Domingo, 07 Diciembre 2014 23:33

Detectando y limpiando malware en WordPress

Escrito por 
CMS:  Joomla! |  Versión:  Todas |  Nivel de dificultad:  Básico |  Tiempo estimado de lectura:  1 minuto


Detectando y limpiando malware en WordPressHemos hablado anteriormente sobre cómo asegurar o fortificar WordPress de diferentes maneras, pero no siempre abordamos el tema de como solucionar o limpiar sitios web infectados principalmente con malware en WordPress y es de lo que queremos hablarte.

Es importante estar documentado y entender las diferentes vulnerabilidades que pueden afectar a tus instalaciones de WordPress. No hay ninguna regla radical y rápida que erradique vulnerabilidades, pero un conjunto de procedimientos y precauciones que se tomen como usuario o administrador de sitios web conducirán hacia un sistema más seguro.

Aunque WordPress es lo suficientemente bueno, si vienes de versiones anteriores entonces en determinadas ocasiones verás un mensaje diciendo que "hay una versión disponible" y que es bueno que actualices. Asegúrate siempre de que tu WordPress trabaja con la última versión disponible, ya que eso te librará de un 0-day. No obstante, si en algún momento obviaste la seguridad de WordPress, es posible que ya estés infectado y que incluso no lo sepas ¿quieres verificarlo?.

Para poder analizar el estado de salud de nuestras instalaciones de WordPress vamos a utilizar el plugin Anti-Malware and Brute-Force Security by ELI desarrollado por Eli Scheetz y enfocado en el análisis exhaustivo de los archivos de la instalación donde este se instale y detectar amenazas reconocidas o posibles patrones de amenazas no reconocidas oficialmente.

Este plugin ha sido creado para ayudar a los administradores de WordPress a limpiar infecciones en su sitio web. Fue inspirado en la necesidad de su autor por limpiar una de sus cuentas en BlueHost. El plugin se ofrece actualmente de forma totalmente gratuita, aunque sí puedes obtener algún "extra" haciendo un donativo para sostener el proyecto.

WordPress

Anti-Malware and Brute-Force Security by ELI

Este plugin busca malware y otras amenazas como virus y vulnerabilidades en la instalación de WordPress y te ayuda a eliminarlos.

Características destacadas de Anti-Malware and Brute-Force Security:

  • Eliminación automática de "Amenazas conocidas".
  • Si realizas una donación al autor podrás descargar definiciones de nuevas amenazas a medida que se descubren.
  • Actualiza de forma automática las versiones vulnerables del script TimThumb.
  • Parchea automáticamente wp-login.php para bloquear ataques de fuerza bruta.
  • Ejecuta un análisis rápido desde el menú de administración.
  • Es posible personalizar la configuración de escáner.
  • Es posible realizar un análisis completo desde la página de configuración.

Una vez instalado el plugin hay que registrarlo en GOTMLS.NET para obtener acceso a las nuevas definiciones de "amenazas conocidas" y funciones adicionales como la renovación automática, además de parches para vulnerabilidades específicas de seguridad, como las versiones antiguas y vulnerables de TimThumb.

Los archivos de definiciones actualizados se pueden descargar automáticamente desde la administración una vez que se ha registrado y obtenido la clave (key), de lo contrario, este plugin sólo analiza "amenazas potenciales" y deja a tu criterio el identificar y eliminar los códigos maliciosos.



Aviso: Este plugin hace uso de una función de "teléfono de casa" para comprobar si hay actualizaciones. Esto no es diferente a lo que WordPress ya hace con todos sus plugins. Mantenerse al día es una parte esencial de cualquier complemento de seguridad por lo que vale la pena saber cuando hay actualizaciones de definiciones disponibles.

En el siguiente vídeo ponemos en práctica lo explicado con el plugin Anti-Malware and Brute-Force Security by ELI.



Es importante tener criterio a la hora de evaluar los resultados de archivos "sospechosos" y no eliminar nada sin tener clara su función y legitimidad.

Por ejemplo, si Anti-Malware and Brute-Force Security nos indica en el log de resultados que ha detectado como sospechoso el archivo /wp-admin/press-this.php seria útil hacer una búsqueda en Google, Yahoo, etc., sobre este archivo para entender su función en WordPress.

La función "Press This" permite la publicación rápida con un bookmarklet especial desde el navegador. Se puede crear un mensaje citándo algunos textos, imágenes y vídeos en cualquier página web.

Aplicar la acción adecuada a cada caso pasa por evaluar de forma individual cada archivo detectado como "sospechoso", ver el código correspondiente a los enlaces que el aviso muestre [1], [2], etc., y filtrarlo como archivo legítimo para futuros análisis desde el botón Whitelist this file (añadir archivo a la lista blanca).



Buenas practicas en WordPress

Algunas de las cosas más importantes para la fortificación de WordPress pasan por una buena practica de uso del CMS y severas políticas de actualizaciones y copias de seguridad alternas diarias, semanales y mensuales, además:

  • Asegurarte que tu instalación de WordPress tiene las últimas actualizaciones tanto del core, como de plugins y temas.
  • Reducir al mínimo el número de plugins que utilizas (y elimina los que no estén activos).
  • Utilizar siempre contraseñas robustas.
  • Implementar métodos de autenticación seguros como Latch.
  • Aplicar protección extra de WordPress usando .htaccess
  • Descargar solo temas y plugins de sitios confiables.
  • Evaluar los tiempos de actualizaciones de plugins y temas antes de instalarlos (plugins desfasados pueden ser vulnerables).

No hay una formula para hacer WordPress 100% seguro, pero limitando los vectores vulnerables repelerás casi todos los ataques maliciosos o infecciones por malware.



¿Te ha resultado interesante este artículo?

Suscríbete para recibir consejos exclusivos para WordPress, Joomla y PrestaShop



Luis Méndez Alejo

Miembro del equipo técnico de Webempresa.
Coordinador de contenidos en el Blog y en Youtube.
Google+