Malware en mi web

milagros sanz

• 17 de septiembre de 2024 13:30

Buen día! Cómo están?

 

Hace un tiempo que se viene teniendo un problema en la web, cuando ingresan externamente los redirecciona a otras webs que no son mías. Yo soy la del servicio tecnico, en su momento actualicé los plug in y temas (borré y volví a instalar), actualicé WordPress, habían administradores random creados en WordPress y los borré, desinfecté y eliminé 30 archivos con malware, restauré carpetas desde las carpetas originales de WordPress, etc.... También mudé de cuenta del hosting la web a otra nueva.

 

Durante un mes funcionó todo espectacular, ahora comenzaron de nuevo. Durante el fin de semana hasta ayer, modificaban a cada rato (luego de que yo lo limpiara) los archivos alojados en publi_html: index.php / wp-config.php / wp-setting.php. La información a destacar es que a mí no me aparece visualmente el malware en la web, para mí carga perfecto y funciona perfecto todo, pero para el resto no. De hecho hay archivos malware en el administrador de archivos, que si no fuese por los plugin wordfence y anti-malware, no podría verlos. Los plug-in y los temas no tienen problemas, están habilitados y son compatibles con WordPress, reciben mantenimiento constantemente. (No son pirateados, eso quiero decir). Creo que priva a determinadas IPs, pero no supe encontrar ningun archivo con lista de IPs.

Ayer restauré las contraseñas, todas las contraseñas, además de volver hacer todo el trabajo realizado el mes anterior, también agregué la protección de seguridad de dos factores en WordPress, en el hosting y en el cpanel. Este hacker o lo que sea, volvió a ingresar y a cada hora me modifica esos 3 archivos mencionados. Luego de realizar otros cambios más, dejó de hacer modificaciones. Hoy en la mañana me encuentro con nuevos malware en mis archivos, los estoy limpiando en este momento. 

Ya realicé un ticket al hosting y me dijeron que escribiera acá para ver si se podía resolver en comunidad. 

 

No sé como tiene acceso esta persona (si es que es una persona). La carpeta que principalmente daña es la de wp-includes, todo el tiempo la estoy restaurando. Hay creada una cuenta FTP, yo no la creé, ¿se genera automáticamente? Lo que me resta pensar es que ingresa desde una cuenta FTP y modifica todo desde ahí. ¿Es eso posible?

 

Si alguien tiene alguna idea de cómo ocurre esto, por favor avísenme. 

0

• 

  Damián Adolfo Servin

  • 17 de septiembre de 2024 13:42

  hola! que tal, mira todo lo que explicas parece responder a un ataque a la integridad de tu sitio a nivel hosting y no necesariamente a nivel wordpress. Tal vez atacan el sitio porque es donde pueden causarte daño o impacto a tu cliente. Mi consejo es que limites el acceso a una sola  cuenta FTP, que la crees vos y cambies los datos de acceso a tu CPANEL. Si continua el problema yo iría por ver si el tema o algun archivo de inicio de WP es el que esta dando acceso al hacker. Tambien cambia los datos con config del usuario de mysql y cambia los datos de acceso a tu admin. Cualquier cosa hablamos.

  0
• 

  milagros sanz

  • 17 de septiembre de 2024 16:01

  Muchas gracias! Repasé todo, cambié el acceso al cpanel y por las dudas otra vez modifiqué las contraseñas. También estaban tratando de ingresar al usuario principal de WordPress, el cual fue bloqueado y eliminado. Veremos cómo continúa todo. Saludos!

  0
• 

  Damián Adolfo Servin

  • 17 de septiembre de 2024 16:17

  Si ves que estan intentando ingresar al usuario principal de WP cambialo, no puede ser ADMIN. Tambien configura el cortafuego de WORDFENCE con Protección extendida: Todas las solicitudes de PHP serán procesadas por el cortafuegos antes de su ejecución. Verifica que a la base de datos solo tenga acceso tu IP o localhost... Lamentablemente todo lo bueno que tiene WP lo tiene de trabajo que tenes que poder arriba. Lo qe necesites me avisas, beso.

  0
• 

  Alejandro Torres

  • 17 de septiembre de 2024 16:47

  milagros sanz te sugiero que repases lo siguiente:

  • Cambia tu contraseña del hosting y demás contraseñas, asegura tu cuenta de hosting
  • No repitas las contraseñas en todos lados y no las guardes en archivos inseguros (te sugiero apps como Lastpass o 1Password)
  • Utiliza doble factor de autenticación en todos lados que puedas (2FA)
  • Si haces login con una cuenta de Google o Facebook, asegúrate que esa cuenta sea segura
  • Limpia tu WordPress (no ignores ningún paso de la guía, sobre todo el chequeo de integridad de archivos oficiales de WP y el mismo chequeo de integridad en en los archivos de los plugins)
  • Actualiza tu versión de PHP a 8.x (cualquier plugin que falle con las nuevas versiones de PHP es mejor que lo quites)

  La guía de limpieza de WordPress es completísima, pero no debes omitir ningún paso, ya que por lo general cualquier archivo "extra" escondido en algún plugin o tema, que esté infectado o que tenga unas pocas lineas podría permitir a un tercero hacer algo indeseado en tu sitio.

   

  0
• 

  milagros sanz

  • 17 de septiembre de 2024 19:26

  Muchas gracias a los dos. Volví a restaurar todo desde un par de semanas atrás e hice todo nuevamente paso a paso. Por el momento vamos ok. Gracias nuevamente a ambos. (Problema: contraseña de cpanel + usuario de wordpress creado).

   

  Saludos!

  0
• 

  Alejandro Torres

  • 20 de septiembre de 2024 16:43

  De nada Mili! Cualquier cosa avisá! Saludos

  0

Iniciar sesión para dejar un comentario.