WordPress como herramienta de gestión de contenidos es muy popular ahora, los otros también que son populares, son Joomla y Drupal, por nombrar algunos, pero para que un sitio funciones, no es necesaria solamente la inclusión de contenidos buenos, y que sea lo más viral posible. Eso está bien, pero si no va acompañado de una política de seguridad, y administración de los sitios, en una forma razonable, todo se puede ir por el despeñadero en 1 2 por 3.
Todo esto es dicho, pues a la luz de algunos ataques recientes que han sufrido sitios amigos y que nos han pedido nuestra ayuda, hemos podido detectar, un poco de dejación en la administración, y también otros tipos de ataques.
Ya a los hackers, o mejor dicho delincuentes informáticos, pues los hackers al menos tienen una ética pre-establecida, les ha dado por inyectar código en las páginas web, pero no para hacer un defacement, o sea, cambiar la página para que todos vean que la seguridad era mala, sino que ahora aprovechan otras técnicas. Tratan que los usuarios, y más importante el administrador del sitio no se dé cuenta de la intrusión, para lo cual inyectan código que solo es visible para los buscadores, o mejor dicho, para los bots(crawlers o spiders), como GoogleBot(Google), Slurp(Yahoo!) y MSNBot(Bing), por decir algunos.
Pero la pregunta es que ganan ellos al hacer esto, bueno lo que ganan es dependiendo del sitio, bastante, pues si bien el usuario normal no se da cuenta de que el código esta cambiado, tiene el titulo y descripción correcta, y los vínculos (links) correctos también, contenido etc…pero el bot se lleva para indexar otra página, con otros títulos, con otros links, con otras descripciones etc…
Esto es más bien del Black Hat SEO, pues tratan de que vínculos que ya han sido aprobados por Google u otros SERP, apunten ahora a un sitio que ellos determinen, básicamente a sitios spam, así ganan tráfico, clicks en publicidad(adsense) y tal vez otros tipos de artilugios…Todo esto es por una parte, pero también podrían inyectar código para que el adsense no vaya al real propietario sino a otro, que se baje un malware que después consiga contraseñas, u otro tipo de acto que abuse de la confianza del público de un sitio ya establecido…..Y aquí el administrador no se da ni cuenta, solo ve que por extrañas razones, su tráfico ha bajado, sus ingresos por publicidad también han bajado, y que ha bajado en posiciones en palabras claves, pero el entra al sitio, ocupa por ejemplo FireBug, ve el HTML, pero todo sigue igual, tiene los mismo vínculos etc, no hay nada que diga que hay algo malo…..
Pero si el hace en Google site:www.urldelsitio.com, vera algunas porciones de páginas que están indexadas en Google, o si podría ver en el Webmaster Tools vería que hay palabras claves que antes no estaban, por ejemplo, palabras Spam, como Buy Viagra, y todo tipo de palabras de medicamentos, así también lo vería en el resultado de site: pues ahí daría los indexados por Google, y los títulos y descripciones no calzan con los que deberían estar, wow, tenemos un problema…
¿Cómo saber si tenemos un problema?
Primero , en Google poner site:www.tusitio.com, y ver que los títulos y descripciones sean las mismas, después revisar el webmaster tools y que no te aparezcan palabras extrañas, y después ver la página web como un bot lo hace, no con un browser, sino como un Bot..
Por ejemplo para verla con GoogleBot, utilizamos el comando de Linux, WGET:
% wget -U googlebot -O salida.html http://www.edreams.cl/
%vim salida.html
Y revisamos que el html de salida.html, sea tal cual como el que ves con Firebug…
Sino es así, te inyectaron lo más probable….
Recomendaciones:
1.- Actualizar WordPress a su última versión
2.- Ver en la base de datos que no haya un usuario extraño, como wordpress
3.- Revisar el wp-blog-header.php, y si este está con algo que empiece asi: eval(gzuncompress(base64_decode(‘eF6FVE1vwjAM/Ss7TCpI01RaYERTD3CgCAETndavaUJtUmAsZY en php, borrarlo, pues es una linea bien grande.
4.- Poner los permisos de cada archivo php a 644, chmod 644 *.php
5.- Ver bien que el wp-content tenga 755 de permisos…
6. Revisar el .htaccess, no solo en la raíz, sino que si existe otro…
7.- Aveces los que inyectan, utilizan no el template que instalaste, sino el classic, y ahí cambian todo, por eso revisar el .htaccess y ver a donde apunta, y el wp-blog-header.php
8.- Sería mejor tener todo respaldado y hacer una instalación limpia
Cualquier cometario se agradece, y si tienen un sitio hackeado, díganlo nomas, para ver si podemos ayudar.
NT: Un sitio que vemos con este problema es: http://www.freeexpression.org/
Si hacemos una vista de fuente desde html vemos este título y descripción:
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″ />
<title> Free Expression Network</title>
Pero si vemos con wget –U GoogleBot –O tt.html; head –n 50 tt.html;rm tt.html
Nos da esto:
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″ />
<title>Viagra For Sale – FDA Approved Pharmacy</title>
Dos títulos diferentes, uno para el browser, y otro para el bot de Google, y si vemos con site: www.freeexpression.org
, le escribí a la persona del sitio diciéndole el problema, espero que lea el mail eso si.
Saludos
Post Relacionado:
- Seguridad Informática : Seguridad en Redes I.-) “La seguridad consiste en forma simple en una estrategia...
- Hack a Twitter Algo más embarazoso para Twitter fue rebelado por TechCrunch, la...
{ 8 comments… read them below or add one }
WordPress sin spam gracias a la nueva aplicación gratuita de BitDefender
Casi 8 de cada 10 comentarios en blog son spam
Por eso BitDefender lanza un plugin gratuito que protege contra el spam, el phishing y las URL maliciosas en wordpress http://4blogs.bitdefender.com/index.html
Santiago, 17 de diciembre de 2010 –BitDefender, galardonado proveedor de soluciones de seguridad para Internet, ha lanzado un plugin gratuito para blogs basados en wordpress que permitirá a los usuarios de esta plataforma evitar el spam en los comentarios de su blog.
Hoy en día casi 8 de cada 10 comentarios en blogs son spam. Muchos de ellos, además, incluyen links a páginas que contienen malware o que suplantan la identidad de un organismo público o privado (phishing) para hacerse con datos de los usuarios como número de cuenta bancaria, contraseñas, email, etc.
Por eso, este nuevo plugin gratuito de BitDefender protege también contra los comentarios que incluyen links maliciosos, impidiendo que los usuarios del blog o su propietario sean víctimas de una estafa o de una infección por malware.
De momento este plugin sólo está disponible para Wordpress, pero BitDefender planea adaptarlo para otras plataformas de blogs.
Los usuarios que deseen instalar este plugin pueden hacerlo desde esta web http://4blogs.bitdefender.com/index.html
Puede seguir la actualidad sobre seguridad informática en el Facebook de BitDefender en su Twitter y en su nuevo blog en español Malware City
Sobre BitDefender:
BitDefender es la compañía fabricante de una de las líneas de software de seguridad más rápidas y efectivas de la industria certificada internacionalmente. Desde sus inicios en 2001, BitDefender ha ido incrementando y creando paulatinamente nuevos estándares de seguridad en cuanto a la prevención proactiva de amenazas se refiere. Cada día, BitDefender protege a decenas de millones de usuarios tanto en el ámbito doméstico como en el empresarial en todo el mundo – proporcionándoles la tranquilidad de saber que sus experiencias digitales se realizan de manera segura. Las soluciones BitDefender se distribuyen a través de una red global de distribuidores de valor añadido en más de 100 países de todo el mundo. Para más información sobre BitDefender y sus soluciones de seguridad, visite la página web de la compañía: http://www.bitdefender.es. Además, el portal de seguridad creado por BitDefender http://www.malwarecity.com, ofrece información actualizada sobre las amenazas! de seguridad y que ayudarán al usuario a estar al día en su batalla diaria frente al malware.
Este hack puede afectar blogs de worpress.com? Sucede que aveces noto urls extrañas cuando ingreso al Google webmaster tool…
Saludos
CAD
Votar a Favor o en Contra:
0 
0
Hola Cristian, no es factible , te revisaremos la URL, pero a simple inspección salen datos parejos. Es más a lo que se refería el post era a la versión NO MU, pero tú estas con MU.
Saludos Cordiales
E
Hola, hace un mes m hackearon mi wordprees al regresar de la escuela entre y me salia otro index osea no mi web, era algo de sb team hack y imajenesde arabes muertos etc la vdd jaja me espante..la vdd no se como le hicieron..si ubieranobtenido mi pass de usuario me ubieran borrado todo mas..mi base de datos estaba con mis usuarios y mis post osea accsesaba facil al escritorio la vdd creo fue ftp, al entrar al ftp observe que el index.php pues era su pagina no se como la pusieron ahi..ahor stoy a punto de sacar mi nuevo wp pero quiero protegerme..algo que me recomienden?
Votar a Favor o en Contra:
0 
0
Hola Cristian, con el poco detalle que das, es poco lo que te podemos decir, pero si, ve bien lo que son los permisos de archivos, en Linux van de la siguiente forma:
-rwxrwxrwx, eso seria de un archivo, con permisos 777, r= 4 , w= 2 , x=1, r = Lectura(Read), w=escritura(write), x=ejecución(execute), y se dividen de la siguiente forma, el primero dice si es archivo, link simbólico , carpeta, etc, si sale con – es solo archivo, después vienen los primeros 3, que serían para el dueño del archivo, los segundos 3 para el grupo que pertenece el dueño, y los últimos 3 para todos los otros. Entonces si tenemos el siguiente archivo:
-rwxr–r– dueño grupo index.php , ahi tendría permiso 744, o sea , el propietario puede leer, escribir el archivo y ejecutarlo, el grupo del dueño solo leerlo, y todos los otros solo leerlo….Haz un ls -la para ver también los archivos ocultos como los que empiezan con . , como el .htaccess, pues ese no debe tener muchos permisos. Lo importante es actualizar periódicamente el WP, pues siempre se encuentran nuevos bugs, el FTP es una forma, pero muy fácil de saltar, lo otro es que si tienes acceso a SSH, utilices SCP como FTP pero encriptado, si tienes permisos a modificar el IPTABLES, puedes colocarle una regla que solo te deje accesar a ti, un bloque o segmento de IP que te corresponda, más el localhost(127.0.0.1), lo otro también es poner una Password segura, y cambiarla de tiempo en tiempo…..Bueno, si tienes más dudas sobre el particular y con más info no dudes en consultar….
Saludos
E
Hola de nuevo , ok si tengo algo visto de los permisos la vdd no le e movido hasta no estar 100% seguro, el punto es que en mi blog tengo como predifinido usuarios coloboradores para que suban su post, ademas como el boton de fb conecct para entrar con su facebook y no se si cambio permisos como mencionas en
( 4.- Poner los permisos de cada archivo php a 644, chmod 644 *.php ) me valla a afectar la vdd esque tengo todo estructurado y no quiero que falle tu sabes mucho trabajo me a costado pero dime cres tu que afecte amis usuarios etc? uso filezilla FTP para navegar en mi “host” y click derecho sale el cambio de permisos.
Votar a Favor o en Contra:
0 
0
Bueno, si puedes ponerlo en 644 a los .php, como referencia ten esto:
Nombre Ubicación Permiso
Directorio raíz ./ 755
Directorio de includes ./wp-includes/ 755
.htaccess ./.htaccess 644
Administración ./wp-admin/index.php 644
Scripts JavaScript administración ./wp-admin/js/ 755
Temas ./wp-content/themes 755
Plugins ./wp-content/plugins 755
Directorio administración ./wp-admin 755
Directorio de contenido ./wp-content/ 755
Eso si, depende de quien es el dueño , grupo y otros, pero con esos permisos estaría bien……Eso si guarda todos tus cambios antes de, un backup no es malo…..Y siempre puedes hacer un Undo/Redo después. Por lo que dices, solo tienes acceso a FTP, bueno también se puede con el click derecho…..pero si fueras por linea de comando haces un chmod 644 -R *.php, el -R es para que sea recursivo, cambiando los permisos de archivos más internos…..Si ves bien los directorios utilizan el 755, o sea drwxr-xr-x, pues para navegar por un directorio se necesita el permiso de ejecución, no así en el .php….
Saludos
E
Muchas gracias , ahora mismo lo hago, y antes un backup despues probare que todo funcione bien y ora si lo promociono
gracias! estare mas seguro pff..
Votar a Favor o en Contra:
0 
0