Virus en sitio WordPress a través de email de recuperación de contraseña

Sabemos que el 10 de enero de 2024 hubo una brecha de seguridad grave en el plugin «Post SMTP», esta brecha permitiría a un atacante conseguir acceso completo al sitio web al haber podido cambiar la contraseña de un administrador del sitio web.

Dado que los usuarios con permisos de administración pueden realizar tareas de alto nivel, como instalar nuevos plugins, usan esto para instalar un plugin preparado especialmente por ellos que realmente contiene todo el malware que quieren introducir en el sitio web y desde ese momento ya han «infectado» el sitio web.

Si tienes el plugin «Post SMTP», no lo has actualizado recientemente y te han llegado emails de recuperación de contraseña y de cambio de contraseña que no has generado tu, es posible que tu sitio esté infectado.

¿Cómo hemos conocido esta vulnerabilidad?

Desde GIGA4, como proveedores de mantenimiento para sitios WordPress conocimos esta brecha desde el primer momento y hemos securizado los sitios que mantenemos de modo que no han sido afectados.

Además, como especialistas en seguridad sobre sitios WordPress, hemos limpiado ya sitios que han sido afectados por esta brecha de seguridad.

Si tu sitio ha sido afectado, puedes contactar con nosotros y te ofreceremos más detalles y presupuesto para recuperar, securizar y mantener tu sitio web.

Internet es un entorno que requiere altos niveles de seguridad

Imagina el mando inalámbrico de la puerta de un garaje, tradicionalmente se han podido hackear de una forma muy sencilla, simplemente teniendo el aparato adecuado y escuchando las señales de radiofrecuencia que emite uno de los mandos, alguien especializado podría replicar esa señal y abrir las puertas.

La seguridad de estos garajes no está basada en la seguridad que da el mando, el mando es solo una pequeña barrera que se añade a la necesidad de estar físicamente en el garaje y no realizar actividades que llamen la atención a los vecinos.

Pero imagina que con el procedimiento que ya conoces puedas hackear al mismo tiempo todos los garajes de un mismo barrio y puedas acceder sin que nadie se percate. Así es como se realizan las intrusiones en internet. La seguridad en internet tiene que ser implacable, las barreras han de ser completas, no se pueden dejar flecos sueltos.

Conociendo mejor los virus y las intrusiones

Habitualmente entran aprovechándose de algún problema de seguridad conocido, constantemente buscan métodos (cada vez más rocambolescos) que puedan aprovechar para conseguir acceso a la web o el servidor.

El segundo caso más habitual es porque, por algún método, han conseguido averiguar la contraseña.

Normalmente no son ataques dirigidos, sino que son ataques automatizados lanzados a cualquier sitio web que pillen por delante. Los sitios web reciben intentos de ataque de todo tipo constantemente, al menos centenares por hora.

La prevención es necesaria para evitar que puedan acceder.

Cuando el virus entra en el sitio web lo primero que suele hacer es: esconderse para dificultar su detección, replicarse para asegurar su supervivencia y abrir «puertas traseras» para permitir un acceso fácil a su dueño.

Cuando se ha propagado, solo una revisión exhaustiva puede garantizar su eliminación.

El objetivo es aprovecharse de los recursos de tu servidor o tu sitio web: Usándolo para enviar correo no deseado beneficiándose de tu reputación, como sitio de phishing para realizar estafas, haciendo SEO para afectar a un tercero, mostrando publicidad, minando criptomonedas, robando datos y/o usarlo para realizar otros ataques.

Limpieza y prevención

En GIGA4 conocemos las técnicas preventivas para asegurar un sitio web. Así como el procedimiento a realizar en caso de que exista una brecha de seguridad de cualquier tipo.

Tenemos experiencia solucionando este tipo de problemas en sitios web muy distintos y con casuísticas peculiares.

Nuestro protocolo incluye una revisión de los archivos del sitio tanto manual como con heurística y comprobando el checksum, revisión de la base de datos, puesta al día del sitio para aplacar los agujeros de seguridad conocidos, cambio de los salts y todas las contraseñas, así como diversas técnicas de prevención.

Captura del virus tesla.php, limpiado por Francisco en febrero de 2023.

Eliminamos los virus

Buscamos dónde están, intuimos qué hacen y los eliminamos. Lo hacemos en un entorno clonado para evitar su propagación a medida que los hacemos desaparecer.

Seguridad web

Mediante una puesta al día del sitio cerramos las brechas de seguridad conocidas. Además, introducimos medidas preventivas que bloquean las operaciones más comunes que llevan a una intrusión. Finalmente, te ofrecemos nuestro servicio de mantenimiento.

Solución prioritaria

Sabemos que un virus es un problema mayor que afecta al funcionamiento del sitio web y hay que solucionarlo cuanto antes. Damos prioridad a la solución de este tipo de problemas.

Somos de carne y hueso

Colaboramos con el proyecto WordPress a través del programa «Five for the future». Francisco forma parte del equipo de revisión de plugins, colaborando de forma proactiva con la seguridad del ecosistema WordPress. Roberto forma parte del equipo de comunidad, organizando y participando en eventos sin ánimo de lucro para dar a conocer la herramienta, dar formación y crear conexiones profesionales.

Somos una entidad registrada en el catálogo de empresas y soluciones de ciberseguridad del INCIBE, el instituto nacional de ciberseguridad en España. Este registro comprueba que somos una entidad registrada en España, proveemos soluciones de seguridad, nuestro sitio cumple con la legislación y además es seguro.

¿Crees que podemos ayudarte?

Si has tenido un problema relacionado con virus o una intrusión en un sitio WordPress, contacta con nosotros, te indicaremos los primeros pasos a seguir y revisaremos tu caso para darte una solución efectiva a largo plazo.

Habla con nosotros

    Teléfono
    L-J 11-17h
    • Granada
    • Valladolid
    • Berlín