WordPress lleva más de un mes sufriendo un ataque organizado por una serie de hackers, sin embargo desde hace dos semanas éste ha evolucionando convirtiéndose en mucho más peligroso.
En un primer momento, tal y como informaron desde Wordfence, el ataque seguía una rutina bastante habitual. Se insertaba, aprovechando una vulnerabilidad XSS (Cross-site Scripting) en un determinado plugin, un script, que se ejecutaba cuando se visitaba el sitio infectado en cuestión, mostrándose anuncios, mediante mensajes emergentes maliciosos, o directamente redirigiéndonos a otros sitios con los mismo fines espurios.
Los plugins en los que se han detectado vulnerabilidades que son aprovechadas para insertar este código malicioso, son de momento:
- Bold Page Buider
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
Pero desde hace dos semanas la misma compañía Wordfence ha detectado que este código inyectado a través por este grupo de hackers aprovechando las vulnerabilidades conocidas en los plugins antes mencionados, ha cambiado y se ha vuelto mucho más peligroso. Este nuevo código sería inyectado en el sitio infectado y permanecería en espera hasta que un usuario registrado con el rol de administración se logueara para acceder al mismo. En ese instante, aprovechando las credenciales de administrador de este usuario, el código se ejecutaría para crear una nueva cuenta de administración con el nombre wpservices. Esta nueva cuenta puede ser usada con diversos fines, desde la explotación económica, robo de información, o simplemente establecer back doors para cualquier otro fin, ninguno de ellos bueno.
Todos los plugins que hemos mencionado han publicado actualizaciones que solucionan las vulnerabilidades aprovechadas por estos amigos de lo ajeno, por lo que, el primer paso para solucionar una posible afectación consistiría en actualizar a las últimas versiones publicadas de los mismos. A continuación debemos buscar si existe un usuarios registrado con permisos de administración que se llame wpservices o, en general, cualquier otros usuario con este rol que no hayamos creado nosotros, y eliminarlo inmediatamente.
Por último, recuerda, la mejor manera de proteger nuestra instalación WordPress es mantener la herramienta actualizada así como todos los plugins que estemos utilizando, instalar plugins de confianza y no olvidar borrar todos aquellos que no utilicemos. Y ante cualquier sospecha, ponernos en contacto con un profesional si creemos que nuestro sitio se encuentra en peligro.