ningún código ni recibir ningún mensaje. Además es fiable, ya que el código QR se genera dinámicamente y solo es válido durante un tiempo limitado.

Notificaciones push

Los métodos de autenticación en dos fases push no requieren ninguna contraseña. Este tipo de 2FA envía una señal al teléfono para aprobar/denegar o aceptar/rechazar el acceso a un sitio web o una aplicación para verificar tu identidad.

Ventajas de activar el doble factor de autenticación

Añade una capa de seguridad extra

La autenticación en dos fases mejora la seguridad y la privacidad de las cuentas y los datos personales, reduciendo el riesgo de robo o suplantación de identidad. Al requerir dos factores de autenticación, se dificulta que un atacante pueda acceder a la cuenta de un usuario solo con conocer o robar su contraseña. 

Además, se protegen los datos personales del usuario frente a posibles filtraciones o usos indebidos por parte de terceros. 

Permite establecer conexiones seguras

El doble factor de autenticación permite establecer conexiones seguras entre los usuarios y los servicios en línea, al garantizar que solo las personas autorizadas puedan acceder a los recursos o la información que necesitan. 

Ayuda a evitar ciberataques

El 2FA ayuda a evitar hackeos, al dificultar que los ciberdelincuentes puedan acceder a los sistemas de información solo con conocer o robar la contraseña de un usuario, por ejemplo a través del método de la fuerza bruta. Al requerir un segundo factor de autenticación, se reduce la probabilidad de que el atacante pueda obtenerlo o suplantarlo. 

Fácil de configurar

Otra de las ventajas de los factores de autenticación es que son sencillos de configurar e implementar. En la mayoría de las plataformas, se puede acceder a esta opción siguiendo solo unos sencillos pasos. Se pueden configurar en unos minutos y podemos generalmente elegir cuál tipo de factor de autenticación preferimos.

Evita inicios de sesión desde equipos desconocidos

El 2FA previene el acceso no autorizado a los datos personales de un individuo o a los recursos sensibles o críticos de una organización, como los datos financieros, los sistemas internos o las aplicaciones estratégicas. 

Además, se dificulta que un usuario autorizado pueda compartir o reutilizar sus credenciales con otros usuarios no autorizados, lo que puede generar brechas de seguridad o conflictos de responsabilidad.

Conclusión

El doble factor de autenticación es siempre recomendable de aplicar en su servicio de alojamiento; por sobre todas las cosas si valora la seguridad de la información que posee.

Dentro de los servicios que ofrecemos; cPanel da de manera nativa una instancia donde puede configurar el 2FA para su utilización.
Puede ver esto en nuestra guía aquí.

WordPress: Qué es la 2FA o autenticación de dos factores.

El nivel de seguridad de tu WordPress depende de los sistemas que implementes para protegerla y reforzar dicha protección. Con el aumento del forzado automático de contraseñas, la información confidencial de tus usuarios y el acceso a tu sitio están más en riesgo que nunca.

La autenticación de 2 factores, doble factor de autenticación o 2FA, es un paso más para la seguridad de tu WordPress y consiste en agregar una “contraseña” o método adicional a los datos de acceso que normalmente utilizas, y que suelen ser el usuario y la contraseña.

Normalmente, para acceder al panel de administración de WordPress wp-admin, ingresas el nombre de usuario o el email registrado y un password. A los tiempos que corren, y si bien algunos plugins de WordPress y reglas de mod security previenen los intentos de login de amenazas, no es suficiente para proteger tu sitio web.

Qué es la autenticación de 2 factores (2FA) y por qué deberías implementarla en tu sitio de WordPress.

El 2FA se llama doble factor de autenticación porque, además de la contraseña, hace que debas moverte para validar que eres tú quien intenta acceder a tu cuenta o servicio, ingresando un código que se genera dinámicamente. Esto puede ocurrir con un SMS, un WhatsApp, un email con un código y varios métodos más.

En resumen, los beneficios de instalar el two-factor authentication, o 2FA en WordPress son:

  • Que tus datos estarán más seguros ya que una contraseña débil no será la razón por la que puedan acceder ilegalmente a wp-admin.
  • Te protegerás contra el fraude: la autenticación de 2FA reduce la probabilidad de que un atacante pueda hacerse pasar por un usuario si tienes un membership site. Tus suscriptores valorarán que los protejas.
  • Tus páginas y entradas estarán más protegidas: tus notas de blog y páginas de tu web estarán blindadas por 2FA.
  • Evita grandes dolores de cabeza y ahorra dinero. Si tu WordPress está protegido, no tendrás que gastar dinero en arreglarlo.

Cómo instalar el doble factor de autenticación (2FA) en WordPress.

Para instalar el doble factor de autenticación (2FA) en WordPress no hace falta mucho. Sólo necesitaremos 3 cosas:

Configurar 2FA en WordPress si ya tienes instalado el plugin de seguridad Wordfence.

Wordfence está valorado por los usuarios y comunidades de WordPress como uno de los mejores plugins de seguridad.

Dentro de wp-admin, ve a la sección Wordfence, y luego a Login security.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “Escanear código QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de backup por si no lo has hecho aún.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla que sigue a continuación.

Configurar 2FA en WordPress instalando Wordfence Login Security.

El proceso de configurar el doble factor de autenticación con Wordfence Login Security no es muy diferente.

La diferencia entre los plugins Wordfence Login Security y Wordfence Security es que Wordfence Login Security sólo soluciona el asunto del 2FA en el login, mientras que Wordfence Security es un plugin de seguridad que contempla varios asuntos para proteger tu WordPress.

Instala el plugin Wordfence Login Security y actívalo como lo haces con cualquier plugin.

Ve Login Security dentro del menú principal de wp-admin de WordPress.

Ahora toma el dispositivo, abre Google Authenticator, haz clic en “+” y elige “escanear QR”. Seguido, escanea el código que ves en pantalla y aparecerá Wordfence entre los códigos dinámicos del autenticador.

Copia los códigos de recovery y guárdalos en un lugar seguro por si perdieses tu dispositivo. Luego, ingresa el código que ves en la pantalla de tu dispositivo adentro del campo de texto que ves debajo, y haz clic en Activar o Activate.

Si todo fue bien, verás esta pantalla para que puedas desactivar el 2FA si te arrepientes, o descargues los código de respaldo por si lo has olvidado.

Ahora cierra la sesión e intenta acceder nuevamente a tu WordPress wp-admin. Si todo fue bien, al ingresar el usuario y contraseña, verás esta pantalla.

Cómo desactivar el doble factor de autenticación en WordPress.

Tanto si estás usando Wordfence Security para proteger tu sitio de WordPress, como si estás usando el plugin Wordfence Login Security, la forma de desactivar el 2FA es la misma. No te recomendamos que lo hagas a menos que tengas un problema o debas hacerlo temporalmente.

Para desactivar el two factor authentication, ve a Login Security y luego haz clic en Desactivar o Deactivate.

Conclusión.

Activar el doble factor de autenticación o 2FA hará que puedas gestionar tu WordPress más seguro, y que no corras riesgos de que alguien más, o un bot acceda por el sólo hecho de descifrar tu clave. Que tu WordPress esté seguro, no solo depende de los creadores de WordPress, del desarrollador que hayáis elegido, o del proveedor de hosting en sí. Es necesario que tú también pongas tu parte para ayudar a protegerlo.

Cómo aprovechar al máximo el archivo .htaccess y cómo usarlo en tu sitio web

Mientras navegas por el administrador de archivo de tu hosting o en alguna sesión de FTP, te has encontrado con el archivo htaccess. Y si tu sitio web está diseñado con WordPress es más común encontrarlo, si no lo tienen también podrás crearlo fácilmente. En este artículo conocerás más sobre este archivo, aprovechando su potencial.

¿Qué es el archivo .htaccess?

El archivo .htaccess, abreviatura de Hypertext Access, es un archivo de configuración bastante utilizado en el servidor web Apache. Este archivo generalmente se encuentra en el directorio raíz de un sitio web, es decir en la carpeta pública (public_html) y su nombre comienza con un punto, lo que lo hace invisible por defecto en los sistemas operativos Unix, además de que no posee extensión. El archivo .htaccess contiene directivas que modifican la configuración de Apache para un directorio en particular y sus subdirectorios, sin modificar la configuración global del servidor.

Funciones y características del archivo .htaccess

El archivo .htaccess permite una amplia gama de funcionalidades y características que impactan la forma en que se comporta un sitio web. Algunos de los usos más comunes son:

1. Redirecciones

Con el archivo .htaccess, se pueden establecer redirecciones, ya sea para redireccionar URLs específicas o para redirigir todo un dominio a otro. Esto es útil cuando se realiza una reestructuración del sitio web o cuando se desea redirigir a los usuarios a una página de mantenimiento temporalmente.

2. Control de acceso

El archivo .htaccess permite controlar el acceso a determinados archivos o directorios. Por ejemplo, se puede restringir el acceso a una carpeta con archivos confidenciales o requerir autenticación para acceder a ciertas páginas.

3. Personalización de errores

Es posible personalizar las páginas de error que los visitantes verán cuando se produzca un error en el sitio web, como el error 404. Esto permite mostrar mensajes más amigables y personalizados en lugar de los mensajes predeterminados del servidor web.

4. Bloqueo de IPs o dominios

Con el archivo .htaccess, es posible bloquear el acceso a ciertos usuarios, IPs o dominios no deseados. Esto puede ser útil para bloquear intentos de acceso no autorizados o para evitar el acceso desde ciertas ubicaciones geográficas.

5. Mejora del rendimiento

En opciones más avanzadas el archivo .htaccess también se puede utilizar para habilitar compresión de archivos, caché de contenido y otras técnicas de optimización que ayudan a mejorar el rendimiento del sitio web.

Importancia y aplicación del archivo .htaccess

Una vez mencionadas las funciones más comunes del archivo .htaccess es de suma importancia comentar el papel fundamental en la configuración y personalización de un sitio web. Su capacidad para controlar varios aspectos del servidor web Apache ofrece a los administradores del sitio una forma eficiente de modificar y mejorar el funcionamiento de sus sitios web sin tener que realizar cambios directamente en la configuración del servidor.

Con el conocimiento y la comprensión adecuados de cómo funciona el archivo .htaccess, los profesionales de diseño y desarrollo web pueden aprovechar al máximo esta herramienta para lograr un sitio web más seguro, eficiente y adaptado a sus necesidades.

Ahora veamos un poco el accionar del archivo .htaccess

Redirecciones y reescritura de URL

Las redirecciones son acciones que permiten redirigir a los usuarios que intentan acceder a una URL en particular hacia una dirección diferente. Para ver un ejemplo de esto, imaginemos que queremos redirigir un dominio a un sitio web sin WWW o de la forma contraria.

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.midominio.com [NC]
RewriteRule ^(.*)$ https://midominio.com/$1 [L,R=301]

Estas tres líneas redirigir tu dominio a la versión sin WWW, para entrar en contexto, RewriteEngine, RewriteCond y RewriteRule son directiva y ofrecen su propia forma de configuración y puede ser utilizado según las necesidades específicas de nuestro sitio web. Ahora para el caso contrario en que necesitemos redireccionar a un dominio con WWW, se puede utilizar:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^midominio.com [NC]
RewriteRule ^(.*)$ https://www.midominio.com/$1 [L,R=301]

Protección y seguridad del sitio web

Existen varios tipos de ataques a los que un sitio web puede estar expuesto, tales como ataques de inyección SQL, ataques DDoS, cross-site scripting (XSS) y más. Mediante el archivo .htaccess, podemos implementar medidas de seguridad para prevenir y mitigar estos ataques.

# Proteger ante DDOS de 10 Mb
LimitRequestBody 10240000

También suelen utilizarse para bloquear bots y crawlers molestos que consumen ancho de banda en nuestro sitio web. Estos bots los podemos detectar con la herramienta AWStats de nuestro panel de control. Para bloquearlos desde el htaccess debemos escribir las siguientes líneas:

# Bloquear Bots
RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^SemrushBot [NC]
RewriteRule ^.* - [F,L]

En este caso bloquea el bot de SemrushBot, pero también hay muchos otros como SeekportBot, PetalBot. Recuerda que no todos los bots son malos, también existen los bots de los motores de búsqueda, como el de Googlebot, Bingbot, Yandexbot, entre otros.

Por otro lado, puedes bloquear el acceso a una o varias IPs de una forma muy sencilla, vemos el ejemplo:

order allow,deny
deny from x.x.x.x
allow from all

Donde en x.x.x.x especificas la IP y puedes agregas más lineas para listar otras IPs.

Ver nuestro artículo: WordPress: .htaccess

Esperamos que este artículo le haya ayudado a conocer como utilizar el archivo .htaccess, su funcionamiento y lo importante que puede ser para su sitio web.

Si te gustó este artículo, suscríbete a nuestro canal de YouTube  para videos tutoriales de WordPress. También puede encontrarnos en  Twitter, Facebook e Instagram.

¿Cómo evitar que tu correo sea clasificado de spam?

Tarde o temprano para todos los que tenemos una vida en línea, nos encontramos con el molesto “correo no deseado o spam” en nuestras bandejas de entrada. Pero, ¿qué sucede cuando nuestro propio correo es considerado spam?

No entres en pánico, desde Sitios Hispanos te brindaremos las mejores prácticas para evitar que tu correo sea etiquetado como spam. Lo primero que debes entender, es que hay muchas maneras de que tu correo pueda ser considerado spam, desde una mala autenticación hasta una baja reputación.

El primer punto importante para evitar que el correo electrónico caiga en la carpeta de spam, es asegurarse una buena autenticación. Esto hará que tu dominio sea más confiable.

Podes visitar nuestra guía de ¿Cómo configurar autenticaciones DKIM, SPF y DMARC?. Estos registros son de suma importancia, ya que permitirán aumentar la reputación y seguridad de tus correos enviados.

Otro aspecto valorado en el envío y recepción de correos electrónicos es la reputación. Este aspecto implica desde el envío masivo hasta el diseño de los correos. Si tu intención es utilizar el correo para realizar envíos masivamente, puedes optar por unos de nuestros complementos, como el email marketing. Esto puedo minimizar el riesgo de que te tildes de spammer.

Si prefieres la opción más tradicional, debes tener en cuenta que los Planes de Hosting tienen limitaciones en cuanto al número de correos que se pueden enviar por hora.

Al construir el mensaje que deseas enviar, evita títulos demasiado explícitos y el uso de letras mayúsculas como, por ejemplo: “PROMOCION”, “PUBLICIDAD”, “OFERTA”. Elude utilizar acortadores de URL, estos dan desconfianza y parecen sospechosos. Debes equilibrar el uso de imágenes con el texto de tus correos, un correo con muchas imágenes podría ser identificado como SPAM. Siempre es aconsejable mantener una buena reputación en el correo electrónico para evitar ser incluido en listas negras.

Listas Negras

Puede llegar a ocurrir que caigas en una lista negra y la IP del servidor se vea comprometida por esta razón. Muchas veces llegan como un rebote de mensaje donde te aclaran que lista negra te ha etiquetado. Pero en otras no es tan simple de averiguarlo. Sin embargo, hay herramientas como por ejemplo mxtoolbox.com, que te permiten verificar si tu IP ha sido incluida en una lista negra y también te ofrecen opciones para ser eliminado de ella.

Antivirus actualizado

En los últimos años, ha habido un crecimiento exponencial de malware especializado que aprovecha nuestras sesiones abiertas de correo para distribuir correo no deseado. Por eso, es crucial mantener actualizado el software antivirus en todos los dispositivos que se utilicen para acceder a tu bandeja de correo.

Recuerda siempre mantener estas prácticas presentes, para evitar que tus correos sean clasificados como spam. Con una buena autenticación, una sólida reputación, un contenido equilibrado y un software antivirus actualizado, podrás reducir significativamente las posibilidades de que tus correos terminen en la carpeta de spam.

Limpieza manual de malware

Limpieza manual de malware

¿Cómo limpiar un sitio web? ¿Cómo eliminar el malware? En caso de que ImunifyAV , el antivirus del servidor Linux , indique que se ha encontrado malware, consulte las pautas para la limpieza de infecciones de malware que se pueden realizar manualmente a continuación:

  • Paso 1: copia de seguridad
  • Paso 2: comprender qué es el malware
  • Paso 3: Eliminación de malware
    • Paso 3.1: eliminación de malware independiente
    • Paso 3.2: Eliminación del malware inyectado
  • Paso 4: Repita

Paso 1: copia de seguridad

Antes de limpiar el sitio web, se recomienda realizar una copia de seguridad completa de los datos que se están limpiando. Por ejemplo, para un sitio web basado en WordPress, asegúrese de que se haya realizado una copia de seguridad no solo de los archivos sino también de la base de datos.

Paso 2: comprender qué es el malware

En primer lugar, todos los productos de Imunify siguen la convención de clasificación de malware . Aquí hay algunos ejemplos breves de clasificación:

tipo de programa maliciosoTipo de detecciónIDENTIFICACIÓNtipo de archivo.categoría.clasificaciónVersión
SMWINJ16402js.spam.redi18
CMWSA12147mlw.wshll5
SMWBLKH1246640php.bkdr.anonfox.autoast1

SMW significa Server Malware, lo que significa que el código malicioso se ejecuta en el lado del servidor (dentro del sitio del cliente). CMW: ejecuciones maliciosas en el lado del cliente, por ejemplo, en el navegador.

INJ : se inyectó código malicioso en el archivo. 

SA y BLKH – archivo de malware independiente – totalmente malicioso.

Paso 3: Eliminación de malware

La eliminación manual de malware requerirá algunos conocimientos básicos de la línea de comandos y la programación.

Paso 3.1: eliminación de malware independiente

En caso de que el archivo esté marcado con la firma -SA- o -BLKH- , es completamente malicioso y se puede eliminar por completo mediante el administrador de archivos del panel de control o la CLI de Linux.

Aquí hay un top 20 de veredictos de malware independientes:

SMW-SA-15778-php.bkdr.wshll.wpnull24

SMW-SA-12273-mlw.drwy

SMW-SA-15255-php.bkdr.wshll.wpnull24

SMW-SA-04892-php.bkdr.wpvcd

SMW-SA-17965-php.bkdr.wp.fake

SMW-SA-15534-php.bkdr.drpr.wpnull24

SMW-SA-12883-mlw.phish

SMW-SA-13119-mlw.tool.spam.wpvcd

SMW-SA-15256-php.bkdr.wshll

SMW-SA-13600-php.phish.gen

SMW-SA-16489-php.deface.gen

SMW-SA-15618-php.bkdr.fakeplugin.wpvcd

SMW-SA-12609-mlw.deface

SMW-BLKH-74202-elf.troyano

SMW-BLKH-20827-php.spam

SMW-BLKH-33002-html.phish
Alerta de malware independiente
Figura 1: Alerta de malware independiente

Puertas traseras
puertas traseras de limpieza manual de malware

A menudo, el software malicioso independiente se propaga libremente como parte de un complemento o tema popular anulado (pirateado).

puerta trasera independiente en tema anulado
Figura 2: Puerta trasera independiente en tema pirateado

La figura anterior muestra parte de la puerta trasera independiente junto con la plantilla de sitio web anulada marcada por SMW-SA-15255-php.bkdr.wshll.wpnull24

Suplantación de identidad
limpieza manual de malware phishing

Otro gran ejemplo de archivos maliciosos independientes es el phishing. Por lo general, todas las infecciones de phishing son independientes. Aquí hay un ejemplo que imita el formulario de inicio de sesión de Google. SMW-SA-18231-html.phish :

archivo-de-phishing-independiente
Figura 3: archivo de phishing independiente
Herramientas de piratería
herramientas de piratería de limpieza manual de malware

La siguiente captura de pantalla muestra parte del kit de herramientas independiente para piratas informáticos de PHP producido por el grupo de piratas informáticos AnonymousFox y está marcado como SMW-BLKH-1246640-php.bkdr.anonfox.autoast

Herramienta de hacking AnonymousFox
Figura 4 – Herramienta de pirateo de AnonymousFox
Favicon falso
manual-malware-clean-up-falso-favicon

En la lista a continuación, hay archivos favicon .ico falsos que tienen un código malicioso en su interior.

Principales ubicaciones de archivos de malware idependiente que se ocultan como .ico: 

wp-content/.102ab028.ico

wp-includes/js/codemirror/.903876dc.ico

sites/favicon_3bedeb.ico

favicon_1c9d85.ico

wp-content/uploads/2015/02/init.locked.ico

wp-includes/apache.ico

cgi-bin/.a3269f8f.ico

wp-content/themes/twentyfourteen/suspected.client.ico

components/cookie.http.ico

wp-content/plugins/wordfence/vendor/wordfence/wf-waf/src/clases.session.ico

public_html/favicon.ico

public_html/fav.ico

wp-includes/js/tinymce/themes/css.db.ico

httpdocs/path/modes.session.ico

public_html/favicon11.ico

/sites/default/files/favicon.src.ico

/uploads/suspected.system.ico

¡Advertencia!

En algunos casos, el malware independiente puede pasar como un archivo de inclusión (include) mediante inyecciones de malware a algunos archivos legítimos en el sitio web. En este caso, eliminar el archivo independiente podría causar errores del lado del servidor 5xx o una pantalla blanca de la muerte (WSOD) para el sitio web. Para estar seguro, es obligatorio realizar una búsqueda desde el sitio web webroot para cualquier posible inclusión de archivos. Aquí hay un ejemplo de un comando CLI para buscar instrucciones de inclusión de malware WP-VCD no ofuscadas:

grep -r --include=*.php -e "class.plugin-modules.php" -e

"class.theme-modules.php" -e "wp-vcd.php" -e "wp-tmp.php" .

Este comando buscará dentro del código de todos los archivos PHP y devolverá los nombres de archivo que contienen alguna mención de los archivos de malware independientes detectados.

Alternativamente, los archivos maliciosos independientes podrían dejarse vacíos en lugar de eliminarse por completo para asegurarse de que cualquier inclusión sobrante no cause errores en el servidor.

Paso 3.2: Eliminación del malware inyectado

El tipo de inyección es un poco más complicado. Tienen el sufijo -INJ- en el veredicto. En este artículo se revisarán varios tipos de casos que pueden ocurrir, así como lo que se puede hacer para limpiar manualmente las inyecciones.

Redirección de inyección de JavaScript clasificada como SMW-INJ-18422-js.spam.redi
Figura 5: Inyección de JavaScript de redireccionamiento clasificada como  SMW-INJ-18422-js.spam.redi
Inyecciones de redirección
Manual-malware-clean-up-redirecting-inyecciones

Los 10 principales veredictos de redireccionamiento de malware:

SMW-INJ-16270-js.spam.redi

SMW-INJ-18008-js.spam.redi

SMW-INJ-17803-php.spam.drwy

SMW-INJ-16402-js.spam.redi

SMW-INJ-17738-js.spam.redi

SMW-INJ-17896-js.spam.redi

SMW-INJ-03990-html.drwy

SMW-INJ-04270-htcss.mlw

SMW-INJ-15453-js.spam.redi

SMW-INJ-18223-js.spam.redi

El malware de redireccionamiento generalmente redirige al usuario del sitio web a sitios de spam, sitios no deseados como productos farmacéuticos, sitios web para adultos, páginas de phishing o incluso intenta explotar el software vulnerable del cliente y comprometer el sistema.

Alerta de malware .htaccess
Figura 6 – Alerta de malware .htaccess

Aquí está la lista de tipos de redirección que cubre la mayor parte de ellos:

  • Truco de redirección en .htaccess . Ejemplo de redirección basada en inyección de regla .htaccess:
RewriteRule ^(.*),(.*)$ $2.php?rewrite_params=$1&page_url=$2

Otro ejemplo se muestra en la siguiente figura.

redirigir la inyección de .htaccess marcada por SMW-INJ-18736-htaccess.spam.redi
Figura 7: inyección de 
.htaccess de redireccionamiento marcada por SMW-INJ-18736-htaccess.spam.redi

  • Redirección oculta en los archivos principales de CMS. Por lo general, está oculto en wp-config.php . A veces, las inyecciones de malware de redireccionamiento están ocultas en archivos centrales como index.php, header.php, footer.php, wp-load.php, etc.

El malware de redirección de JavaScript infecta los archivos JavaScript ( .js ) o inyecta scripts de redirección en archivos PHP.
Ejemplo: SMW-INJ-16402-js.spam.redi-18

Alerta de malware de redirección de JavaScript
Figura 8: Alerta de malware de redirección de JavaScript
Mitigación:

1. Identifique el código de malware dentro del archivo. A veces puede ser bastante sencillo, en otros casos, la inyección puede estar oculta.

Aquí son posibles diferentes enfoques, por ejemplo:

  • comparando con viejas copias de seguridad limpias,
  • en comparación con el repositorio inicial/paquete del proveedor del CMS, tema, complemento, plantilla.

En la mayoría de los casos, también es posible identificar visualmente la inyección maliciosa:

  • código ofuscado dentro del código normal,
  • diferente tipo de formato,
  • sin saltos de línea (símbolos CR LF).

2. Limpie el malware usando un administrador de archivos del panel de control o CLI de Linux.

El siguiente ejemplo muestra un enlace de sitio web de redirección malicioso adjunto a un archivo JavaScript.

<script type= ' t ext/javascript' src= ' evil.com/y.js ' ></script>

Con el uso de un editor, se puede eliminar un dominio inyectado maliciosamente. Aquí ‘ evil.com ‘ es un ejemplo de un dominio de redireccionamiento malicioso.
Después de la eliminación:

<script type='text/javascript' src=''></script>

Por supuesto, la inyección puede ser mucho más complicada y la cantidad de código que debe eliminarse puede variar. El siguiente comando
$ php -l traget_file.php
se puede usar para asegurarse de que la sintaxis de PHP no se rompa después de la eliminación de la inyección.

3. En caso de que la inyección de malware haya estado presente en el archivo .htaccess , puede ser difícil, en algunos casos, identificar el inicio y el final de la inyección. La eliminación incorrecta de la inyección también podría romper la sintaxis del archivo .htaccess y provocar un mal funcionamiento del sitio web. Para evitar tales problemas para la limpieza de .htaccess , se recomienda restaurarlo desde la copia de seguridad limpia antes de que apareciera la infección o copiarlo desde el sitio web del proveedor del CMS utilizado. Por ejemplo, se pueden encontrar muestras de archivos .htaccess de WordPress usando este enlace . Y aquí está el enlace para Joomla!

Puertas traseras ocultas
manual-malware-clean-up-hidden-backdoors

Top 10 veredictos de puertas traseras inyectadas:

SMW-INJ-03431-php.bkdr.eval.oneliner

SMW-INJ-15535-php.bkdr.incl.wpnull24

SMW-INJ-14070-php.bkdr

SMW-INJ-04278-php.bkdr

SMW-INJ-03933-php.bkdr

SMW-INJ-06044-php.bkdr.wpvcd

SMW-INJ-17722-php.bkdr.exec

SMW-INJ-12444-php.bkdr

SMW-INJ-13122-php.bkdr.wp.remoto

SMW-INJ-03548-php.bkdr

Por lo general, las funciones PHP peligrosas como eval, file_get_contents, create_function, etc. que se encuentran en archivos ubicados en wp-includes , imágenes u otras ubicaciones no diseñadas para la ejecución directa de código PHP indican una inyección de malware. También pueden ser algunas inserciones específicas de CMS, como una función cuentagotas de usuario administrador o una función atacante de inicio de sesión automático (bajo administrador).

Alert for backdoor found wp-includes
Figure 9 – Alert for backdoor found wp-includes

Backdoor in vim editor
Figure 10 – Backdoor in vim editor

En el ejemplo anterior, la puerta trasera de WordPress permitía a los atacantes iniciar sesión automáticamente en el panel del administrador. Desafortunadamente, no siempre es fácil identificar visualmente la puerta trasera. Si hay disponibles archivos fuente limpios del software, es posible usar `diff` en la CLI del servidor o alguna herramienta en línea como diffnow para identificar el código inyectado:

Difference between the file infected by a backdoor and clean file
Figura 11 – Diferencia entre el archivo infectado por una puerta trasera y el archivo limpio

Mitigación:

La limpieza de tales inyecciones es similar a la sección anterior, ya sea mediante el uso del administrador de archivos del panel de control o cualquier editor CLI preferido para eliminar las inserciones de malware.

Inicio de la redirección de la inyección de PHP dentro del archivo de tema anulado marcado por SMW-INJ-13960-php.bkdr.wpvcd
Figura 11: comienzo de la redirección de la inyección de 
PHP dentro del archivo de tema anulado marcado por SMW-INJ-13960-php.bkdr.wpvcd
Malware de temas anulados (pirateados)
anulado-temas-malware

Top 10 inyecciones de temas anulados:

SMW-INJ-15535-php.bkdr.incl.wpnull24

SMW-SA-04892-php.bkdr.wpvcd

SMW-INJ-15539-php.bkdr.incl.wpnull24

SMW-INJ-12809-php.bkdr.wpvcd

SMW-INJ-06044-php.bkdr.wpvcd

SMW-INJ-03674-php.bkdr.wpvcd

SMW-INJ-13126-php.bkdr.wpvcd

SMW-SA-18218-php.bkdr.wpvcd

SMW-INJ-13129-php.bkdr.wpvcd

Una gran parte del panorama de malware moderno se obtiene mediante inyecciones provenientes de plantillas de CMS premium descifradas y anuladas. Muy a menudo, estas inyecciones se parecen al código de tema normal de WordPress.

Alerta de infección de WPVCD para el archivo principal de WordPress
Figura 12: alerta de infección de WPVCD para el archivo principal de WordPress

Aquí la inyección en sí parece bastante benigna:

Inyección WPVCD que ejecuta un archivo adicional que contiene un backdoor
Figura 13 – Inyección WPVCD que ejecuta un archivo adicional que contiene un backdoor

Las 10 principales ubicaciones de archivos incluidos de puerta trasera, algunas de ellas pueden ser malware independiente, otras no:

/wp-content/plugins/mplugin.php

/wp-content/themes/exampletheme/class.theme-modules.php

/wp-content/plugins/xmplplgn/functions/class.plugin-modules.php

/activos/.predeterminado

/wp-includes/js/tinymce/themes/themes.php

/wp-admin/css/colores/colores.php

/wp-content/uploads/2021/08/xuipenhd.php

/wp-content/uploads/woocommerce_uploads/ytxpdvte.php

/wp-content/plugins/monit.php

/modules/mod_wrapper/nepetfzv.php

Los temas anulados a menudo tienen una gran cantidad de inyecciones de puerta trasera en casi todos los archivos que contienen. Puede tomar algún tiempo limpiar todas las infecciones manualmente o requerirá algunas habilidades de codificación para automatizar la acción.

Mitigación:

La limpieza manual de un tema anulado puede ser complicada, ya que la versión limpia del software puede no estar disponible y en algunos casos puede ser difícil entender qué código se inyecta; la mejor opción aquí es restaurar el sitio web desde una copia de seguridad antes de la instalación del tema y reemplazarlo con una versión limpia (no pirateada). Como alternativa, siga los pasos anteriores descritos para malware independiente e inyectado para intentar limpiar los archivos manualmente.

Paso 4: Repita

Por último, después de realizar la limpieza, vuelva a escanear el sitio web y asegúrese de que no haya más malware presente en el sitio web. Si algo todavía está presente, repita los pasos de esta guía a partir del paso 2 .

Conclusión

conclusión de la limpieza manual de malware

Este artículo cubre más del 50% de los casos de infección que el equipo de procesamiento de malware de Imunify detectó durante el último mes. Naturalmente, podría haber otras variaciones de infecciones aún más complejas. Una descripción de cómo eliminar este tipo de malware no cabría en un artículo de blog.

Fuente:

https://blog.imunify360.com/manual-malware-cleanup

Signos de que su WordPress ha sido hackeado.

1) Súbita caída del tráfico del sitio.

Si controla las estadísticas de su sitio y ve una súbita caída en el tráfico; entonces esto puede ser un signo de que su sitio ha sido vulnerado.’
Una caída en el tráfico puede ser causado por diferentes factores.
Por ejemplo, malware en su sitio puede re-dirigir visitantes a sitios de spam.
Otra posible razón es que Google esté marcando su sitio como “web con posible contenido de malware” y cualquier visitante ecitará ingresar a su web.

2) Enlaces maliciosos agregados a su sitio web.

La inyección de data es uno de los signos mas comunes de un hackeo en WordPress. Los hackers crean una “puerta trasera” en su WordPress, lo que le da acceso para modificar sus archivos y base de datos.

Algunos de estos hacks añaden links a sitios spammer. Usualmente esos lins estan en el pie de su sitio, pero pueden estar en cualquier lado. Borrar esos links no garantiza el eliminarlos permanentemente.

Puede ver mas de este tema en nuestro link:

WordPress: Como encontrar una Backdoor en un sitio hackeado. Y como solucionarlo.

3) La pagina principal de su sitio esta desfasada.

Este es quizas el signo de hackeo mas obvio ya que es visible en la pagina principal de su sitio.
Muchos de los hackeos no desfasan la pagina principal de su sitio ya que prefieren permanecer sin ser notados la mayor cantidad de tiempo posible.
Aun asi, algunos hackers pueden modificar su sitio para anunciar que el mismo ha sido hackeado. Estos hackers reemplazan la pagina principal de su sitio con un mensaje o imagen. Algunos pueden incluso tratar de extorsionarlo por dinero.

4) No es posible conectarse al login de Wordpress.

Si no le es posible loguearse al admin de su WordPress, entonces hay una posibilidad de que los hackers hayan borrado su usuario del WordPress.
Como su usuario no existe, usted no va a ser capaz de reiniciar su contraseña desde la pagina de login.
Existen otras maneras de regenerar el usuario admin, por ejemplo via phpmyadmin o FTP.
Mas allá de eso, el sitio será inseguro hasta que pueda removar al hacker de su web.

5) Cuentas de Usuarios sospechosas en WordPress.

Si su sitio esta abierto para la registración de usuarios, y no está usando ningun tipo de protección en el registro, entonces cuentas de usuarios spammers sería spam comun que usted no puede borrar.
Usualmente, la cuenta sospechosa tendrá un rol similar al de admin, y en algunos casos no será capaz de borrarlo desde su area de admin en WordPress.

6) Archivos desconocidos y scripts en su sitio.

Puede que por algun plugin de seguridad, o por simplemente estar revisando el sitio; encuentre archivos extraños en su sitio.
Ahora, el lugar mas común elegido por lo hackers para los archivos maliciosos y scripts, es en la carpeta /wp-content.
Normalmente, estos archivos son nombrados de manera similar a archivos de WordPress asi pueden estar ocultos a simple vista.

7) A menudo, su sitio está lento o no responde.

Todos los sitios en internet pueden ser el objetivo de ataques DDoS. Estos ataques usan un numero de computadoras hackeadas y servidores de todos el mundo usando IP falsas.
A veces, envian demasiadas request a su sitio, otras, intentan de manera activa acceder por fuerza bruta a su web.
Cualquiera de estas actividades hará que su sitio esté lento, sin responder o no disponible.
En los logs de acceso de su sitio (En Métrica dentro de su cpanel) puede ver que IP esta solicitando muchas requets. Puede entonces solicitarnos que la bloqueemos.

8) Actividad inusual en los logs.

Los logs son archivos almacenados en su sitio que guarda el registro de todos los errores que ocurren en su sitio, asi como tambien todo el tráfico del mismo.
Puede acceder a los mismos desde el cpanel del sitio, bajo la etiqueta Métrica.
Estos logs puede ayudarlo a entender que esta sucediendo en su sitio cuanndo est abajo ataque.
Tambien contiene todas las IP usadas para acceder a su sitio.
Muestran ademas todos los errores en su sitio que quizas no puede ver dentro de su WordPress admin y que estan causando que su sitio no responda.

9) Fallos al enviar o recibir correos de WordPress.

Los sitios hackeados son utilizados mayormente para enviar SPAM. La mayoria de las empresas de hosting ofrecemos cuentas de email con el servicio.
Si usted no es capaz de enviar correos elecrtronicos, o esta recibiendo muchos rebotes en sus casillas, con mensajes poco comunes; por ejemplo, que el sitio supero el limite de envios por hora; es posible entonces que su web haya sido hackeado y usado para el envio de SPAM, Phishing o Spoofing.

10) Tareas Programadas sospechosas.

La mayoria de los servicios de hosting ofrecemos la posibilidad de programar cron jobs. Estas son tareas programadas que puede añadir a su sitio. El propio WordPress usa crones para setear tareas programadas, como la de publicar posts, borrar viejos comentarios de la papelera, etc.

Un hacker puede aprovechar cron jobs para correr tareas programadas en su sitio sin que usted lo sepa.
Si posee el conocimiento, deberia revisar el apartado de cron jobs en WordPress para detectar tareas programadas desconocidas.

11) Secuestro de los resultados de búsqueda.

Si el resultado de la búsqueda de su sitio en los buscadores muestra titulos o descripciones incorrectas, entonces esto es una señal de que su WordPress ha sido hackeado.
El hacker se ha aprovechado de una puerta trasera en su sitio para inyectar codigo malicioso que modifica la data que es solo visible en los motores de búsquedas.

12) Propagandas de popups o pop-under en su sitio.

Este tipo de hackeo trata de hacer dinero robando el trafico de su sitio y mostrando sus propios spam ads.
Estos popups no aparecen al loguearse en el sitio o accediendo al mismo.
Solo aparecerán a los usuarios que visiten el sitio desde los motores de búsqueda. Pop-under abrirán en una nueva ventana o pestaña y permanecerán ocultos para los usuarios.

13) Los archivos del nucleo de WordPress han cambiado.

Si los archivos del nucleo de WordPress fueron modificados de alguna manera, entonces este es una importante señal de que su sitio ha sido hackeado.
Los hackers pueden simplemente modificar los archivos y colocar su propio codigo dentro. Pueden tambien crear archivos con nombres similares a los archivos principales de WordPress.

14) Los usuarios son redireccionados al azar a sitios desconocidos.

Si su sitio esta redirigiendo visitantes a sitios desconocidos, estamos ante otra importante señal de que su siito fue hackeado.
Este hackeo pasa desapercibido ya que no redirige usuarios logueados. Es posible que no redirija a visitantes que accedan a su sitio directamente tipeando el nombre de su web en el navegador.
Este tipo de hackeo son causados por una puerta trasera o un malware instalado en su web.

10 razones principales por las que los sitios de WordPress son pirateados (y como prevenirlas)

Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Representa más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a explotar sitios menos seguros.

Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de que los sitios de WordPress sean pirateados y cómo evitar que su sitio web sea pirateado.

1. Uso de contraseñas débiles

Using weak passwords

Las contraseñas son las llaves de su sitio de WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web.

  • Su cuenta de administrador de WordPress
  • La cuenta del panel de control de su web hosting
  • Las cuentas FTP
  • Las bases de datos MySql utilizadas por su sitio WordPress
  • Las casillas de email

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los piratas informáticos descifren las contraseñas utilizando algunas herramientas básicas de piratería.

2. Acceso desprotegido al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles la tarea agregando capas de autenticación a su directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress de varios autores o usuarios múltiples, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos ingresar a su área de administración de WordPress.

3. Permisos de archivo incorrectos

File permissions

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y cambiar estos archivos.

Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como permiso de archivo.

4. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando su sitio vulnerable intencionalmente.

Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

5. No actualizar los complementos o el tema

Al igual que el software principal de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable.

Las fallas de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto.

Asegúrese de mantener actualizados su tema y complementos de WordPress.

6. Uso de FTP simple en lugar de SFTP/SSH

SFTP instead of FTP

Las cuentas FTP se utilizan para cargar archivos en su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse usando FTP, SFTP o SSH.

Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitarías cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo necesita cambiar el protocolo a ‘SFTP – SSH’ cuando se conecte a su sitio web.

7. Usando Admin como nombre de usuario de WordPress

No se recomienda usar ‘admin’ como su nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.

8. Temas y complementos anulados (crackeados)

Malware

Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress de pago de forma gratuita. A veces es fácil tener la tentación de usar esos complementos y temas anulados en su sitio.

Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.

Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos/temas o los repositorios oficiales de WordPress.

Si no puede pagar o no quiere comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y, lo que es más importante, mantendrán su sitio web seguro.

9. No asegurar la configuración de WordPress (Archivo wp-config.php)

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de inicio de sesión en la base de datos de WordPress. Si está comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.

Puede agregar una capa adicional de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>

10. No cambiar el prefijo de tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.

Se recomienda que utilice un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los piratas informáticos adivinar los nombres de las tablas de su base de datos.

Fuente: https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/

WordPress: Como encontrar una Backdoor en un sitio hackeado. Y como solucionarlo.

Que es una Backdoor?

Una backdoor es un código añadido al sitio que le permite al hacker acceder a la web sin ser detectado, logrando esquivar el logueo normal. Le permite acceder, por ejemplo, incluso cuando ya se han removido los plugins infectados o las vulnerabilidades de tu website.

Las backdoor sobreviven, regularmente, un upgrade de WordPress. Esto significa que tu sitio será vulnerable hasta que se encuentre y arregle cada backdoor.

Como funciona una Backdoor?

Algunas “Puertas traseras” son simplemente usuarios admin ocultos. Le permiten al hacker loguearse de manera normal tipeando usuario y contraseña.

Algunos backdoors mas complejos le dan al hacker la capacidad de ejecutar código PHP. Manualmente envia el código a tu website usando su navegador de internet.

Incluso hay backdoors que permiten ejecutar consultas a bases SQL.

Dónde están escondidas las Backdoors?

En cada caso, una “puerta trasera” esta disfrazada para parecerse a un archivo WordPress. Comunmente, estan alojadas en las siguientes locaciones:

  • Un THEME de WordPress. Pero seguramente no el que estés usando. El código en un theme no es sobreescrito cuando se actualiza WordPress; de ahi que es un buen lugar para esconder una backdoor. Por eso se recomiendo borrar todos los themes inactivos.
  • Los PLUGINS son otro lugar apropiado para esconder una backdoor. Sucede lo mismo que con los themes en la actualización de WordPress, y existen usuarios que no hacen updates de sus plugins.
  • La carpeta UPLOADS contiene cientos de archivos, lo cual lo hace un buen lugar donde ocultar backdoors.
  • El archivo wp-config.php contiene informacion delicada para configurar WordPress. Es uno de los archivos más apuntados por los hackers.
  • La carpeta WP-INCLUDES contiene archivos PHP necesarios para correr correctamente WordPress. Se usa como lugar para esconder backdoors porque es una carpeta que los usuarios no revisan con regularidad.

COMO ENCONTRAR UNA BACKDOOR EN UN WORDPRESS HACKEADO Y REPARARLO.

La mayor dificultad aqui es encontrarla, pero ahora tenés una idea de donde buscar la backdoor. Mas alla de eso, limpiar el WordPress es tan simple como borrar un código o archivo.

1 – Borrá tu carpeta de Plugins.

Buscar a través de la carpeta de Plugins puede ser tedioso, mas teniendo en cuenta que los hackers pueden esconder muy bien la backdoor.
Lo mejor es borrar el contenido completo de la carpeta e instalar desde cero tus plugins.

2 – Borrá tu carpeta de Themes.

Exactamente el mismo caso que con la carpeta de plugins. Es mejor eliminar y reinstalar de cero.

3 – Buscar en la carpeta UPLOADS por archivos .php

No hay una razon logica para que esta carpeta posea archivos PHP, ya que solo se usa para guardar archivos media como imagenes.

4 – Borrá el archivo .htaccess

Algunos hackers añaden codigo al .htaccess que envia a los visitantes de tu web a otro sitio diferente.
Podes eliminarlo, ya que WordPress lo recreará automaticamente.

Si por algun motivo no lo recrea, dirigite en el panel de WordPress a Settings => Permalinks. Haciendo simplmente clic en el boton de “Save Changes” creará un nuevo .htaccess.

5 – Controlar el archivo wp-config.php

Este archivo es importantisimo ya que contiene informacion vital para el funcionamiento de tu WordPress.
La mejor manera de chequear que no haya algun codigo extraño, es comparar el archivo wp-config.php con el archivo wp-config-sample.php, ya que éste último posee la informacion por defecto que deberia poseer el archivo wp-config.php.
Deberías entonces eliminar cualquier código que estés seguro que no pertenece al archivo.

6 – Restaurar el sitio desde un Backup.

Si hace backups de su sitio de manera regular, puede probar con restuarar el sitio desde un respaldo. Aunque esto no asegure al 100% que eliminará las backdoors del sitio, es un buen punto de partida para revisar mas a fondo el sitio, tal cual se indicó en los pasos anteriores.

Como prevenir futuros hackeos.

Ahora que ha limpiado su sitio, es tiempo de mejorar la seguridad de su sitio para prevenir futuros hackeos.

  • Mantener actualizado el sitio WordPress, asi como sus plugins y themes.
  • Utilice, tanto en el admin de su WordPress como en otras passwords del dominio, contraseñas fuertes y dificiles. Lo mejor es usar numeros, símbolos, alternar entre minusculas y mayusculas, etc.

WordPress Toolkit Versión 5.9: Que trae de nuevo esta actualización.

La gran mayoría de las actualizaciones de esta herramienta están apuntadas a mejorar la seguridad, algo sumamente importante en estos días.

A continuación, describimos cuales son dichas actualizaciones en WordPress Toolkit:

Site Vulnerability Scan (Scanner de vulnerabilidades del sitio)

Introducido en la version 5.8; el “scan automático de vulnerabilidades” chequea cada hora las posibles vulnerabilidades de la base de datos; para controlar si se ha reportado alguna nueva inseguridad o flaqueza; y entonces controla cada sitio administrado por WordPress, incluyendo cada theme y cada plugin.
Si alguna es descubierta, WordPress Toolkit marca el sitio en la interface para que el admin de la web sepa que debe tomar acción al respecto.

Site Vulnerability Policies (Políticas de vulnerabilidad del sitio)

Introducido en la version 5.9; y en conjunto con el Site Vulnerability Scan mencionado anteriormente; son políticas avanzadas de auto actualización. Estas políticas (Que deben ser activadas de manera manual), aseguran que cada vulnerabilidad detectada, que se pueden corregir instalando actualizaciones, se realicen de manera automatica.

Dicho de otra manera, si alguna actualizacion existente puede corregir alguna vulnerabilidad detectada, WordPress Toolkit se hará cargo del proceso por si mismo.

En el caso que se trate de un plugin vulnerable, el admin tendrá la posibilidad de simplemente deshabilitar dicho plugin, en lugar de actualizarlo.

Las actualizaciones de seguridad son instaladas inmediatamente despues que se encuentran las vulnerabilidades.

Tambien hay que destacar que no hay políticas de auto actualizaciones especiales para WordPress en su totalidad, ya que estas auto actualizaciones menores ya se encargan de esto.

Site Vulnerability Email Notifications (Notificaciones por Email de las vulnerabilidades del sitio)

La última característica relacionada con la seguridad, es la notificación vía correo electronico asociada con los resultados dados por el Site Vulnerability Scan.

Los admin no deberán loguearse más a WordPress Toolkit para controlar estos temas de seguridad.

Y estas notificaciones difieren de las normales notificaciones de WordPress Toolkit; ya que las mismas son enviadas inmediatamente después que alguna vulnerabilidad fue detectada.

Es importante destacar que estas norificaciones son enviadas solo cuando ocurre algun evento de vulnerabilidad; para evitar que dichos correos sean considerados SPAM.

Actualizaciones adicionales en WordPress Toolkit.

  • La blocklist ahora trabaja en conjunto con CLI operations, y no busca actualizaciones de plugins bloqueados.
  • El proceso de escaneo ya no re-escanea sitios que ya son parte del listado en WordPress Toolkit, asi que trabaja de manera mas veloz.
  • El proceso de actualizaciones inteligentes (Smart Updates) ya no deja carpetas vacias después de finalizar.
  • El rendimiento en la tarea de instalar y eliminar sitios WordPress en servidores con gran cantidad de conexiones a base de datos ha sido mejorado de manera significativa.
  • El rendimiento de Action Log tambien ha sido mejorado cuando se trabaja con registros de gran tamaño.
  • El doble de bugs han sido corregidos en esta versión, si la comparamos con la anterior.

Fuente: https://blog.cpanel.com/wordpress-toolkit-version-5-9-update/

WordPress: Limpiando el hackeo de Anonymous Fox

Estamos actualizando los pasos para limpiar los sitios WordPress infectados por Anonymous Fox. Hasta ahora el procedimiento sería el siguiente:

1) Dirijase en su cPanel a Seguridad => ImunifyAV.

Allí verá un listado de los archivos infectados detectados por nuestro antivirus. Eliminelos usando el Administrador de Archivos de cPanel o un programa FTP.
Si la ruta de el archivo a eliminar se encuentra en una carpeta desconocida, elimine directamente la carpeta; más aun si dicha carpeta está dentro de /plugins.
Por ejemplo: /home/usuariocpanel/public_html/site/wp-content/plugins/aknxryu/dwmruibv.php

En lugar de borrar el archivo dwmruibv.php, se ahorra varios pasos borrando la carpeta /aknxryu que es, obviamente, un plugin falso.

Un vistazo a los plugins falsos instalados por el virus

2) Borre las casillas de correo creadas por el virus.

El hackeo implica vulnerar un WordPress desde un plugin falso, desde ese plugin pueden modificar, via virus, el archivo contactmail de cPanel, y de esa forma pueden enviarse el password de cPanel.

Una vez dentro, usan archivos de cPanel para crear casillas de correos. Vaya a Correo Electronico => Cuentas de Correo Electronico y eliminelas.
Ejemplo de casillas que crea el virus:

admin@
administrator@
backing@
back-up@
backup@
chief@
call@
client@
clients@

Son entre entre 15 y 20 casillas de correos las que crea el virus.

3) Este virus crea usuarios del admin de su WordPress para tener acceso al mismo.
En cPanel, vaya a Base de Datos => PHPmyadmin.

Abra la base de datos de su sitio. En casi todos los sitios la base tiene el mismo nombre: usercpanel_wp123 (Es siempre un numero al azar).
Busque ahora la en dicha base la tabla wp_users.
Elimine todos los usuarios creados por el virus. Si el que posee su casilla de correo fue editada; restaure la misma editando los datos y modificando la contraseña; tal como lo muestra esta guia: https://www.youtube.com/watch?v=cb5GTYGXrwg

Use nombres de usuario y passwords complejos. Evite nombres conocidos como “admin”.

4) Es momento de ir a Dominios => WordPress Toolkits.
Lo mas probable es que al entrar vea un mensaje indicando que la instalacion de WordPress esta dañada.
Para solucionar esto, haga clic en el botón “Comprobar la integridad de WordPress”.

Le saldrá una pantalla con varias opciones; seleccione “Restaurar núcleo de WordPress” para reinstalar los archivos necesarios para que WordPress funcione correctamente.

5) Es momento de volver al Administrador de Archivos de cPanel.
Una vez allí, dirijase a la carpeta de WordPress llamada /wp-includes. La misma se encuentra dentro de la instalación de WP; en la ruta por defecto de /public_html/wp-includes.

Una vez dentro, busque por el archivo plugin.php; haga clic con el botón derecho sobre dicho archivo y seleccione la opcion “Change Permissions”. Asegurese que dicho archivo solo quede con permisos 444, es decir, que tenga tildada solo la opcion “Leer” en cada modo.

6) Es tiampo de modificar las contraseñas de acceso a la cuenta: Usuario de admin de WP; user de base de datos y cPanel.

La password del usuario admin de su WordPress la debería haber editado en el paso 3 donde se eliminaron usuarios creados por el virus.
La password del usuario de base de datos la puede cambiar desde el cPanel; en Base de Datos => Bases de Datos MySQL => Usuarios actuales => Cambiar Contraseña.
La password de cpanel puede modificarla desde su area de cliente en https://www.sitioshispanos.com/es/clientarea.php , yendo a Servicios => Mis Servicios => Haga clic sobre el servicio en cuestion => En la columna de Acciones, verá la opción “Cambiar Contraseña”.

7) Actualizar WordPress a la última versión disponible. Elimine cualquier instalación de WordPress que no se use.

8) Actualizar los Plugins, Woocomerce y Theme a la ultima versión y no mantenga instalados plugins que no se usen.

9) Usar la ultima versión de PHP disponible: https://www.php.net/supported-versions.php

10) Limite el numero de Logins fallidos (generalmente mediante un plugin de seguridad)

EJ: https://wordpress.org/plugins/wp-limit-login-attempts/

11) Deshabilitar el editor de archivos de WordPress (Theme Editor)

  • Agregue esta linea en el archivo wp-config.php
define( 'DISALLOW_FILE_EDIT', true );

Cambiando de “true” a “false” esta linea podrá activar y desactivar la opción segun la necesidad de usarla.

12) Deshabilitar XML-RPC

  • Agregar este código en el .htaccess principal de la instalación de WordPress:
 # Block WordPress xmlrpc.php requests

 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Puedes reemplazar xxx.xxx.xxx.xxx por la ip a la que deseas darle acceso, o puedes eliminar esa línea para un bloqueo total.

  • El codigo, por defecto, que crea WordPress en los htaccess es este, agregue el codigo de arriba debajo del codigo de WordPress:
 # BEGIN WordPress

        RewriteEngine On

        RewriteBase /

        RewriteRule ^index\.php$ - [L]

        RewriteCond %{REQUEST_FILENAME} !-f

        RewriteCond %{REQUEST_FILENAME} !-d

        RewriteRule . /index.php [L]

        # END WordPress 

13) Deshabilitar la creación de archivos PHP en directorios de WordPress

Es recomendable crear un .htaccess, si no existe, con este mismo codigo en /wp-includes/ y /wp-content/uploads/

 <Files *.php>

        deny from all

        </Files>  
  • Asegurar el wp-config.php
  • Prevenir que se pueda editar el archivo wp-config.php desde el navegador Agregar este codigo al .htaccess principal
# protect wpconfig.php 

    <files wp-config.php> 

        order allow,deny 

        deny from all 

    </files>
  • Luego modificar los permisos del archivo a 600

14) Busque en “Cuentas FTP” que no haya sesiones raras creadas, si hay sesiones, cualquiera, es recomendable cambiarles el password.

15) Busque en “Mysql Remoto” que no haya ips raras o desconocidas agregadas.