Cómo encontrar una puerta trasera en un sitio Hacked WordPress y arreglarlo

Una y otra vez, hemos ayudado a los usuarios a arreglar sus sitios de WordPress pirateados. La mayor parte del tiempo cuando se acercan a nosotros, ya han limpiado el sitio, y el hacker fue capaz de volver a entrar. Esto sucede si usted no lo limpió correctamente, o si no sabía lo que estaba buscando. En la mayoría de los casos que encontramos, había una puerta trasera creada por el hacker que les permitía evitar la autenticación normal. En este artículo, le mostraremos cómo encontrar una puerta trasera en un sitio de WordPress pirateado y arreglarlo.

¿Qué es un Backdoor?

La puerta trasera se refiere a un método para evitar la autenticación normal y obtener la capacidad de acceder de forma remota al servidor sin ser detectado. La mayoría de los hackers inteligentes siempre cargan la puerta trasera como la primera cosa. Esto les permite recuperar el acceso incluso después de encontrar y eliminar el plugin explotado. Las puertas traseras a menudo sobreviven a las actualizaciones, por lo que su sitio es vulnerable hasta que usted limpie este desastre.

Algunas puertas traseras simplemente permiten a los usuarios crear un nombre de usuario de administrador oculto. Mientras que las puertas traseras más complejas pueden permitir al hacker ejecutar cualquier código PHP enviado desde el navegador. Otros tienen una interfaz de usuario completa que les permite enviar correos electrónicos como su servidor, ejecutar consultas SQL y todo lo demás que quieran hacer.

(zz_1)

¿Dónde está escondido este Código?

Las puertas traseras en una instalación de WordPress se almacenan más comúnmente en las siguientes ubicaciones:

1. Temas - Lo más probable es que no esté en el tema actual que está usando. Los hackers quieren que el código sobreviva a las actualizaciones del núcleo. Así que si tienes el viejo tema de Kubrick en tu directorio de temas, u otro tema inactivo, entonces los códigos probablemente estarán ahí. Por eso recomendamos borrar todos los temas inactivos.
2. Plugins - Los plugins son un gran lugar para que el hacker esconda el código por tres razones. Una porque la gente no los mira. Dos porque a la gente no le gusta actualizar sus plugins, así que sobreviven a las actualizaciones (la gente los mantiene actualizados). Tres, hay algunos plugins mal codificados que probablemente tienen sus propias vulnerabilidades para empezar.
3. Directorio de cargas - Como blogger, nunca revisas tu directorio de cargas. ¿Por qué lo harías? Simplemente sube la imagen y úsala en tu mensaje. Probablemente tienes miles de imágenes en la carpeta de subidas divididas por año y mes. Es muy fácil para el hacker subir una puerta trasera en la carpeta uploads porque se esconderá entre miles de archivos multimedia. Además, no lo revisas regularmente. La mayoría de la gente no tiene un plugin de monitorización como Sucuri. Por último, el directorio uploads es escribible, por lo que puede funcionar de la forma en que se supone que debe hacerlo. Esto lo convierte en un gran objetivo. Muchas de las puertas traseras que encontramos están ahí.
4. wp-config.php - Este es también uno de los archivos más buscados por los hackers. También es uno de los primeros lugares donde a la mayoría de la gente se le dice que busque.
5. Incluye Carpeta - /wp-includes/ carpeta es otro lugar que encontramos en las puertas traseras. Algunos hackers siempre dejan más de un archivo de puerta trasera. Una vez que suben una, añadirán otra copia de seguridad para asegurar su acceso. Includes es otra carpeta donde la mayoría de la gente no se molesta en mirar.

En todos los casos que encontramos, la puerta trasera estaba disfrazada para que pareciera un archivo de WordPress.

Por ejemplo: en un sitio que limpiamos, la puerta trasera estaba en la carpeta wp-includes, y se llamaba wp-user.php (esto no existe en la instalación normal). Existe user.php, pero no wp-user.php en la carpeta /wp-includes/. En otro caso, encontramos un archivo php llamado hello.php en la carpeta uploads. Estaba disfrazado como el plugin Hello Dolly. ¿Pero por qué diablos está en la carpeta de subidas? D'oh.

También puede usar nombres como wp-content.old.tmp, data.php, php5.php, o algo así. No tiene que terminar con PHP sólo porque tenga código PHP. También puede ser un archivo.zip. En la mayoría de los casos, estos archivos están codificados con código base64 que normalmente realizan todas las operaciones de clasificación (es decir, añadir enlaces de spam, añadir páginas adicionales, redirigir el sitio principal a páginas spammy, etc.).

Ahora probablemente estás pensando que WordPress es inseguro porque permite puertas traseras. Estás MUERTO DE MUERTE. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso del hacker. Normalmente es el segundo paso. A menudo los hackers encuentran un exploit en un plugin o script de terceros que les da acceso para cargar la puerta trasera. Sugerencia: el hackeo de TimThumb. Pero puede ser todo tipo de cosas. Por ejemplo, un plugin mal codificado puede permitir la escalada de privilegios de usuario. Si su sitio tenía registros abiertos, el hacker puede registrarse gratuitamente. Explotar la única característica para obtener más privilegios (lo que les permite subir los archivos). En otros casos, es muy posible que sus credenciales se hayan visto comprometidas. También podría ser que estuvieras usando un mal proveedor de hosting. Vea nuestra lista recomendada de alojamiento web.

¿Cómo encontrar y limpiar la puerta trasera?

Ahora que sabes lo que es una puerta trasera, y dónde se puede encontrar. Tienes que empezar a buscarlo. La limpieza es tan fácil como borrar el archivo o el código. Sin embargo, la parte difícil es encontrarla. Puede empezar con uno de los siguientes plugins de escáner de malware de WordPress. De ellos, recomendamos Sucuri (sí, se paga).

También puede usar el Exploit Scanner, pero recuerde que en los plugins también se utilizan los códigos base64 y eval. Así que a veces se obtendrán muchos falsos positivos. Si usted no es el desarrollador de los plugins, entonces es realmente difícil para usted saber qué código está fuera de su lugar en las miles de líneas de código. Lo mejor que puedes hacer es borrar tu directorio de plugins , y reinstalar tus plugins desde cero. Sí, esta es la única manera de estar seguro a menos que tengas mucho tiempo para gastar.

Buscar en el directorio de cargas

Uno de los plugins del escáner encontrará un archivo falso en la carpeta uploads. Pero si está familiarizado con SSH, sólo tiene que escribir el siguiente comando:

1encontrar uploads -nombre "*.php"-imprimir

No hay una buena razón para que un archivo.php esté en su carpeta de subidas. La carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si hay un archivo.php que está ahí, tiene que ir.

Eliminar temas inactivos

Como mencionamos anteriormente, a menudo los temas inactivos son tratados. Lo mejor que puedes hacer es borrarlos (yup esto incluye el tema por defecto y el clásico). Pero espera, no comprobé si la puerta trasera estaba ahí. Si lo fue, entonces ya no está. Acabas de salvar tu tiempo de mirar, y has eliminado un punto de ataque extra.

Archivo.htaccess

A veces los códigos de redirección se añaden allí. Simplemente borre el archivo, y se recreará solo. Si no es así, ve al panel de administración de WordPress. Ajustes " Enlaces permanentes. Haga clic en el botón de guardar allí. Recreará el archivo.htaccess.

Archivo wp-config.php

Compare este archivo con el archivo wp-config-sample.php por defecto. Si ves algo que está fuera de lugar, entonces deshazte de él.

Análisis de la base de datos en busca de vulnerabilidades y SPAM

Un hacker inteligente nunca tendrá un solo lugar seguro. Crean numerosos. Apuntar a una base de datos llena de datos es un truco muy fácil. Pueden almacenar sus malas funciones PHP, nuevas cuentas administrativas, enlaces de SPAM, etc. en la base de datos. Sí, a veces no verás al usuario administrador en tu página de usuario. Verás que hay 3 usuarios, y sólo puedes ver 2. Lo más probable es que hayas sido hackeado.

También puede usar nombres como wp-content.old.tmp, data.php, php5.php, o algo así. No tiene que terminar con PHP sólo porque tenga código PHP. También puede ser un archivo.zip. En la mayoría de los casos, estos archivos están codificados con código base64 que normalmente realizan todas las operaciones de clasificación (es decir, añadir enlaces de spam, añadir páginas adicionales, redirigir el sitio principal a páginas spammy, etc.).

Ahora probablemente estás pensando que WordPress es inseguro porque permite puertas traseras. Estás MUERTO DE MUERTE. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso del hacker. Normalmente es el segundo paso. A menudo los hackers encuentran un exploit en un plugin o script de terceros que les da acceso para cargar la puerta trasera. Sugerencia: el hackeo de TimThumb. Pero puede ser todo tipo de cosas. Por ejemplo, un plugin mal codificado puede permitir la escalada de privilegios de usuario. Si su sitio tenía registros abiertos, el hacker puede registrarse gratuitamente. Explotar la única característica para obtener más privilegios (lo que les permite subir los archivos). En otros casos, es muy posible que sus credenciales se hayan visto comprometidas. También podría ser que estuvieras usando un mal proveedor de hosting. Vea nuestra lista recomendada de alojamiento web.

¿Cómo encontrar y limpiar la puerta trasera?

Ahora que sabes lo que es una puerta trasera, y dónde se puede encontrar. Tienes que empezar a buscarlo. La limpieza es tan fácil como borrar el archivo o el código. Sin embargo, la parte difícil es encontrarla. Puede empezar con uno de los siguientes plugins de escáner de malware de WordPress. De ellos, recomendamos Sucuri (sí, se paga).

También puede usar el Exploit Scanner, pero recuerde que en los plugins también se utilizan los códigos base64 y eval. Así que a veces se obtendrán muchos falsos positivos. Si usted no es el desarrollador de los plugins, entonces es realmente difícil para usted saber qué código está fuera de su lugar en las miles de líneas de código. Lo mejor que puedes hacer es borrar tu directorio de plugins , y reinstalar tus plugins desde cero. Sí, esta es la única manera de estar seguro a menos que tengas mucho tiempo para gastar.

Buscar en el directorio de cargas

Uno de los plugins del escáner encontrará un archivo falso en la carpeta uploads. Pero si está familiarizado con SSH, sólo tiene que escribir el siguiente comando:

1encontrar uploads -nombre "*.php"-imprimir

No hay una buena razón para que un archivo.php esté en su carpeta de subidas. La carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si hay un archivo.php que está ahí, tiene que ir.

Eliminar temas inactivos

Como mencionamos anteriormente, a menudo los temas inactivos son tratados. Lo mejor que puedes hacer es borrarlos (yup esto incluye el tema por defecto y el clásico). Pero espera, no comprobé si la puerta trasera estaba ahí. Si lo fue, entonces ya no está. Acabas de salvar tu tiempo de mirar, y has eliminado un punto de ataque extra.

Archivo.htaccess

A veces los códigos de redirección se añaden allí. Simplemente borre el archivo, y se recreará solo. Si no es así, ve al panel de administración de WordPress. Ajustes " Enlaces permanentes. Haga clic en el botón de guardar allí. Recreará el archivo.htaccess.

Archivo wp-config.php

Compare este archivo con el archivo wp-config-sample.php por defecto. Si ves algo que está fuera de lugar, entonces deshazte de él.

Análisis de la base de datos en busca de vulnerabilidades y SPAM

Un hacker inteligente nunca tendrá un solo lugar seguro. Crean numerosos. Apuntar a una base de datos llena de datos es un truco muy fácil. Pueden almacenar sus malas funciones PHP, nuevas cuentas administrativas, enlaces de SPAM, etc. en la base de datos. Sí, a veces no verás al usuario administrador en tu página de usuario. Verás que hay 3 usuarios, y sólo puedes ver 2. Lo más probable es que hayas sido hackeado.