0

Como evitar y remover el ataque de inyección de código en WordPress

 

La inyección de código en sistemas de manejo de contenidos como Joomla o WordPress es algo relativamente habitual, debido a la masificación de estos sistemas, lo cual lo hace bastante atractivo para estos “hackers”.

Hace poco se hablaba de un virus que atacaba a los usuarios de Mac a través de una falsa actualización de Flash y hacia descargar un archivo Java para infectar a los usuarios. (Vulnerabilidad  CVE-2011-3544)Pues bien, para poder lograr esta tarea, utilizan sitios o blogs a los cuales le inyectan una porción de código, generalmente un iframe invisible (con medidas de 0 pixel) para no levantar sospechas y hacer creer que están en un sitio confiable y el usuario instale estas falsas actualizaciones de software, para explotar vulnerabilidades en muchos productos de software, como Adobe Reader, Flash Player o Java.

 

En esta experiencia logre encontrar una porción de codigo que inyectan al archivo index.php en la raiz de tu instalacion de WordPress, usando la función echo de PHP.

Si descubres que tu WordPress esta cargando algo similar, o esta demorando en cargar, revisa el código fuente de sitio y en este caso todo se soluciono al reemplazar el archivo index.php en el directorio de raíz, o si deseas borrar la línea que agrega pero te recomiendo reemplazarlo y verificar los permisos de escritura de tus directorios y archivo.

Actualización:

He descubierto más de una manera de inyectar como modificar sitios basados en WordPress por lo cual las soluciones son varias. Lo cual resumo en algunos tips y amplio en otra publicación.

1. Permisos de archivos y directorios en el servidor como revisarlo con herramientas como http://wpscan.org/

2. Deshabilitar la edición de temas y plugins a través del administrador (obligatorio)

3. Evitar el uso excesivo de plugins como Facebook Connect (ver: http://www.elcachondeo.cl/foro/f107/2140859-vulnerabilidades-wordpress/) como tambien de la libreria TimThumb

Luego amplio la información ya que he estado limpiando un sitio de estos ataques lo cual me sirvió para comprobar las soluciones.

 

 

Leave a reply

 

Related posts