viernes, 1 de marzo de 2024

WordPress pirateado: qué hacer cuando su sitio se ve comprometido

 


Bien, tu sitio de WordPress está pirateado. ¿Ahora que? Las preguntas que recibimos con frecuencia de los nuevos usuarios son: "¿Por qué piratearon mi sitio de WordPress?" y "¿Qué debo hacer después de un hack de WordPress?"

Por supuesto, estas son preguntas razonables; Es extremadamente frustrante descubrir que su sitio se ha visto comprometido y necesita abordar una infección de malware o aumentar los controles de seguridad. Seguramente querrás entender por qué y cómo lidiar rápidamente con tu sitio de WordPress pirateado.

Sin embargo, si bien todos los sitios web son susceptibles a ataques, ciertos errores podrían aumentar la vulnerabilidad de su sitio web. En esta publicación, profundizaremos en algunas de las razones principales por las que WordPress es pirateado y cómo sucede. También cubriremos algunas señales de alerta y signos comunes de un entorno de WordPress pirateado, y qué hacer si su WordPress fue pirateado. Esto le ayudará a reconocer posibles errores, recuperarse eficazmente de un ataque y tomar medidas para proteger su sitio de futuros atacantes.

¿Por qué se piratea WordPress?

WordPress impulsa más del 43% de todos los sitios web de la web, lo que se traduce en cientos de millones de sitios web en todo el mundo. Esta popularidad lo convierte en un objetivo principal para los piratas informáticos, en particular los sitios web que no están bien protegidos o contienen vulnerabilidades de software conocidas.

Dicho esto, debemos hacer una distinción importante: WordPress no es la única plataforma CMS atacada por los piratas informáticos . De hecho, en distintos grados, todos los sitios web de Internet son propensos a intentos de piratería.

Comprender el motivo del hacker

Los piratas informáticos tienen una amplia gama de motivaciones para sus actividades ilícitas. Algunos son simplemente novatos que están aprendiendo a explotar sitios menos seguros. Otros pueden tener intenciones más nefastas, como distribuir malware , lanzar ataques a otros sitios web, enviar spam o utilizar dominios comprometidos para SEO de sombrero negro .

Algunos atacantes se centran en robar datos confidenciales, como información personal, números de tarjetas de crédito o credenciales de inicio de sesión. Estos pueden venderse en la web oscura o utilizarse para cometer fraude y robo de identidad. Otros pueden simplemente estar buscando interrumpir los servicios o hacer una declaración política .

Sin embargo, es importante tener en cuenta que no todos los piratas informáticos están motivados por ganancias ilícitas o intenciones maliciosas. Algunos piratas informáticos, a menudo denominados piratas informáticos de “sombrero blanco”, explotan las vulnerabilidades para exponerlas y ayudar a mejorar la seguridad del sistema.

Independientemente del motivo, el resultado de un hack casi siempre es perjudicial para el propietario del sitio web. Puede provocar pérdida de datos, problemas de reputación e incluso consecuencias legales si la información confidencial del cliente se ve comprometida.

Razones clave por las que WordPress es pirateado

Ahora que entendemos las motivaciones detrás de un hack, echemos un vistazo a algunas de las razones clave por las que WordPress es hackeado .

  1. Núcleo, complementos y temas de WordPress sin parches
  2. Contraseñas y nombres de usuario débiles
  3. Paneles de administración de WordPress desprotegidos
  4. Aislamiento inadecuado en entornos de servidores compartidos
  5. Acceso sin restricciones a wp-config

Repasemos estas razones con más detalle.

1. Núcleo, complementos y temas de WordPress sin parches

El CMS principal de WordPress es seguro , pero solo si lo mantiene en la última versión y lo configura correctamente.

Dado que el código base es de acceso público, cualquiera puede revisar y analizar el código fuente. Y cada vez que la comunidad de código abierto informa sobre un error o un problema de seguridad, los desarrolladores actualizan el núcleo de WordPress para solucionar el problema .

Sin embargo, estas actualizaciones no se aplican a sus componentes extensibles como complementos y temas. Deberá parchear cada pieza de software individualmente (y periódicamente) para mitigar el riesgo.

No actualizar el software y los componentes de WordPress puede dejar su sitio expuesto a problemas conocidos. Para proteger su entorno y mitigar el riesgo, es fundamental actualizar su núcleo de WordPress (junto con todos sus complementos y temas) tan pronto como esté disponible un nuevo parche.

Los piratas informáticos suelen utilizar herramientas automatizadas para encontrar y atacar rápidamente sitios web con vulnerabilidades conocidas, por lo que es importante actuar rápidamente cuando se trata de actualizaciones de software.

Actualice los complementos en WordPress para parchear vulnerabilidades de software conocidas.
Actualice los complementos en su panel de WordPress: Panel > Actualizaciones > Complementos

Si no tiene habilitadas las actualizaciones automáticas de complementos y temas , puede actualizar manualmente los complementos en su panel de WordPress desde la siguiente ubicación: Panel > Actualizaciones > Complementos

2. Contraseñas y nombres de usuario débiles

Las contraseñas son la primera línea de defensa de su sitio de WordPress. Las herramientas automatizadas pueden descifrar fácilmente una contraseña débil, dando a un atacante acceso no autorizado a sus publicaciones, páginas, archivos y bases de datos.

Por eso es tan esencial utilizar contraseñas únicas y seguras para todas sus cuentas, incluidas:

  • cuenta de administrador de WordPress
  • Cuenta del panel de control de alojamiento web
  • cuentas ftp
  • bases de datos mysql
  • Cuentas de correo electrónico utilizadas para la administración y el alojamiento de WordPress

Recomendamos crear contraseñas únicas con una combinación de letras, números y caracteres especiales (al menos 12 caracteres). Los generadores de contraseñas pueden facilitar la creación rápida de nuevas credenciales únicas para sus cuentas.

Cree contraseñas seguras y únicas con un generador de contraseñas
Genere rápidamente contraseñas complejas con entropía.

Además, manténgase alejado de los nombres de usuario de administrador predeterminados; Solo toma un segundo cambiar el administrador a algo único y hace que sea mucho más difícil adivinar las credenciales de su cuenta.

3. Paneles de administración de WordPress desprotegidos

El área de administración de WordPress y las páginas de inicio de sesión predeterminadas /wp-login.php y /wp-admin son una de las áreas de WordPress a las que más frecuentemente se dirige. Dado que es donde puedes controlar todos los aspectos de tu sitio web, también es donde los piratas informáticos pueden causar el mayor daño.

Proteja su administrador de WordPress y sus páginas de inicio de sesión de ataques de fuerza bruta

De forma predeterminada, WordPress no limita la cantidad de intentos fallidos de inicio de sesión (ni contiene ningún sistema 2FA nativo ), lo que lo hace particularmente vulnerable a ataques de fuerza bruta .

Proteja su sitio de WordPress agregando capas de autenticación y restringiendo el acceso no autorizado a páginas confidenciales como wp-login y wp-admin .

El firewall de Sucuri facilita la implementación de páginas protegidas en su sitio web y brinda opciones de protección con contraseña, 2FA, captcha y restricciones de dirección IP.

2FA para administrador y páginas protegidas con el firewall Sucuri.
2FA con el cortafuegos Sucuri.

¡Comuníquese con nuestro equipo experimentado las 24 horas del día, los 7 días de la semana para obtener ayuda con la configuración si necesita ayuda!

4. Aislamiento inadecuado en entornos de servidores compartidos

Tratamos con muchos clientes nuevos que tienen "servidores de comedor social". Se trata de servidores web con una gran cantidad de sitios web, instalaciones y configuraciones, todos agrupados en el mismo entorno.

El problema con estos entornos es que un único sitio web comprometido puede infectar a todos los demás en la cuenta o servidor compartido, lo que genera contaminación entre sitios .

Puede ayudar a prevenir este problema utilizando instancias de cPanel separadas para cada sitio web y configurando un entorno VPS seguro con PHP-FPM para alojar múltiples sitios.

5. Acceso sin restricciones a wp-config

El archivo wp-config.php es una parte integral de su sitio web de WordPress. Este archivo principal es responsable de ejecutar su sitio y alberga configuraciones importantes, como detalles de ubicación de la base de datos, credenciales de inicio de sesión y opciones avanzadas para elementos de la base de datos, claves de seguridad y desarrolladores.

Si eres nuevo en WordPress, es fundamental comenzar restringiendo el acceso a este archivo. Una forma de hacerlo es moviendo su archivo wp-config un nivel de directorio por encima de la carpeta raíz, haciéndolo inaccesible a Internet. Si el archivo no se encuentra en la carpeta raíz, WordPress lo buscará automáticamente en el directorio encima de la raíz.

Para aquellos cuyos servidores usan .htaccess : pueden restringir aún más el acceso agregando una regla para negar a cualquiera que lo busque.

Las directivas para Apache 2.4 son las siguientes:

<FilesMatch "wp-config\.php"> 
Requerir todo denegado 
</FilesMatch">

Sales y claves

El archivo wp-config incluye una sección dedicada a sales y claves que aumentan la seguridad de las cookies y contraseñas en tránsito entre su navegador y el servidor web.

Puede configurar sus sales y claves agregando o editando estas líneas después de las otras declaraciones de definición:

define('AUTH_KEY', ' incluye sal aquí ');

define('SECURE_AUTH_KEY', ' incluye sal aquí ');

define('LOGGED_IN_KEY', ' incluye sal aquí ');

define('NONCE_KEY', ' incluye sal aquí ');

Establecer permisos de archivos

Dado que el archivo wp-config.php contiene información altamente confidencial, es esencial configurar los permisos del archivo para evitar el acceso o modificación no autorizados.

Un nivel de permiso de 600 debería ser suficiente, pero puedes empezar con 400 y escalar según sea necesario. Comience siempre con la configuración menos permisiva y solo aumente los permisos cuando sea necesario. Nunca establezca permisos en 777 a menos que sea un experto o tenga una excelente razón.

Deshabilitar instaladores de complementos y temas

Wp-config también puede definir información vital sobre complementos y temas de WordPress. Por ejemplo, puede deshabilitar los editores o instaladores de archivos de temas y complementos agregando las siguientes líneas a su archivo wp-config :

define (  ' DISALLOW_FILE_EDIT ' ,  verdadero  ) ;  //deshabilita el editor de archivos
 define (  ' DISALLOW_FILE_MODS ' ,  true  ) ;  //deshabilita tanto el editor de archivos como el instalador

Tenga en cuenta que esto también bloqueará las actualizaciones de complementos. Aún puedes actualizar complementos y temas usando WP-CLI o manualmente a través de sFTP.

Disallow_file_edit y disallow_file_mods

Los atacantes suelen aprovechar los instaladores de temas y complementos para instalar puertas traseras. Por lo tanto, este simple paso puede hacer que les resulte más difícil crear complementos falsos para el acceso no autorizado.

¿Cuáles son los signos de un sitio de WordPress pirateado?

¿Crees que tu sitio de WordPress se comporta de manera extraña pero no estás muy seguro de si fue pirateado? Echemos un vistazo a algunas de las señales de alerta y señales de advertencia más comunes de un sitio web de WordPress pirateado:

  • No puedo iniciar sesión en el panel de WordPress.
  • Hay contenido nuevo o páginas estáticas en su sitio.
  • Las advertencias del navegador aparecen cuando navega a su sitio.
  • Los visitantes son redirigidos inesperadamente a otros sitios web.
  • Los resultados de búsqueda de Google muestran advertencias para su sitio de WordPress.
  • El proveedor de alojamiento de su sitio de WordPress advierte sobre actividad inusual.
  • Un complemento de seguridad le advierte sobre cambios inesperados, inicios de sesión, nuevos usuarios o detecciones de malware.

No puedo iniciar sesión en el panel de WordPress

¿No puedes iniciar sesión en tu panel de WordPress? Bueno, no tiene sentido asumir que has sido hackeado todavía. Antes de que entre en pánico, intente restablecer su contraseña de manera simple para descartar el hecho de que haya olvidado su contraseña.

Página de inicio de sesión de WordPress para acceder al panel
Haga clic en ¿Perdiste tu contraseña? en la parte inferior del inicio de sesión de WordPress para restablecer su contraseña.

Si el restablecimiento de contraseña no funciona o no recibe el correo electrónico de restablecimiento, entonces esto es una señal de alerta de que algo inusual puede haber ocurrido y justifica una mayor investigación.

Nuestros analistas de seguridad a menudo descubren que los atacantes eliminan el usuario administrador de WordPress o cambian las contraseñas de los usuarios para impedir el acceso una vez que piratean el sitio. Por lo tanto, si no puede restablecer su contraseña y cree que su cuenta fue eliminada o manipulada, esta es una señal definitiva de un sitio de WordPress pirateado.

Hay contenido nuevo o páginas estáticas en su sitio

En algunos casos, los piratas informáticos comprometen un sitio web para desfigurarlo o inyectarle contenido de spam SEO . Pero tiene sentido consultar con otros editores y administradores de sitios web antes de asumir abiertamente que se trata de un truco.

Si encuentra contenido o páginas nuevas e inesperadas en su sitio web y está seguro de que usted (u otro usuario legítimo del sitio web) no las colocó allí, es probable que su sitio esté comprometido y tendrá que investigar un poco más.

El contenido nuevo tampoco significa solo párrafos completos de texto: a veces los atacantes intentarán ocultar texto no deseado en divs ocultos o inyectarán enlaces a sitios web no deseados en las páginas de su sitio web existente. En otros casos, generarán páginas completamente nuevas en su sitio web.

Ejemplo de palabras clave spam inyectadas en el título y las metaetiquetas del sitio web. 
Ejemplo de palabras clave spam inyectadas en el título y las metaetiquetas de un sitio web.

Por lo tanto, si acaba de encontrar algunas palabras clave, contenido, enlaces u otros signos extraños de spam como spam, querrá escanear y verificar su sitio en busca de malware.

Las advertencias del navegador aparecen cuando navega a su sitio

Para proteger a los usuarios, los navegadores web modernos utilizan procesos automatizados para detectar malware en sitios web. Se recopilan y agregan datos de una amplia gama de fuentes para ayudar a encontrar sitios web que puedan ser perjudiciales para los visitantes del sitio web.

Entonces, si un navegador como Chrome, Firefox o Edge detecta malware en su sitio web, emitirá una advertencia para ayudar a evitar que los visitantes naveguen al sitio web hasta que se solucione el problema. Sin duda, esto es una señal de un ataque y debe investigarse más a fondo.

Advertencia del navegador "Visitar este sitio web puede dañar su computadora" en FireFox.
Advertencia del navegador "Visitar este sitio web puede dañar su computadora" en FireFox.

En la mayoría de los casos, la advertencia del navegador probablemente contendrá información sobre cómo diagnosticar o resolver el problema. Pero seguramente querrás tomar medidas para  encontrar y solucionar el hack en tu sitio de WordPress.

Los visitantes son redirigidos inesperadamente a otros sitios web

Se sabe que los piratas informáticos añaden scripts de redireccionamiento a sitios web comprometidos para monetizar el tráfico a sitios de spam de terceros, engañar a las víctimas para que carguen e instalen actualizaciones falsas del navegador o incluso distribuyan malware.

Los scripts que ejecutan redireccionamientos maliciosos pueden estar ocultos en cualquier lugar de un sitio web. Los hemos visto en bases de datos donde diferencian entre tráfico real y robots de motores de búsqueda, y luego envían tráfico legítimo a una descarga de malware.

La redirección maliciosa se activó desde la página de resultados de un motor de búsqueda, no dentro del sitio web infectado. Un clic y ¡zas!, el malware comienza a descargarse.

Por lo tanto, si su sitio web lo redirige a usted o a los visitantes del sitio web a sitios web extraños e inesperados, esto definitivamente es una señal de un hack. Querrá buscar malware inyectado lo antes posible.

Detección de SocGholish en Sucuri SiteCheck
Una detección de SocGholish inyectada vista en los resultados del análisis de Sucuri SiteCheck.

Los resultados de búsqueda de Google muestran advertencias para su sitio de WordPress

Al igual que los navegadores web, los motores de búsqueda como Google también tienen un gran interés en proteger a los usuarios. Entonces, si los algoritmos y rastreadores de Google detectan que hay código malicioso en su sitio de WordPress, emitirán una advertencia "Este sitio puede haber sido pirateado" como esta:

Ejemplo de que este sitio puede haber sido pirateado, advertencia de búsqueda de Google
Ejemplo de advertencia "Este sitio puede haber sido pirateado" en los resultados de búsqueda.

Google es bastante preciso cuando se trata de detectar infecciones de malware en sitios web. Si ve esta advertencia para su sitio en los resultados de búsqueda, es una señal creíble de que su sitio de WordPress fue pirateado.

El proveedor de alojamiento de su sitio de WordPress advierte sobre actividad inusual

Su proveedor de alojamiento se comunicará con usted si detecta una amplia gama de problemas, que incluyen, entre otros:

  • Infección de malware
  • Uso excesivo de recursos del servidor
  • Fallos de pago
  • Violaciones de los términos de servicio
  • Otra actividad importante de la cuenta

Si su proveedor de alojamiento ha detectado alguna actividad inusual o una infección de malware, deberá tomárselo muy en serio y abordarlo lo antes posible, ya que es una señal definitiva de un problema. Si no toma medidas para resolver el problema, podría correr el riesgo de que se suspenda su cuenta .

Un complemento de seguridad le advierte sobre cambios inesperados, inicios de sesión, nuevos usuarios o detecciones de malware.

Los complementos de seguridad como el complemento Sucuri WordPress contienen una amplia gama de funciones de seguridad útiles que pueden ayudarlo a detectar comportamientos maliciosos en su sitio de WordPress.

Si el complemento encuentra malware en el sitio web o detecta cambios inesperados en sus archivos, podrá saber con bastante rapidez si su sitio ha sido pirateado o no.

Limpiar los resultados del escaneo del complemento Sucuri de WordPress

¿Cuál es la mejor manera de prevenir un hack de WordPress?

La desafortunada realidad es que ninguna medida de seguridad por sí sola puede ofrecer una garantía del 100% contra los piratas informáticos. Sin embargo, implementar una estrategia de defensa en profundidad que incluya reforzar su sitio web de WordPress y aprovechar un firewall confiable para el sitio web puede mejorar significativamente sus posibilidades de prevenir un ataque.

El firewall Sucuri ayuda a protegerse de ataques de fuerza bruta, bloqueando cualquier acceso injustificado a su página wp-admin o wp-login y previniendo ataques automatizados. También mitiga los ataques de denegación de servicio distribuido (DDoS) , que intentan saturar un servidor o los recursos de una aplicación. Otra característica excelente es su capacidad para parchear virtualmente vulnerabilidades conocidas en caso de que no pueda actualizar el software de su sitio web de manera oportuna.

No es necesaria ninguna instalación, solo un simple cambio de su registro DNS A para habilitarlo. Para obtener más detalles, consulte este vídeo sobre cómo evitar un pirateo con el firewall de un sitio web.


Obtener ayuda con sitios de WordPress pirateados

¿Estás bastante seguro de que tu sitio de WordPress fue pirateado? ¡Te cubrimos!

Si es del tipo que lo hace usted mismo, tenemos una guía completa que detalla todos los pasos que puede seguir para responder a un sitio pirateado y limpiar el malware de WordPress .

Algunos pasos clave para responder a un sitio de WordPress pirateado incluyen:

  1. Escanee su sitio de WordPress en busca de malware y signos de infección
  2. Verifique la integridad del archivo principal de WordPress
  3. Elimine el malware de sus archivos y bases de datos de WordPress
  4. Deshágase de las puertas traseras de los sitios web para evitar la reinfección
  5. Cuentas de usuario seguras de WordPress
  6. Parchee y actualice el software, los complementos y los temas de su sitio web
  7. Fortalezca su entorno de WordPress

Encontrarás todo esto y más en la guía sobre cómo reparar un WordPress pirateado . ¡Simplemente síguenos y comunícate si te quedas atascado!

Para aquellos que necesitan ayuda o quieren ayuda lo antes posible, nuestros experimentados analistas de seguridad están disponibles las 24 horas del día, los 7 días de la semana para ayudarlo a eliminar malware de WordPress y proteger su sitio contra futuros ataques. ¡Regístrese en el plan que mejor se adapte a sus necesidades o chatee con nosotros para obtener más información!

Fuente: blog.sucuri.net

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...