Páginas Web Infectadas Por Hackers
Un grupo de hackers están destrozando millones de sitios web realizados con WordPress aprovechando algunas vulnerabilidades en plugins de WordPress, creando cuentas de administradores falsas, suplantando la identidad de usuarios e instalando virus y otro tipo de software malicioso en los sitios web.
Más de 60 millones de sitios web atacados por un grupo de Hackers
El número de plugins detectados por el momento que presentan esas vulnerabilidades son más de 10, la mayoría de esos plugins son de los más utilizados por los diseñadores y desarrolladores web con WordPress.
Los ataques empezaron hace un mes aproximadamente y han ido en aumento, hasta afectar a día de hoy a más de 60 millones de sitios web. El ataque ha sido realizado a través de vulnerabilidades de algunos plugins en los cuales se instalaba un código malicioso que mostraba anuncios con ventanas emergentes o redirigiendo a los visitantes a otros sitios web.
El grupo de hackers que han llevado a cabo esta actuación, modificaron el código malicioso el día 20 de Agosto para infectar más sitios web.
Este cambio de código, no sólo mostraba anuncios emergentes y redirecciones, sino que ahora era capaz de comprobar si el visitante de la página web tenía privilegios de administrador para crear nuevas cuentas de usuario y de ser así, éste creaba nuevas cuentas de usuario de forma automática.
¿Cómo infectaban los sitios web?
El código malicioso esperaba que el “webmaster” accediera a la web y era entonces cuando éste empezaba a actuar, creando una nueva cuenta de usuario con privilegios de administrador llamada “wpservices”. Estaban utilizando el correo electrónico “wpservices@yandex.com” y la contraseña “w0rdpr3ss” para crear ese nuevo perfil no autorizado.
Al tener acceso a la web, los hackers podían entrar a la web por puertas traseras (backdoors), creando un sistema de acceso para insertar anuncios y de este modo, monetizar y generar sus ganancias.
Algunos de los plugins afectados son:
- Bold Page Builder
- Blog Designer
- Live Chat with Facebook Messenger
- Yuzo Related Posts
- Visual CSS Style Editor
- WP Live Chat Support
- Form Lightbox
- Hybrid Composer
Estos son algunos de los plugins más afectados, pero hay algunos más, pendientes de confirmar.
Algunos plugins que han sufrido ataques son aquellos que han sido “crackeados” para poder utilizarlos sin su respectiva licencia. Al ser plugins “piratas” no disponen de actualizaciones y por lo tanto, de ningún tipo de protección o soporte ante estas vulnerabilidades.
Algunos diseñadores y desarrolladores web hacen uso de este tipo de plugins sin licencias y se están viendo en serios problemas con sus clientes.
¿Qué hacer si tengo alguno de estos plugins?
Lo primero que debes hacer es actualizar los plugins a la mayor brevedad para protegerte de estos posibles ataques.
¿Cómo puedo comprobar si he sufrido un ataque en mi wordpress?
En primer lugar, entra en tu sitio web (WordPress) y comprueba los usuarios que hay registrados. Si aparece “wpservices” o algún usuario que no reconoces, elimínalo.
Ese sería el primer paso, ya que a pesar de actualizar los plugins, si ya tienen acceso a tu web, no serviría de nada, porque han dejado una puerta trasera abierta.
¿Cómo eliminar el ataque a mi sitio web?
Seguramente, a más de un profesional del posicionamiento web, le habrá saltado una advertencia en Google Search Console, avisando que una determinada URL está bloqueada por contenido o software malicioso.
Eso significa que la URL mostrará un aviso en pantalla informando al navegante de que el sitio web al que intenta acceder es potencialmente peligroso.
Los pasos a seguir serán los siguientes:
Accede al sitio web infectado, busca si hay algún usuario no autorizado o sospechoso y procede a su eliminación.
A continuación, debes actualizar todos los plugins que tenga instalado el sitio web.
Instala algún antivirus en tu sitio web y verifica que todo está en orden.
“”””El código malicioso se va expandiendo poco a poco, infectando algunos archivos como son “cache-ssl-index.html””””
El en primer escaneo del antivirus es posible que no detecte ninguna amenaza. Espera 15-30 minutos y vuelve a verificar. Si no aparece ninguna advertencia en el antivirus puede que tu sitio está a salvo.
En caso de que el antivirus detecte software malicioso tienes que realizar las siguientes acciones:
Restaura una copia de seguridad del sitio web con fecha anterior a la infección (Google Search Console te informará cuando detectó el código malicioso).
Desactiva y elimina todos los plugins que tengas en tu wordpress.
Vuelve a instalar los plugins que necesites y actualízalos.
Además de estas recomendaciones, debes instalar algún antivirus y firewall en tu wordpress, así como un sistema de “login” más seguro.
Esperemos que nuestro artículo de “Páginas web infectadas por hackers” haya sido informativo para ti.