Cuidado con el malware de WordPress: instalación no deseada a través de un captcha falso

Fake Captcha quiere robar derechos de administrador

Este artículo solo pretende ser una breve advertencia y una guía de solución, ya que hoy una vez más encontré un nuevo tipo de malware en el dominio de un cliente. El cliente quería encargarse él mismo de las actualizaciones de WordPress, plugins y temas y por esta razón no tenía el sitio web bajo vigilancia constante. Hoy me llamó su webmaster para decirme que tenía problemas con el sitio de Wordpress. Ya vería lo que está pasando allí cuando llame a la página.

Dicho y hecho. En los primeros segundos después de la llamada, todo parecía estar bien, pero poco después se produjo un reenvío de URL y terminé en un nuevo dominio que me presentó esta imagen:

Con esta pantalla, el malware quiere que el usuario le otorgue derechos de administrador en la PC con Windows.
Con esta pantalla, el malware quiere que el usuario le otorgue derechos de administrador en la PC con Windows.

Visité el sitio en Mac y no vi un cuadro de diálogo que me pidiera que aceptara nada, pero estoy bastante seguro de que hay una ventana emergente en las máquinas con Windows que solicita derechos de administrador al usuario. No para confirmar que el usuario no es un robot, por supuesto, como se supone que pretende el captcha falso, sino para instalar algún malware en la PC.

Pero eso no funcionó en mi Mac. Otra buena razón para usar una Mac. La mayoría del malware todavía se desarrolla para computadoras con Windows. ;-)

Malware detectado, pero ¿qué hacer?

Ahora he visto que el sitio está infectado con algo, pero ¿cómo haces para limpiarlo? Mi recomendación en este punto es el plugin “Seguridad anti-malware y firewall de fuerza brutade Eli Scheetz. Hice una donación allí y desde entonces he estado usando el complemento cada vez que encuentro algo "extraño" en algún lugar de una instalación de Wordpress.

El complemento escanea toda la instalación de WordPress, incluido el núcleo, los temas y los complementos de WordPress, así como otros directorios, y proporciona información en tiempo real sobre el malware detectado y los posibles problemas. Luego puede usar un botón para mover los archivos "infectados" directamente a la cuarentena o intentar repararlos.

El complemento antimalware analiza toda la carpeta de WordPress, incluidas todas las subcarpetas, y muestra qué malware se ha encontrado y qué archivos parecen potencialmente sospechosos.
El complemento antimalware analiza toda la carpeta de WordPress, incluidas todas las subcarpetas, y muestra qué malware se ha encontrado y qué archivos parecen potencialmente sospechosos.

Por lo general, hago un trabajo corto y tiro todos los archivos principales de WordPress a la basura y también elimino los complementos infectados. Luego instalo todo nuevo y luego vuelvo a ejecutar el software.

Es importante que también actualices todo, porque la mayoría de las versiones antiguas de complementos o temas son la puerta de entrada para los piratas informáticos. Wordpress en sí suele ser bastante resistente a los ataques de piratas informáticos sin complementos, ya que los desarrolladores ya lo aseguran muy bien y brindan actualizaciones de seguridad rápidamente.

No se preocupe, el complemento también habla alemán e inglés, pero mi cliente solo habla francés porque lo eligió como idioma en Wordpress.
No se preocupe, el complemento también habla alemán e inglés, pero mi cliente solo habla francés porque lo eligió como idioma en Wordpress.

Servicio de actualización de WordPress y copias de seguridad como “seguro” (¡anuncio!)

Un conocido mío ofrece un servicio de actualización de Wordpress, que también uso para todos mis clientes. Se ocupa de las actualizaciones semanales que se producen con Wordpress, temas o complementos y realiza copias de seguridad diarias en la nube. Para hacer esto, instala el complemento de seguridad. SecuPress, que detecta y bloquea intentos de ataques comunes. Solo la licencia de este plugin cuesta 5 euros al mes y está incluida en su servicio.

Si tiene un blog de Wordpress que no debería verse afectado por fallas (por ejemplo, porque gana dinero con él), probablemente debería reservar dicho servicio. Mi amigo calcula unos 20 o 25 euros al mes por esto, que es muy barato en relación al tiempo de trabajo que dedica. Sé que también hay servicios que ofrecen algo así por 5 euros al mes, pero eso solo se refiere a actualizaciones de Wordpress que se pueden realizar automáticamente con solo presionar un botón. Estos proveedores generalmente no se preocupan por las actualizaciones de temas premium y complementos premium. Y por lo general no revisan el sitio web para ver si algo se rompió con la actualización.

Desafortunadamente, no puedo darle un sitio web de mi amigo porque no ofrece el servicio públicamente. Si está interesado, envíeme un correo electrónico con el dominio que desea cuidar y se lo reenviaré.

Espero que me perdones por tirar publicidad, pero uso el servicio de mi amigo para Sir Apfelot y mis clientes y estoy encantado con él.

/¡Fin del anuncio! ;-)

Si usted mismo tiene problemas con un Wordpress pirateado o archivos infectados, hágamelo saber. Me complace ayudar con comentarios y, en casos individuales, también con soporte activo a través de FTP. Mi gran experiencia con páginas de Wordpress pirateadas y rotas se ha vuelto bastante extensa en los últimos años y, por supuesto, estoy feliz de compartirla con ustedes.

El escáner de virus falso quiere instalar malware en mi Mac.
El escáner de virus falso quiere instalar malware en mi Mac.

Actualización 23.05.2019/XNUMX/XNUMX: Pantalla de malware adaptada a macOS

Es casi como si los piratas informáticos estuvieran leyendo. Tan pronto como miro la URL del malware esta mañana, aparece un sitio web que sigue el modelo de Apple Store y apunta a infecciones en mi macOS que debo reparar. Curiosamente, el escaneo supuestamente tiene uno Troyanos fundar. Exactamente lo que probablemente se instalará si solo hago clic en Aceptar suficientes veces e ingreso mi contraseña de administrador. no lo hice ni una vez...

El desencadenante fue el complemento wp-live-chat-support

Ahora limpié el dominio del cliente y también identifiqué el desencadenante del reenvío malicioso. Este es un complemento de chat llamado "wp-live-chat-support". Esto parece traer el malware "de manera innata" porque ha sido bloqueado para nuevas instalaciones en el sitio oficial del complemento de Wordpress:

El complemento de Wordpress wp-live-chat-support fue adoptado o proporcionado por los propios desarrolladores con reenvío a varios sitios web. Definitivamente deberías deshabilitarlo y eliminarlo del servidor.
El complemento de Wordpress wp-live-chat-support fue adoptado o proporcionado por los propios desarrolladores con reenvío a varios sitios web. Definitivamente deberías deshabilitarlo y eliminarlo del servidor.
¿Te gustó el artículo y te ayudaron las instrucciones del blog? Entonces sería feliz si usted el blog a través de una membresía constante apoyaría.

Escribe un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados con * markiert

En el Blog de Sir Apfelot encontrarás consejos, instrucciones y reseñas sobre productos de Apple como el iPhone, iPad, Apple Watch, AirPods, iMac, Mac Pro, Mac Mini y Mac Studio.

Especiales