fbpixel

Wordpress Malware

Buenas !

Voy a tratar de ser lo más resumido posible, aunque el título diga todo…

Es un sitio que está actualmente en producción (aunque todo esto sucedió antes de lanzar)… Me di cuenta que había un archivo extraño en el servidor, y decidí eliminarlo. Tiempo más tarde, volvió a generarse…

Decidí investigar, acudí a distintas herramientas, entre ellas Google search console, para encontrarme con muchas URLs generadas por el malware y algunos testeos como https://sitecheck.sucuri.net/ arrojaron que mi sitio estaba infectado

Ingresaba a esas URLs y veía mi sitio con código inyectado de cosas random…

Empece a investigar e hice varias cosas… me bajé plugins de seguridad, reconoció muchos archivos maliciosos, y fui borrando… Reinstalé Wordpress y eliminé algunos .htaccess desde el servidor… entre otras cosas…

Actualmente mi sitio está seguro según los testeos de google y sucuri, y los plugin de seguridad. No volvió a generarse ningún archivo extraño en el servidor, como solía suceder…

Volví a generar el sitemap para configurarlo en el google search console y no sé que pasa que siguen apareciendo esas URLs… Estas imágenes son hoy… pero todo esto pasó hace 1 mes.

Estas son URLs de ejemplo

Acá inspeccioné la URL desde google search console


La realidad es que todavía no estoy interpretando bien lo que sucede, y creo que es clave entender lo que google me está diciendo pero por el momento no lo comprendo. Mi intuición es que quiero creer que mi wordpress está limpio (por los test y porque no vi nada raro en el servidor) y que todas esas URLs están, ya que quedaron generadas de antes…

Dato:
Actualmente trabajo con plugins crackeados… probablemente haya sido eso, aunque también culpo a mi imprudencia-inocencia de trabajar sin ninguna cautela en lo que respecta de la seguridad.

Hola, te recomiendo que pruebes el plugin wordfence

Detecto cosas cuando otras revisiones decían que estaba todo limpio y me ayudo a limpiar varias páginas

Hola ! Estoy usando ese plugin actualmente, la verdad que satisfecho por ese lado…

Lo que no entiendo es porqué me sigue atajando las URLs con esos parámetros raros…

Lo que yo pienso es que esa URLs fueron generadas y ahora debería eliminarlas… al menos ya las estoy deindexando de google

Si quizás quedaron indexadas y tenes que quitarlas manualmente

Si, a mi me pasó algo similar a lo que comentan; también uso el Wordfence Security y también estoy conforme… el tema es… que raro que a varios sitios (el mío ya tenía tiempo en producción, mas de un año) nos haya pasado en la mismo tiempo.
Creo que a Wordpress se le escapó un agujero de seguridad y al menos yo aún no me he enterado si lo han arreglado. Bueno eso… solo un comentario de mi situación. Saludos.

Hola @fabiankoliren y @Fideo Por el momento estoy desindexando y efectivamente desaparecen de la búsqueda de google… pero esto es una solución temporal (leí que duran hasta 6 meses y después vuelven a indexarse). La única forma de que realmente desaparezcan esas páginas son eliminándolas…

Les quiero mostrar un ejemplo de URLs que me aparece en google search console:

image

  • Los 3 primeros con parámetro /?big entran directo a la home (y con https)…
  • Los últimos 2… ya me tiran error 404 asique eso es positivo (aparecen con http)

Lo que no entiendo es porqué los otros 3 si me entran… que significa eso exactamente?

Es decir, yo pongo la URL del sitio, y con el siguiente parámetro, y me lleva a la home (se ve todo perfecto)… pero desde esa URL
?big=windows-7%2Fhow-to-reset-a-locked-computer-windows-7%2F