Cómo identificar un sitio de WordPress pirateado

Publicado: 2017-04-14

Un sitio de WordPress pirateado la mayoría de las veces presenta varios síntomas. En esta publicación, describiremos cuáles son esos síntomas y le daremos algunas herramientas para identificar si su sitio web se ve afectado por alguno o todos ellos.

Síntomas de un sitio de WordPress pirateado

La mayoría de los síntomas implican que su sitio web se comporta de manera extraña, así como archivos de aspecto extraño y código HTML que comienza a aparecer de izquierda a derecha. ¡Vamos a verlos uno por uno!

1. Tu sitio web comienza a enviar spam

Aunque es mucho más fácil identificar el spam entrante que el saliente, hay un par de cosas que puede hacer para ver si alguien está usando su sitio para enviar spam:

  • Verifique sus registros de correo (normalmente se encuentran en /var/log). Ver una cantidad inusual de correos electrónicos bloqueados con un mensaje de error 550 Remitente prohibido por SPF se considera sospechoso. Especialmente si tiene registros SPF configurados para su dominio. Entonces definitivamente es una bandera roja.
  • Hay varios sitios web, como MXToolbox y UltraTools RBL Database LookUp, que pueden indicarle si su sitio ha sido incluido en la lista negra como fuente de spam. Hay varios de ellos disponibles, y debe buscar en todos los que pueda encontrar. No estar en la lista negra en uno no significa que esté 100% claro.

2. Tu sitio web te redirige a otro lugar.

Este es probablemente el síntoma más fácil de detectar. Cuando visita su sitio web, en lugar de ver su página web, es redirigido a un lugar extraño. En primer lugar, verifique si sus registros DNS han cambiado y ahora apuntan a una dirección IP diferente.

 Si sus registros DNS parecen estar bien, entonces es muy probable que haya algo en su página HTML que esté causando esa redirección. Intente deshabilitar el soporte de Javascript de su navegador y vea nuevamente si su sitio web lo está redirigiendo. Si la redirección persiste, entonces es una señal de que otras áreas de su sitio web probablemente estén manipuladas (ya sea su base de datos, el archivo .htaccess de su sitio web o la configuración de su servidor web).

3. Su sitio web contiene iframes sospechosos.

Un iframe es un documento HTML "incrustado" dentro de otro HTML, que se utiliza para mostrar contenido de otra fuente, generalmente anuncios. Los iframes visibles son fáciles de detectar, sin embargo, la mayoría de ellos son tan pequeños (¡a veces ocupan solo un par de píxeles!) que es fácil pasarlos por alto. Abra su archivo HTML en un editor y busque etiquetas <iframe> que intenten conectarse a direcciones URL desconocidas o sospechosas. Coméntelos colocándolos dentro de etiquetas de comentarios HTML <!–. No debe detenerse allí, porque probablemente si ha manipulado archivos HTML, significa que su sitio web está definitivamente comprometido y que podría haber otros lugares donde su sitio web fue manipulado.

4. Su sitio web abre ventanas emergentes al cargar.

Esta también es una señal fácil de detectar. Su sitio web carga ventanas emergentes que claramente están fuera de lugar. Algunos de ellos, llamados pop-unders, son más insidiosos. Estos no son visibles cuando visita su sitio web, pero se cargan en segundo plano. Sin embargo, si minimiza su navegador, los verá instantáneamente y, por lo general, ocupará una gran parte de su pantalla.

Aloje su sitio web con Pressidium

GARANTÍA DE DEVOLUCIÓN DE DINERO DE 60 DÍAS

VER NUESTROS PLANES

5. Archivos PHP confusos y de aspecto extraño.

Descubrir archivos PHP que parecen aparentemente incomprensibles, como el siguiente ejemplo, es siempre una señal de advertencia definitiva de que alguien ha manipulado su sitio web:

<?php eval(“\145\166\141\154\050\142\141\163'==QfgsDdphXZgsTKog2c1xmZgszJ+QHcpJ3Yz […]

El término técnico para este tipo de archivos es "ofuscado". La ofuscación es una técnica común utilizada por los piratas informáticos para ocultar la fuente de un código generalmente malévolo o hacer que sea muy difícil de leer y comprender cuál es su función.

6. Puertas traseras, webshells, cuentas de administrador

Webshells son programas que los piratas informáticos pueden usar para conectarse de forma remota y obtener acceso administrativo completo a su sitio web. Estos programas permiten el acceso web remoto al shell de su servidor (de ahí el término webshell) para que cualquier persona que se conecte a ellos pueda ejecutar comandos. Lo más probable es que si encuentra un archivo PHP ofuscado en alguna parte, es un webshell.

Los piratas informáticos también pueden crear cuentas con derechos administrativos para usarlas como puertas traseras. Estos son relativamente fáciles de encontrar ya que están visibles en el backend de WordPress o en su base de datos.

Herramientas para ayudarlo a identificar actividades sospechosas

Hay varias herramientas que pueden ayudarte a identificar si tu sitio web ha sido manipulado. Si cree que ha sido comprometido o infectado, es una buena idea revisar su sitio web usándolos todos. De esa manera, obtendrá una visión más completa, porque no todos estos servicios verifican las mismas cosas. Todos los recursos a continuación son de uso gratuito y solo requieren que ingrese la URL de su sitio web.

En particular, si cree que está infectado con iframes maliciosos, ventanas emergentes, redireccionamientos y otras bestias de JavaScript, los siguientes sitios web le informarán de inmediato:

  1. SiteCheck de Sucuri y desenmascarar parásitos . Estos buscarán malware conocido, si su sitio web está en la lista negra y mucho más.
  2. Informe de transparencia de Google . Esto le mostrará si su sitio web se considera "peligroso para visitar" según Google.
  3. VirusTotal es un servicio gratuito que puede analizar URL y archivos para ver si contienen algún contenido malicioso.
  4. Escáner gratuito de software malicioso de sitios web en línea de PC Risk. Busca en su sitio "código malicioso, iframes ocultos, explotaciones de vulnerabilidades, archivos infectados y otras actividades sospechosas".
  5. Escáner gratuito de software malicioso de sitios web de Quttera. Busca en su sitio "scripts sospechosos, medios maliciosos y otras amenazas de seguridad web ocultas en contenido legítimo y ubicadas en sitios web". Produce un informe de seguridad, con cada hallazgo categorizado según el nivel de amenaza.

También hay varios complementos de WordPress que lo ayudan a mantener seguro su sitio de WordPress. Asegúrese de consultar también esta excelente guía de los 7 mejores complementos de seguridad de WordPress de InfoSec.

Es de suma importancia limpiar su sitio tan pronto como encuentre contenido malicioso y parchee sus vulnerabilidades. ¡Un sitio web comprometido significa interrupciones o comportamientos anormales que pueden y, en última instancia, afectarán el sustento de su negocio!