Tengo un blog que ejecuta Wordpress. La última vez que visité mi blog me di cuenta de que había sido hackeado. El sitio web redirige a una página de phishing de PayPal, mientras que otros enlaces ofrecen una multa de apertura. Quiero saber cómo se realizó ese ataque, cómo solucionar este problema y qué medidas de seguridad debo adoptar para que no ocurra en el futuro.
Intentaré explicar cómo suceden tales y otros trucos similares. Realmente prevalecen y en algún momento me sorprendió algo como esto: ¿quién puede responder a un correo electrónico que dice que algún rey nigeriano quiere compartir sus 5 millones de dólares y necesita su ayuda, y en tal caso, por qué los spammers son enviando estos spam.
Primero que todo, uno tiene que entender que este ataque no estaba rastreando a un usuario o sitio en particular. Probablemente, la persona que decidió realizar el ataque no tenía idea del sitio de antemano.
Googlea algo como esto: vulnerabilidad en wordpress , y obtiene toneladas de resultados. Para ejemplo esta es la lista de vulnerabilidades, pero esta es Demasiado texto y no tengo tiempo para leerlo. Así que veamos algo más fácil. Ok, esto suena como un trato y la amenaza parece increíble:
La utilidad solo hace una coincidencia parcial en los nombres de host permitiendo a los hackers cargue y ejecute código PHP arbitrario en su directorio de caché de timthumb
Incluso tiene algunas ideas de cómo explotarlo, pero veamos la consulta de Google: cómo explotar timthumb.php . El enlace con un título los detalles técnicos parecen darles detalles técnicos (en realidad no lo son, pero dejaré de escribir aquí para que no parezca que estoy diciendo cómo romper algo).
La capacidad de un visitante del sitio para cargar contenido desde un sitio web remoto y para hacer que el servidor web escriba ese contenido remoto en una web El directorio accesible es la causa de la vulnerabilidad en timthumb.php
increíblemente conveniente.
Entonces, la persona está probando la vulnerabilidad en su máquina y después de que le da la posibilidad de cargar un archivo arbitrario en su máquina, cargará algo malo. Y que correrlo. Ok, lo ha hecho en su máquina, pero ¿cómo encontró a este tipo?
La respuesta es simple: el atacante no la estaba buscando, solo estaba buscando todos los sitios que utilizaban timthumb.php. Después de obtenerlos, prueba todos los sitios y es muy probable que uno de los 10 sitios tenga esta vulnerabilidad.
No estoy afirmando que el sitio del escritor haya sido pirateado de esa manera, pero muy probablemente de una manera similar.
He escrito esto con una cosa en mente: dar la idea de cómo se hace, no decir cómo se puede hacer (en este caso está muy mal escrito)
Otra razón para escribirlo es decir qué puedes hacer: actualizar tu núcleo con la mayor frecuencia posible. Compruebe si hay errores y explotaciones.
Lo bueno es que este tipo de ataques los realizan personas que no tienen idea de cómo hacerlo. Sin embargo, soy programador, pero nunca he usado WordPress y me tomó menos de una hora escribir el post y buscar un exploit.
Así que la mayoría de las personas que acabo de describir son como monos: no tienen idea de lo que están haciendo (solo copypaste algo). Ven algo en el sitio, quieren verse como hackers y están realmente orgullosos de poder hacer algo. Y si no tienen éxito con instrucciones simples, simplemente pasarán a la próxima víctima posible.
Lo siento si mi respuesta parece desestructurada y estúpida. Si crees que puedes mejorarlo, me alegraría
EDITAR: Ponga un parche en su sitio web ASAP . Si siente el deseo de mostrar a la comunidad qué es exactamente la página; guardar el archivo html como un archivo txt. De esta manera no ejecuta nada en más computadoras. Tu blog se ha marcado como un sitio web de suplantación de identidad (phishing), indica Firefox y sugiere "salir de aquí".
Lea otras preguntas en las etiquetas wordpress