AYUDA wordpress infectado

djfumon · 19 Nov 2017

Hola buenas,

me he dado cuenta que alguien a infectado mi wordpress, y lo que hace es crear un archivo parting.php y publican articulos con enlaces desde ese archivo.

he intentado borrar el archivo y al dia siguiente vuelve a aparecer.

si alguien puede ayudarme, saludos y gracias.

merce84 · 19 Nov 2017

Borra todo el WP y súbelo de nuevo. También puedes bajarte los archivos y pasarle un antivirus. Por último si la infección es a nivel de la base de datos (que lo dudo) revisa las tablas.

elevas32 · 19 Nov 2017

Yo hace unos días he tenido un problema de ventanitas popups estilo "te ha tocado un móvil" le he metido wordfence he cambiado contraseñas de admin, actualizado wordpress a la última versión, plantillas y plugins y ahora todo está bien.. Metiéndole solo wordfence me funcionó, es un antivirus cortafuegos ponlo en todos tus dominios es instalarlo y listo.

OliverdelaRosa · 19 Nov 2017

¿Qué clase de plugins instalan? Yo llevo desde 2008 trabajando con todo tipo de webs y nunca me ha entrado un virus en ninguna. En cambio ya me he visto varios hilos como este en el foro.

Imagino que la clave está en descargar siempre que sea posible de repositorios oficiales, mantener todo actualizado, controlar los scripts que se colocan en las páginas, leer las valoraciones antes de descargar algo... y desconfiar de "link 100% real no fake por Mega" y plugins y plantillas "nulled" de esos que abundan por ahí. Esto además evita problemas legales

Grimmjow · 19 Nov 2017

Restaurar tu web a una copia de seguridad en donde no estaba infectado.

elevas32 · 19 Nov 2017

OliverdelaRosa dijo:
¿Qué clase de plugins instalan? Yo llevo desde 2008 trabajando con todo tipo de webs y nunca me ha entrado un virus en ninguna. En cambio ya me he visto varios hilos como este en el foro.

Imagino que la clave está en descargar siempre que sea posible de repositorios oficiales, mantener todo actualizado, controlar los scripts que se colocan en las páginas, leer las valoraciones antes de descargar algo... y desconfiar de "link 100% real no fake por Mega" y plugins y plantillas "nulled" de esos que abundan por ahí. Esto además evita problemas legales

Todo lo que tengo instalado es oficial lo mio pudo ser por dos motivos, le desmonte a un hacker una red de. Webs espejos de. Más de 500 webs pishing en la que estaba la mía al día siguiente de darle Google de baja empezó a aparecer ventanitas de publicidad en mi web o también pude ser que esa semana estuve de viaje y me loguee en el wordpress en la wifi del hotel que tenía un pass muy, sencillo.. O fue por una cosa u otra el caso es que con wordfence se ha quitado

msergio · 19 Nov 2017

puedes restaurar tu web a un punto atras habla con tu hosting, o tendras que reinstalar tu wordpress

OliverdelaRosa · 19 Nov 2017

elevas32 dijo:
Todo lo que tengo instalado es oficial lo mio pudo ser por dos motivos, le desmonte a un hacker una red de. Webs espejos de. Más de 500 webs pishing en la que estaba la mía al día siguiente de darle Google de baja empezó a aparecer ventanitas de publicidad en mi web o también pude ser que esa semana estuve de viaje y me loguee en el wordpress en la wifi del hotel que tenía un pass muy, sencillo.. O fue por una cosa u otra el caso es que con wordfence se ha quitado

Tiene pinta de que por ahí podrían ir los tiros, especialmente lo de la wifi del hotel.

Carlos Frias · 19 Nov 2017

Remueve el plugin Askimet, el Hello, los free themes de Wordpress y actualiza todo lo que tengas desactualizado. En partes para asegurar que tu sitio web este limpio crea una carpeta llamada “Backup”, mueve todo hasta alli menos wp-content ni wp-config.php, baja Wordpress, remueve el wp-content del .zip de Wordpress y sube todos los archivos restantes a la raíz de tu web.

djfumon · 27 Nov 2017

bueno he probado borrar todos los archivos de wordpress, plugins, y themes. Y he vuelto a instalarlos.

al dia siguiente me vuelve a aparecer el archivo parting.php con varios articulos en ingles.

ya nose que hacer :S

ramonjosegn · 27 Nov 2017

Hola [MENTION=6336]djfumon[/MENTION]

¿has pensado en la posibilidad de cambiar de hosting?

Aunque quizás alguno de los archivos que estás subiendo está infectado.

También revisa las tareas CRON DEL CPANEL, una vez me infectaron añadiendo un script ahí.

djfumon · 27 Nov 2017

ramonjosegn dijo:
Hola [MENTION=6336]djfumon[/MENTION]

¿has pensado en la posibilidad de cambiar de hosting?

Aunque quizás alguno de los archivos que estás subiendo está infectado.

También revisa las tareas CRON DEL CPANEL, una vez me infectaron añadiendo un script ahí.

el sitio lo tengo alojado en un VPS de Digitalocean.

ramonjosegn · 27 Nov 2017

djfumon dijo:
el sitio lo tengo alojado en un VPS de Digitalocean.

Tendrás que mejorar la seguridad. Revisar que no haya nada infectado.

Puedes usar virustotal.com

y también wordfence para ver qué cambia y porqué...

djfumon · 27 Nov 2017

ramonjosegn dijo:
Tendrás que mejorar la seguridad. Revisar que no haya nada infectado.

Puedes usar virustotal.com

y también wordfence para ver qué cambia y porqué...

he usado Anti-Malware Security and Brute-Force Firewall

pero detecta el archivo parting.php y otros 2 .php, pero los pongo en quarentena o los borro y al dia siguiente vuelven a aparecer.

ramonjosegn · 27 Nov 2017

djfumon dijo:
he usado Anti-Malware Security and Brute-Force Firewall

pero detecta el archivo parting.php y otros 2 .php, pero los pongo en quarentena o los borro y al dia siguiente vuelven a aparecer.

¿Y revisaste que no haya ningún script, archivo infectado o comentarios generando esos archivo o algún script nuevo corriendo en cronjobs??

Jarem · 27 Nov 2017

djfumon dijo:
he usado Anti-Malware Security and Brute-Force Firewall

pero detecta el archivo parting.php y otros 2 .php, pero los pongo en quarentena o los borro y al dia siguiente vuelven a aparecer.

parece que lo tienes en tu base de datos, a mi me hicieron algo similar, borraba todo y a los días volvía a aparecer me indexaron cerca de 150k de enlaces.

Haz una copia de tu base de datos y revisa una a una cada tabla.

Carambel · 27 Nov 2017

Pueda que se deba a plugins o themes nulled ya que nunca se sabe como es que llegas a tenerlos gratis, sinceramente desconozco la razón de tu problema.

Yo por lo general a mi sitio no le instalo nada nulled ni themes free, todo de pago.

djfumon · 27 Nov 2017

ramonjosegn dijo:
¿Y revisaste que no haya ningún script, archivo infectado o comentarios generando esos archivo o algún script nuevo corriendo en cronjobs??

si como dije he escaneado todo, y he borrado los archivos de wordpress y todo. lo de cronjobs supongo que es algo de cPanel, y no tengo instalado cPanel, uso serverpilot.

- - - Actualizado - - -

Jarem dijo:
parece que lo tienes en tu base de datos, a mi me hicieron algo similar, borraba todo y a los días volvía a aparecer me indexaron cerca de 150k de enlaces.

Haz una copia de tu base de datos y revisa una a una cada tabla.

si es lo que estoy pensando, que debe ser en la base de datos el problema, voy a mirar aver si algun plugin puede escanear la base de datos.

- - - Actualizado - - -

Carambel dijo:
Pueda que se deba a plugins o themes nulled ya que nunca se sabe como es que llegas a tenerlos gratis, sinceramente desconozco la razón de tu problema.

Yo por lo general a mi sitio no le instalo nada nulled ni themes free, todo de pago.

ahora tengo todo legal nada nulled, anteriormente tenia 1 plugin nulled, que aun que ya no lo tengo instalado quizas haya sido eso y ha dejado algun agujero en la base de datos.

Mega · 27 Nov 2017

Te ofrezco el segundo servicio de mi firma :encouragement:

Francisco Orrego · 27 Nov 2017

En Worpress 4.8 con un cliente tuve ataques masivos que deseaban infectar mediante acceso a carpeta de los plugin. Como uso Cloudflare reporte el hecho y personalmente bloquee las IPs atacantes.

En tu caso se infecto la base de datos de worpress, es ahí donde esta el problema. Al momento no existe una herramienta eficaz de escaneo de BD de Worpress.

Lo mejor es tomar un respaldo del sitio sano e instalar nuevamente.

En lo personal estuve ayudando a encontrar la infección en la BD de un sitio worpress y junto a un amigo (el propietario). No hubo caso, no encontramos nada. No quedo otra que reiniciar de cero.