Muchos sitios web últimamente han sido atacados o infectados con un virus encriptado en el código fuente de sus páginas web. El virus es un simple código javascript que los antivirus no pueden detectar pero cuando es ejecutado en el navegador inyecta un código malicioso al usuario. Hay muchas variantes, pero la más conocida y la de mayor propagación es la llamada eval, base64_decode, base64, o base64_decode. La cual principalmente afecta a sitios dinámicos.

Generalmente el Webmaster recién se percate cuando su sitio es bloqueado con un mensaje de advertencia o cuando Google lista el sitio como potencialmente dañino en sus resultados de búsqueda.

La mayoría de los sitios infectados son atacados explotando alguna vulnerabilidad en el código del sitio. Por ejemplo en el caso de WordPress así como otras aplicaciones dinámicas, la mejor protección es siempre tener actualizada su instalación a la última versión y no instalar plugins o programaciones dudosas. Sin embargo se cree que gran parte de los sitios también fueron infectados mediante computadores infectados de los propios Webmaster, donde los troyanos sencillamente utilizan las contraseñas FTP ingresadas en dicha computadora para acceder y cargar los virus a las páginas.

Como primer paso asegúrese de que no ingresa sus contraseñas en una computadora insegura o infectada. En este tutorial sin embargo nos concentramos en cómo detectar y eliminar este malicioso virus de una instalación WordPress.

Busque palabras clave en su sitio

Lo primero que debería hacer es buscar la presencia de ciertas palabras en sus páginas web. Puede hacerlo directamente buscando en el código fuente de sus páginas o buscando estas palabras con Google en su sitio. Si una de estas palabras aparece en alguna de sus páginas es probable que esté infectado. Busque la presencia de palabras clave en el código como: eval, base64_decode, base64, eval(base64_decode

Si desea utilizar Google simplemente utilice la siguiente cadena de búsqueda en Google: eval site:susitio.com

Verifique la estructura de los links en sus categorías

Busqué cosas extrañas en las estructura permalinks de sus categorías WordPress. Si encuentra enlaces como:

susitio.com/categoría/título-post/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

Entonces está infectado.

Antivirus para WordPress

Instale este plugin Antivirus para escanear sus plantillas de diseño. Es realmente notable la cantidad de personas que infectaron sus sitios web descargando plantillas de diseño de sitios no confiables e instalando las mismas en sus aplicaciones. Esto no solo aplica a WordPress sino a Joomla o cualquier otro tipo de aplicación. No instale plugins o plantillas de diseño a menos que sea de un sitio confiable o que conozca al programador. Muchos plugins no son dañinos de forma intencional sino simplemente son de programadores novatos los cuales programan pensando en la facilidad pero poco en la seguridad. Utilizar estos en su blog abre de forma inconsciente el mismo a potenciales agujeros de seguridad que pueden ser explotados por personas inescrupulosas.

Verifique los autores y usuarios

Debería verificar si entre los usuarios de su blog no hay nombres extraños. Esto lo puede hacer desde el área admin o administrador de su blog. Si ve usuarios con el nombre de Administrator (2) o nombres al azar y ficticios, debería investigar inmediatamente si esos no son usuarios que simplemente acceden para infectar a su blog.

Busque en la configuración de usuarios

Nuevamente busque entre los usuarios y autores creados en su blog bajo <ruta-a-su-wordpress>/wp-admin/users.php.: user_superuser. Si las encuentra es posible que esté infectado.

Busque con un commando Shell

Si es el administrador del servidor puede buscar directamente desde la línea de comandos en su servidor Linux. Simplemente ingrese vía una conexión SSH y desde la terminal ejecute el comando:

grep -lr eval > virus.txt

Lo que hará este comando es buscar todas la palabras clave que contengan “eval” y guardarlas en el archivo virus.txt el cual luego puede consultar para investigar los archivos de forma individual.

Solución Rápida Preventiva

Si desea prevenir potenciales ataques la mejor sugerencia es que actualice inmediatamente su instalación de WordPress a la última versión disponible. Lo mismo aplica para todos los plugins que tenga instalados y en uso. En lo posible no utilice plantillas que no son actualizadas, es mejor que utilice la plantilla por defecto si va a utilizar una plantilla que nunca va a actualizar. Tampoco instale plugins si no son directamente desde el sitio oficial de plugins de WordPress o a menos que realmente confié en el autor o el sitio web desde el cual lo descarga.

Temas relacionados:

1. Solucionar Actualización Automática de WordPress Hace bastante tiempo que la función de actualización automatica de...
2. 80 Plantilla WordPress Hemos recopilado 80 diseños profesionales que puedes descargar para tu...
3. Instalar WordPress localmente WordPress en su PC Aquí les presentamos como instalar WordPress...