Wordpress Malware

Buenas !

Voy a tratar de ser lo más resumido posible, aunque el título diga todo…

Es un sitio que está actualmente en producción (aunque todo esto sucedió antes de lanzar)… Me di cuenta que había un archivo extraño en el servidor, y decidí eliminarlo. Tiempo más tarde, volvió a generarse…

Decidí investigar, acudí a distintas herramientas, entre ellas Google search console, para encontrarme con muchas URLs generadas por el malware y algunos testeos como https://sitecheck.sucuri.net/ arrojaron que mi sitio estaba infectado

Ingresaba a esas URLs y veía mi sitio con código inyectado de cosas random…

Empece a investigar e hice varias cosas… me bajé plugins de seguridad, reconoció muchos archivos maliciosos, y fui borrando… Reinstalé Wordpress y eliminé algunos .htaccess desde el servidor… entre otras cosas…

Actualmente mi sitio está seguro según los testeos de google y sucuri, y los plugin de seguridad. No volvió a generarse ningún archivo extraño en el servidor, como solía suceder…

Volví a generar el sitemap para configurarlo en el google search console y no sé que pasa que siguen apareciendo esas URLs… Estas imágenes son hoy… pero todo esto pasó hace 1 mes.

Estas son URLs de ejemplo

Acá inspeccioné la URL desde google search console


La realidad es que todavía no estoy interpretando bien lo que sucede, y creo que es clave entender lo que google me está diciendo pero por el momento no lo comprendo. Mi intuición es que quiero creer que mi wordpress está limpio (por los test y porque no vi nada raro en el servidor) y que todas esas URLs están, ya que quedaron generadas de antes…

Dato:
Actualmente trabajo con plugins crackeados… probablemente haya sido eso, aunque también culpo a mi imprudencia-inocencia de trabajar sin ninguna cautela en lo que respecta de la seguridad.

Hola, te recomiendo que pruebes el plugin wordfence

Detecto cosas cuando otras revisiones decían que estaba todo limpio y me ayudo a limpiar varias páginas

Hola ! Estoy usando ese plugin actualmente, la verdad que satisfecho por ese lado…

Lo que no entiendo es porqué me sigue atajando las URLs con esos parámetros raros…

Lo que yo pienso es que esa URLs fueron generadas y ahora debería eliminarlas… al menos ya las estoy deindexando de google

Si quizás quedaron indexadas y tenes que quitarlas manualmente

Si, a mi me pasó algo similar a lo que comentan; también uso el Wordfence Security y también estoy conforme… el tema es… que raro que a varios sitios (el mío ya tenía tiempo en producción, mas de un año) nos haya pasado en la mismo tiempo.
Creo que a Wordpress se le escapó un agujero de seguridad y al menos yo aún no me he enterado si lo han arreglado. Bueno eso… solo un comentario de mi situación. Saludos.

Hola @fabiankoliren y @Fideo Por el momento estoy desindexando y efectivamente desaparecen de la búsqueda de google… pero esto es una solución temporal (leí que duran hasta 6 meses y después vuelven a indexarse). La única forma de que realmente desaparezcan esas páginas son eliminándolas…

Les quiero mostrar un ejemplo de URLs que me aparece en google search console:

image

  • Los 3 primeros con parámetro /?big entran directo a la home (y con https)…
  • Los últimos 2… ya me tiran error 404 asique eso es positivo (aparecen con http)

Lo que no entiendo es porqué los otros 3 si me entran… que significa eso exactamente?

Es decir, yo pongo la URL del sitio, y con el siguiente parámetro, y me lleva a la home (se ve todo perfecto)… pero desde esa URL
?big=windows-7%2Fhow-to-reset-a-locked-computer-windows-7%2F

Hola @monchito,

Me pasó algo parecido por lo que estuve investigando el tema. Si los links siguen apareciendo, te recomiendan pedir resetear la cuenta entera del hosting y subir una copia que esté limpia.

Otra cosa que suelen hacer es que dejen en la base de datos estos links que son visibles a Google (por eso cuando entrás no los ves en tu sitio). Estos no los detectan ni limpian fácilmente los antivirus.

También recomiendo cambiar las contraseñas de todo incluyendo cuentas de correo, cpanel y base de datos (y su respectiva actualización en el archivo wp-config.php) y revisar los permisos de lectura/escritura de los archivos (cosas que usualmente monitorea wordfence también). También revisá por las dudas la cuenta de Gmail que tiene acceso a Google Search Console y verificar que no haya algún otro usuario desconocido con permisos.

Hola @gonzalo_ar muchas gracias por tu respuesta… estoy considerando hacer una restauración… pero lamentablemente la página ya está en producción y bastante avanzada. La verdad es que no sé cuando se infectó el sitio. Ahora voy a hacer unas comparaciones con un local que tengo, a ver si encuentro algo…

Tengo 2 preguntas para hacerte, sentite libre de responder:

1- Que fue lo que te pasó a vos, y que fue lo que hiciste?
2- En google search console… voy a rendimiento y me siguen apareciendo esas URLs… y cuando en google escribo site:xxxxxx (que te aparecen las páginas de tu sitio)… también siguen apareciendo…
pero todas las que son (http, que son la mayoría) no existen más… y me tiran 404 error… aunque están cacheadas por google
image

Y si entro a esa URL cacheada… logro ver mi web, con todo el contenido inyectado.

Esa parte es el footer… y están todas las redirecciones a la vista…

Hasta acá llegué por el momento… y el próximo paso es averiguar como eliminar la caché de google. Algo de todo esto… te suena familiar?

Buenas ! Hago un update de como que viene esto… por si alguno le sirve…

desde el “site:xxxx” fui visualizando las URLs que me molestaban (y que están cacheadas en google (me arrojan 404)) y las fui retirando una por una y efectivamente desaparecen de la búsqueda de google.

Desde “Google search console” aparecen otras que no aparecen en el “site:xxxx” y también arrojan 404. También ya las estoy retirando…

Saludos

Hola ! Hago posiblemente lo que es el último update por si alguno le sirve…

Mi problema era que tenía un sin fin de redirecciones en mi sitio… Desde SEMrush pude trackear donde venían esos backlinks (los backlinks pueden ser tóxicos) y los desautoricé desde la herramienta de google Desautorizar enlaces a tu sitio web - Ayuda del Search Console

1 me gusta