Cómo recuperarse de un malware de redireccionamiento malicioso Hack

Publicado: 2022-10-18

Una de las tácticas más populares de los atacantes maliciosos es agregar malware de redireccionamiento malicioso a un sitio con el fin de dirigir el tráfico a otro sitio. Esto puede ser perjudicial no solo para el propietario del sitio, sino también para los visitantes del sitio. Una redirección maliciosa a menudo lleva a un visitante desprevenido del sitio a sitios de spam o incluso a sitios que podrían infectar la computadora del usuario con malware que puede ser difícil de eliminar.

En esta publicación, hablaremos sobre qué es el malware de redireccionamiento malicioso, por qué los piratas informáticos usan esta táctica, cómo determinar si su sitio está afectado o no por este malware y algunas posibles soluciones para recuperar su sitio de los efectos del malware de redireccionamiento malicioso. .

Además, describiremos algunos pasos importantes para garantizar que su sitio permanezca protegido una vez recuperado.

¿Qué es el malware de redireccionamiento malicioso?

Una redirección maliciosa es un código, generalmente Javascript, que se inserta en un sitio web con la intención de redirigir al visitante del sitio a otro sitio web. A menudo, los atacantes agregan este malware malicioso a un sitio web de WordPress con la intención de generar impresiones publicitarias en otro sitio. Sin embargo, algunas redirecciones maliciosas pueden tener implicaciones más serias. Una redirección maliciosa más grave puede explotar vulnerabilidades potenciales en la computadora de un visitante del sitio. Este tipo de malware tiene como objetivo instalar malware que infecta una computadora personal con malware malicioso que puede ser muy dañino para la computadora Mac o Windows de un usuario.

Determinar si su sitio está infectado

Los propietarios del sitio pueden no saber que su sitio está redirigiendo. A menudo, los redireccionamientos maliciosos se ocultan para que solo se redirija a los no autenticados (usuarios que no han iniciado sesión). O bien, podría detectar el navegador que el usuario está utilizando cuando visita el sitio y redirigir solo con ese navegador en particular. Por ejemplo, si tienen como objetivo explotar una computadora personal con malware que solo puede infectar versiones vulnerables de Chrome, solo aquellos que usan esa versión detectada por el script malicioso serán redirigidos. Puede ser necesario investigar un poco para determinar qué está pasando.

El propietario de un sitio podría intentar replicar la redirección que informó un cliente, solo para ver que todo se ve bien para ellos en su computadora. Los visitantes del sitio en plataformas móviles pueden experimentar al mismo tiempo actividad maliciosa. La redirección puede ocurrir en algunas páginas y no en otras. O bien, podría suceder incluso antes de que se cargue el sitio.

Truco de redirección de WordPress

¿Por qué mi sitio de WordPress está redirigiendo a otro sitio?

Si su sitio está redirigiendo, existen algunos métodos que los atacantes pueden usar para crear una redirección. Por supuesto, todas estas pueden ser formas muy válidas de crear una redirección, sin embargo, en instancias maliciosas, definitivamente no son las mejores para los visitantes del sitio. Estos son algunos métodos que utilizan los atacantes para redirigir. Los métodos principales de redirección incluyen una redirección .htaccess o una redirección Javascript. En casos excepcionales, puede encontrar un encabezado HTTP (p. ej., redirección META HTTP-EQUIV=REFRESH), pero estos son raros. En muchos casos, la redirección está ofuscada, lo que significa que las funciones se utilizan para ocultar la verdadera intención del código. Esta ofuscación suele ser la primera clave de que algo anda mal, pero los atacantes apuestan a que la mayoría de los propietarios de sitios de WordPress se sentirán intimidados por la ofuscación y no querrán profundizar más.

¿Dónde se encuentra exactamente la infección de redirección?

Hay varias áreas en las que los piratas informáticos insertarán su código malicioso para provocar un pirateo de redirección de WordPress.

1. Archivos PHP

Un atacante puede infectar su sitio insertando código en cualquiera de los archivos principales de WordPress. Estos son algunos de los archivos que pueden contener el código malicioso que está causando su problema:

Los atacantes pueden infectar el sitio web inyectando código en cualquiera de los archivos centrales de WordPress. Compruebe estos archivos en busca de código malicioso. Si no está seguro de qué código es malicioso y cuál no, siempre puede comparar los archivos con buenas copias conocidas del núcleo de WordPress o su tema y archivos de complementos.

  • índice.php
  • wp-config.php
  • wp-configuraciones.php
  • wp-load.php
  • .htaccess
  • Archivos de temas (wp-content/themes/{themeName}/)
    • encabezado.php
    • funciones.php
    • pie de página.php

2. Archivos JavaScript

Algunas de las variantes del malware de redirección afectarán a todos los archivos JavaScript (.js) de su sitio. Esto incluirá los archivos Javascript en el complemento, las carpetas de temas y wp-includes.

Y, por lo general, se agregará el mismo código malicioso en la parte superior o inferior de cada archivo JavaScript.

3. El archivo .htaccess

Su archivo .htaccess es un conjunto de directivas que le indican a su servidor web qué hacer tan pronto como recibe una solicitud de un visitante del sitio. Se activa antes de PHP, antes de cualquier llamada a su base de datos, y puede detectar ciertas "variables de entorno" que le informan un poco a su servidor sobre el sistema en el que se encuentra un usuario, como su navegador, el tipo de computadora e incluso si la solicitud para las páginas de su sitio proviene de un rastreador de motor de búsqueda.

Si no está familiarizado con el aspecto de un archivo .htaccess normal de WordPress, gran parte del código en .htaccess puede ser confuso. Y, si descarga el archivo .htaccess a su disco duro para analizarlo más a fondo, a menudo puede desaparecer en muchas computadoras personales que consideran este tipo de archivo como un "archivo oculto".

El hack muy común de Pharma donde se agrega un código malicioso en el archivo .htaccess a menudo solo redirigirá a los visitantes del sitio si provienen de una página de resultados del motor de búsqueda.

Los piratas informáticos colocan su código malicioso de manera que no pueda encontrarlo oculto dentro del archivo a menos que se desplace hacia la derecha. Esto hace que sea mucho más difícil detectar y eliminar estos hacks de redirección.

3. La base de datos de WordPress

Las tablas wp_options y wp_posts suelen ser las tablas en una base de datos de WordPress que son el objetivo de los piratas informáticos que insertan redireccionamientos maliciosos. El código Javascript se puede encontrar incrustado en cada una de sus publicaciones o incluso en todas ellas. A menudo, también puede encontrar redirecciones en su tabla wp_options si están ocultas en los widgets.

4. Archivos favicon.ico falsos

Existe software malicioso que creará un archivo .ico aleatorio o un archivo favicon.ico falso en el servidor de su sitio, que contendrá código PHP malicioso. Estos archivos .ico contendrán la redirección maliciosa que luego se incluye en otro archivo en su sitio.

 @include "/home/sitename/sitename.com/cdhjyfe/cache/.2c96f35d.ico";

Recuperarse de una redirección maliciosa rápidamente

Si ha sido atacado con un hack de redireccionamiento malicioso, la forma más rápida y fácil de recuperarse de este tipo de malware es restaurar desde una copia de seguridad en buen estado. Si realiza copias de seguridad periódicas de su sitio con BackupBuddy, sabrá que tiene una copia de seguridad reciente que contiene una buena copia de su sitio. Restaurar su sitio a partir de una buena copia de seguridad conocida es una excelente manera de hacer que su sitio vuelva a funcionar rápidamente.

Por supuesto, si está ejecutando un sitio que tiene contenido que cambia con frecuencia, la mejor defensa contra una redirección maliciosa es una buena copia de seguridad reciente y detección de intrusos para que reciba una alerta rápida de un problema. De esta manera, puede tomar medidas rápidamente y minimizar el tiempo de inactividad.

Por supuesto, luego debe consultar sus registros de acceso para determinar cómo ingresó el pirata informático para colocar la redirección también.

Una nota sobre los dominios complementarios

Una de las formas más comunes en que los sitios de WordPress son pirateados es desde dominios complementarios sin mantenimiento o instalaciones adicionales de WordPress en su cuenta de alojamiento. Tal vez configuró un sitio de prueba para ver si algo podría funcionar en la misma cuenta y se olvidó de esa instalación. Un hacker lo descubre y aprovecha las vulnerabilidades del sitio sin mantenimiento para instalar malware en su sitio principal. O tal vez tenga el sitio de su familiar también alojado en el mismo espacio para ahorrar dinero, pero están reutilizando contraseñas comprometidas.

Siempre es mejor tener un sitio de WordPress en una cuenta de alojamiento, o si está utilizando varios sitios en la misma cuenta de alojamiento, asegúrese de que estén aislados entre sí y use un usuario basado en servidor diferente para cada sitio. De esta manera, no puede ocurrir la contaminación cruzada de un sitio vulnerable a otro sitio adyacente.

Si tiene más de un sitio en su cuenta de alojamiento, deberá tratar todos los sitios que se ejecutan en el mismo espacio (por ejemplo, todos los sitios que se ejecutan bajo public_html) como si estuvieran contaminados con malware de redireccionamiento malicioso. Si tiene un caso como este, asegúrese de que cada uno de estos pasos se realice para cada uno de los sitios dentro de esa instancia de alojamiento. Si no está seguro, consulte con su proveedor de alojamiento.

Escaneo de su sitio en busca de malware de redirección de WordPress

Si no tiene una copia de seguridad limpia reciente, aún puede eliminar el malware por su cuenta. Hacerlo puede ser un proceso tedioso y deberá buscar algo más que redirigir el malware. Es más común que el malware de redireccionamiento vaya acompañado de otro malware, como puertas traseras y usuarios administradores deshonestos, y también deberá determinar cómo entró el pirata informático, a menudo llamado "vector de intrusión". No adoptar un enfoque holístico hacia la eliminación de malware asegura que el problema de redirección volverá.

iThemes Security Pro tiene una función de Detección de cambio de archivo que lo alertará si se produce algún cambio en el archivo de su sitio web, como cambios que indicarían un ataque de redireccionamiento o puertas traseras.

Este es nuestro proceso de eliminación de malware recomendado.

1. Copia de seguridad del sitio

Sí, aunque el sitio esté infectado, querrá conservar la evidencia de lo que sucedió. Considere cualquier pirateo en la escena del crimen, y querrá saber qué sucedió y cuándo. Las marcas de tiempo de los archivos serán útiles en su investigación cuando determine cómo ocurrió la intrusión para que pueda evitar que vuelva a ocurrir.

2. Determine si necesita cerrar el sitio

Con una redirección maliciosa, es posible que desee desactivar temporalmente su sitio para realizar tareas de mantenimiento. No todos los redireccionamientos garantizarían esto, pero si su sitio está redireccionando a un lugar que podría dañar la computadora de un usuario, cerrar el sitio por un tiempo evitaría daños mayores.

Si cree que el pirata informático aún podría estar activo en el sitio (si no lo sabe, asuma que lo está), cerrar el sitio y hacerlo inaccesible puede evitar daños mayores.

Cada situación será diferente; tendrá que tomar esta determinación basándose en lo que está sucediendo.

3. Copie el sitio a una unidad local

Manteniendo su copia de seguridad, copie el sitio en una unidad local. Recomendamos hacer una limpieza en una unidad local usando un editor de texto y comparar localmente y revisar todos los archivos, desde sus archivos PHP y Javascript hasta sus archivos .htaccess, en una situación local que es inaccesible a Internet. De esta manera, tiene un entorno controlado para examinar archivos. Puede descargar una copia nueva de WordPress, su tema y sus complementos y hacer comparaciones de archivos con su sitio pirateado para ver qué archivos se cambiaron y qué archivos simplemente no pertenecen. Existen numerosas herramientas de comparación de archivos que puede utilizar.

4. Eliminar redirecciones y puertas traseras ocultas

A medida que revisa sus archivos, puede reemplazar los archivos que contienen malware con copias buenas conocidas o, si se siente cómodo haciéndolo, puede eliminar los archivos que no deberían estar allí (generalmente puertas traseras) y las líneas de código. eso no debería estar allí con un editor de texto.

Verifique su directorio /wp-content/uploads y todos los subdirectorios en busca de archivos PHP que no deberían estar allí.

Algunos archivos serán diferentes a cualquier cosa que descargues del repositorio de WordPress.org. Estos archivos incluyen su archivo .htaccess y su archivo wp-config.php. Estos deberán examinarse de cerca en busca de cualquier código malicioso errante. Ambos pueden contener redireccionamientos y el archivo wp-config.php puede contener puertas traseras.

5. Cargue sus archivos limpios en su servidor

Para eliminar todo el malware a la vez, impidiendo el acceso a cualquier puerta trasera que estuviera activa en el sitio pirateado, cargue su sitio limpio junto a su sitio pirateado. Por ejemplo, si su sitio pirateado está en /public_html/, cargue su sitio limpio junto a él en /public_html_clean/. Una vez allí, cambie el nombre del directorio en vivo /public_html/ a /public_html_hacked/ y cambie el nombre de /public_html_clean/ a public_html. Esto solo toma unos segundos y minimiza el tiempo de inactividad si elige no cerrar su sitio al comienzo del proceso de limpieza. También evita que intentes limpiar un sitio en vivo pirateado bajo ataque jugando "whack-a-mole" con un atacante activo.

Ahora que los archivos están limpios, todavía tiene trabajo por hacer. Vuelva a verificar que el sitio se vea bien en la interfaz, así como dentro de wp-admin.

6. Busque usuarios administradores maliciosos

Busque cualquier usuario administrativo malicioso que se haya agregado a su sitio. Dirígete a wp-admin > usuarios y verifica dos veces que todos los usuarios administradores sean válidos.

7. Cambiar todas las contraseñas administrativas

Considere que todas las cuentas de administrador están comprometidas y configure nuevas contraseñas para todos.

8. Proteger contra registros maliciosos

Dirígete a wp-admin > configuración > general y asegúrate de que la configuración de "Membresía" llamada "Cualquiera puede registrarse" esté deshabilitada. Si necesita que los usuarios se registren, asegúrese de que el "Rol predeterminado del nuevo usuario" esté configurado solo como Suscriptor y no como Administrador o Editor.

9. Busque en la base de datos cualquier enlace malicioso

Busque en su base de datos de WordPress funciones PHP maliciosas de manera similar a como lo hizo para encontrar problemas en el sistema de archivos. Para hacer esto, inicie sesión en PHPMyAdmin u otra herramienta de administración de bases de datos y seleccione la base de datos que usa su sitio.

Luego busca términos como:

  • evaluar
  • guion
  • Gzinflate
  • Base64_decodificación
  • Str_replace
  • preg_replace

Solo tenga mucho cuidado antes de cambiar algo en la base de datos. Incluso un cambio muy pequeño, como agregar un espacio accidentalmente, puede hacer que su sitio no funcione o que no se cargue correctamente.

10. Asegure el sitio

Debido a que ha habido una intrusión, debe asumir que todo lo relacionado con su sitio se ha visto comprometido. Cambie la contraseña de su base de datos en el panel de su cuenta de alojamiento y las credenciales en su archivo wp-config.php para que su sitio de WordPress pueda iniciar sesión en su base de datos de WordPress.

Además, cambie su contraseña SFTP/FTP, e incluso la contraseña de su cPanel o cuenta de hosting.

11. Comprueba si hay problemas con Google

Inicie sesión en su Google Search Console y vea si tiene alguna advertencia de sitio malicioso. Si es así, revíselos para ver si sus correcciones han resuelto el problema. Si es así, solicite una revisión.

12. Instale la seguridad de iThemes

Si aún no ha instalado y configurado iThemes Security, ahora es el mejor momento. iThemes Security es la mejor manera de evitar que su sitio sea intruso

13. Actualice o elimine cualquier software vulnerable

Si tiene software, temas, complementos o núcleos que requieren una actualización, actualícelos ahora. Si hay una vulnerabilidad en un complemento que está utilizando que no ha sido parcheado (puede verificar usando iThemes Security), desactive y elimine completamente ese software de su sitio.

En este punto, si ha bloqueado su sitio, puede eliminar la notificación de mantenimiento para que su sitio sea accesible nuevamente.

Evitar otra intrusión

Una vez que haya bloqueado su sitio y esté activo, es fundamental que tome medidas para evitar que la intrusión vuelva a ocurrir. Revise sus archivos de registro para ver cómo ocurrió la intrusión en primer lugar. ¿Era un software vulnerable? ¿Fue una cuenta de usuario administrador comprometida? ¿Fue la contaminación cruzada de una instalación de WordPress adyacente sin mantenimiento? Saber cómo ocurrió la intrusión le permitirá tomar medidas para evitar que vuelva a ocurrir en el futuro.

Y usar iThemes Security es un primer paso importante para mantener su sitio seguro.

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. Los atacantes asumen que los usuarios de WordPress tienen menos conocimientos de seguridad, por lo que encuentran sitios de WordPress que no están protegidos y explotan contraseñas incorrectas, contraseñas reutilizadas o software vulnerable para hacerse un hueco en las cuentas de alojamiento desprevenidas.

El Informe DBIR de Verizon para 2022 informa que más del 80 % de las infracciones se pueden atribuir a credenciales robadas, y ha habido un aumento del 30 % en las credenciales robadas como principal vector de intrusión frente a la explotación de vulnerabilidades. Esta es una de las razones por las que iThemes Security prioriza las innovaciones en las credenciales de los usuarios, como las claves de acceso y la autenticación de dos factores, para proteger los sitios de WordPress de estas intrusiones.

Si ha visto algo en este artículo, esperamos que sea importante que se tome la seguridad en serio ANTES de una infracción. Puede ahorrar innumerables horas de dolores de cabeza al revisar el código con solo unos pocos pasos. Use BackupBuddy para hacer que la recuperación sea mucho más fácil y protegerse contra el acceso no autorizado usando iThemes Security Pro.

El mejor complemento de seguridad de WordPress para asegurar y proteger WordPress

Actualmente, WordPress funciona en más del 40% de todos los sitios web, por lo que se ha convertido en un objetivo fácil para los piratas informáticos con intenciones maliciosas. El complemento iThemes Security Pro elimina las conjeturas de la seguridad de WordPress para que sea más fácil asegurar y proteger su sitio web de WordPress. Es como tener un experto en seguridad a tiempo completo en el personal que supervisa y protege constantemente su sitio de WordPress por usted.

Obtenga iThemes Security Pro