CUIDADO: Malwares en WordPress que solo afectan a base de datos

CUIDADO: Malwares en WordPress que solo afectan a base de datos

Es sabido que WordPress es el CMS más utilizado en todo el mundo. Su facilidad de uso y la gran cantidad de plugins, hacen de WordPress el mejor CMS posible. ¿Pero tiene alguna desventajas ser el mejor? Por desgracia sí. Y ahora te lo contamos:

A diario WordPress y sus plugins reciben ataques para infectar su código. Estos malwares pueden hacer que tu WordPress deje de funcionar correctamente, o que no funcione absolutamente nada mostrando algún error 500. Pero hay más cosas que le pueden ocurrir a tu WordPress como por ejemplo que empiece a mostrar enlaces a otras webs o incluso que alguna secciones o toda la web al completo se redireccione a algún otro dominio.

Cuanto este tipo de infecciones o inyecciones de código, afectan a los ficheros de WordPress o de algún plugin, son relativamente fáciles de detectar. Eso no significa que sea fácil de desinfectar, pero sí al menos de detectar. Lo realmente complicado es cuando estas infecciones afectan a la base de datos, o peor aún solo a la base datos sin modificar ningún fichero. En ese momento el malware se vuelve un poco más invisible. Más aún cuando inyecta código encriptado para que no tengas opción por ejemplo a buscar el dominio a donde tu web se redirecciona.

En definitiva, los malwares se hacen cada vez más sofisticados y más difíciles de detectar. Por supuesto, los creadores de malwares también saben que existen las copias de seguridad y es por ello que lo tienen en cuenta, pudiendo llegar a infectar una web pero no realizar ninguna acción hasta pasado meses. De esta forma aunque restaures un backup, podría aún estar infectado el código y más adelante podría volver a ocurrir lo mismo. De ahí que sea importante tener algún sistema de detección. Uno de los más populares es wordfence que tiene versión gratuita y de pago. Nosotros por supuesto también recomendamos usar nuestro Servicio de Protección Permanente pensado para que tu web esté totalmente protegida de malwares sin tener que preocuparte de nada. Compatible con cualquier gestor de contenidos (WordPress, PrestaShop…). Revisa diariamente todos los archivos de tu web en busca y captura de intrusos. Y si la infección estuviera en base de datos, nuestros técnicos lo revisan manualmente para que tu web esté siempre libre de malwares. Tan solo debes tener el alojamiento web o servidor con nosotros, y nosotros nos encargamos de todo. Puede solicitar más información desde aquí: Solicitar información sobre el Servicio de Protección Permanente

Ejemplo de infección real en base de datos ocurrido con el plugin Yuzo Related Posts

Lo que te vamos a contar a continuación, es un caso en los que por ejemplo Wordfence aún no puede hacer nada. Wordfence revisa el código y algo que hace también es avisarte si hay actualizaciones. Ya que es muy muy importante que tengas WordPress y plugins siempre actualizados. ¿Pero qué ocurre cuando el desarrollador no actualiza el plugin? En ese momento, si hay alguna vulnerabilidad en ese plugin, y no se soluciona, tendrás un agujero de seguridad en tu WordPress. Algo que sí hace Wordfence sobre esto es avisarte si un plugin está obsoleto, pero mientras se considera obsoleto ha podido pasar mucho tiempo y muchas webs podrían haber sido infectadas. Por ejemplo un caso reciente de  hace muy pocos días ha sido con el plugin Yuzo Related Posts. Una vulnerabilidad en este plugin hacía que atacantes pudieran insertar código en la base de datos, sin tener que modificar ningún fichero. El código insertado era javascript ofuscado con redirecciones a otras webs. Lo podéis ver en la captura:

malware en Yuzo Related Posts

Como se puede ver en la captura, el malware añadía código javascript, seguido de una función eval para poder encriptar el contenido del script. Esto hace que no se pueda detectar fácilmente qué hace ese código o a donde redirecciona. Aunque hay software para desencriptar o desofuscar este tipo de código, y se puede ver lo siguiente:

malware Yuzo Related Posts desencriptado

En este caso modifica tu web cuando se ha cargado, y le añade un elemento con un enlace a hellofromhony al que después se redirecciona.

En este caso, el desarrollador del plugin retiró el plugin hace algo más de 1 semana del repositorio de WordPress:

Yuzo Related Posts retirado de WordPress

 

Aún así, curiosamente el plugin tiene actualizaciones muy recientes. Algo contradictorio pero que quizás se deba a la gran cantidad de webs infectadas por este tipo de malware con este plugin.

Como comentábamos, Wordfence no detectó un caso como este y dado la complejidad de la infección, en este caso ni prevenía la infección ni avisaba de la infección ni tampoco de que el plugin era peligroso o estaba retirado o sin mantenimiento.

 

Como conclusión:

  • En nuestra opinión WordPress sigue siendo el mejor CMS que puedes usar
  • WordPress es uno de los CMS más atacados por ser el más usado
  • Usar el plugin Wordfence es necesario o una buena opción pero no suficiente
  • Te recomendamos nuestro Servicio de Protección Permanente para una mayor tranquilidad

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *