Wordpress como herramienta de gestión de contenidos es muy popular ahora, los otros también que son populares, son Joomla y Drupal, por nombrar algunos, pero para que un sitio funciones, no es necesaria solamente la inclusión de contenidos buenos, y que sea lo más viral posible. Eso está bien, pero si no va acompañado de una política de seguridad, y administración de los sitios, en una forma razonable, todo se puede ir por el despeñadero en 1 2 por 3.
Todo esto es dicho, pues a la luz de algunos ataques recientes que han sufrido sitios amigos y que nos han pedido nuestra ayuda, hemos podido detectar, un poco de dejación en la administración, y también otros tipos de ataques.
Ya a los hackers, o mejor dicho delincuentes informáticos, pues los hackers al menos tienen una ética pre-establecida, les ha dado por inyectar código en las páginas web, pero no para hacer un defacement, o sea, cambiar la página para que todos vean que la seguridad era mala, sino que ahora aprovechan otras técnicas. Tratan que los usuarios, y más importante el administrador del sitio no se dé cuenta de la intrusión, para lo cual inyectan código que solo es visible para los buscadores, o mejor dicho, para los bots(crawlers o spiders), como GoogleBot(Google), Slurp(Yahoo!) y MSNBot(Bing), por decir algunos.
Pero la pregunta es que ganan ellos al hacer esto, bueno lo que ganan es dependiendo del sitio, bastante, pues si bien el usuario normal no se da cuenta de que el código esta cambiado, tiene el titulo y descripción correcta, y los vínculos (links) correctos también, contenido etc…pero el bot se lleva para indexar otra página, con otros títulos, con otros links, con otras descripciones etc…
Esto es más bien del Black Hat SEO, pues tratan de que vínculos que ya han sido aprobados por Google u otros SERP, apunten ahora a un sitio que ellos determinen, básicamente a sitios spam, así ganan tráfico, clicks en publicidad(adsense) y tal vez otros tipos de artilugios…Todo esto es por una parte, pero también podrían inyectar código para que el adsense no vaya al real propietario sino a otro, que se baje un malware que después consiga contraseñas, u otro tipo de acto que abuse de la confianza del público de un sitio ya establecido…..Y aquí el administrador no se da ni cuenta, solo ve que por extrañas razones, su tráfico ha bajado, sus ingresos por publicidad también han bajado, y que ha bajado en posiciones en palabras claves, pero el entra al sitio, ocupa por ejemplo FireBug, ve el HTML, pero todo sigue igual, tiene los mismo vínculos etc, no hay nada que diga que hay algo malo…..
Pero si el hace en Google site:www.urldelsitio.com, vera algunas porciones de páginas que están indexadas en Google, o si podría ver en el Webmaster Tools vería que hay palabras claves que antes no estaban, por ejemplo, palabras Spam, como Buy Viagra, y todo tipo de palabras de medicamentos, así también lo vería en el resultado de site: pues ahí daría los indexados por Google, y los títulos y descripciones no calzan con los que deberían estar, wow, tenemos un problema…
¿Cómo saber si tenemos un problema?
Primero , en Google poner site:www.tusitio.com, y ver que los títulos y descripciones sean las mismas, después revisar el webmaster tools y que no te aparezcan palabras extrañas, y después ver la página web como un bot lo hace, no con un browser, sino como un Bot..
Por ejemplo para verla con GoogleBot, utilizamos el comando de Linux, WGET:
% wget -U googlebot -O salida.html http://www.edreams.cl/
%vim salida.html
Y revisamos que el html de salida.html, sea tal cual como el que ves con Firebug…
Sino es así, te inyectaron lo más probable….
Recomendaciones:
1.- Actualizar Wordpress a su última versión
2.- Ver en la base de datos que no haya un usuario extraño, como wordpress
3.- Revisar el wp-blog-header.php, y si este está con algo que empiece asi: eval(gzuncompress(base64_decode(‘eF6FVE1vwjAM/Ss7TCpI01RaYERTD3CgCAETndavaUJtUmAsZY en php, borrarlo, pues es una linea bien grande.
4.- Poner los permisos de cada archivo php a 644, chmod 644 *.php
5.- Ver bien que el wp-content tenga 755 de permisos…
6. Revisar el .htaccess, no solo en la raíz, sino que si existe otro…
7.- Aveces los que inyectan, utilizan no el template que instalaste, sino el classic, y ahí cambian todo, por eso revisar el .htaccess y ver a donde apunta, y el wp-blog-header.php
8.- Sería mejor tener todo respaldado y hacer una instalación limpia
Cualquier cometario se agradece, y si tienen un sitio hackeado, díganlo nomas, para ver si podemos ayudar.
NT: Un sitio que vemos con este problema es: http://www.freeexpression.org/
Si hacemos una vista de fuente desde html vemos este título y descripción:
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″ />
<title> Free Expression Network</title>
Pero si vemos con wget –U GoogleBot –O tt.html; head –n 50 tt.html;rm tt.html
Nos da esto:
<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=UTF-8″ />
<title>Viagra For Sale – FDA Approved Pharmacy</title>
Dos títulos diferentes, uno para el browser, y otro para el bot de Google, y si vemos con site: www.freeexpression.org
, le escribí a la persona del sitio diciéndole el problema, espero que lea el mail eso si.
Saludos
