Arreglando Vulnerabilidad «Hacked by Gabby»

Arreglando Vulnerabilidad «Hacked by Gabby»

El otro día me comenta un amigo que le habían «hackeado» su wordpress, en este caso la web era Mis Gafas de Google

Que en la pagina principal le salía algo como esto

 

hackedbygabby

 

 

 

 

 

 

 

Le habían sustituido la página principal por eso, así que me pidió ayuda.

Empece a buscar en internet y encontré la solución de manos de Daniel Rozo (@DanielRoz0 en twitter).

En su web ( Daniel Rozo ) Explica que la vulnerabilidad lo que hacia era meter en tu wordpress un widget de texto que injectaba el siguiente código ofuscado :

document.documentElement.innerHTML = unescape(‘%48%61%63%6b%65%64%20%42%79%20%47%61%62%62%79’);

Una vez que había dado con el problema, la solución es bien fácil. Entras con tu administrador de wordpress, vas a la seccion de Widgets  en Apariencia/Widgets y allí te aparecia un widget inactivo que lo borrabas y ale, el problema ya estaba solucionado.

El también contaba que se podía dar otro caso, y era que no pudieras entrar con tu administrador al panel de control de wordpress, pero bueno, eso se arreglaba reseteando la contraseña del administrador por correo, luego entrabas y eliminabas ese widget de texto y todo solucionado.

Investigando un poco mas el tema encontré que es un hack relativamente nuevo, y que afecta a muchas instalaciones de wordpress,de echo incluso hay una base de datos online con las webs que han sido atacadas por dicho hack, como demuestra la siguiente imagen. (Pulsar para ampliar)

hackedbygabby2

 

Como se puede ver, hay ataques de hace unos días y esto se va a ir extendiendo.

 

El problema es que aparte de meterte esa página y después de eliminarlo,aparte de que te dejaba algunos widgets inactivos me encontré con otro problema, que el «hack» había cambiado también la codificación de las letras, así que te encontrabas cosas como estas :

 

gabby

 

 

 

 

Donde se puede apreciar el problema de que algunas letras están cambiadas.

 

 

Después de darlo muchas vueltas y no encontrando solución le mande un correo a Daniel, y el amablemente me contesto y me dio la solución, el charset del wordpress habia sido modificado, y arreglarlo era tan sencillo como ir en el panel de wordpress al apartado Ajustes/Lectura y ahí cambiar la codificacion a UTF-8. Una vez realizado esto el problema se soluciono y el blog volvió a estar activo otra vez.

Hoy mismo también me avisaron de otra web que había sido hackeada con una vulnerabilidad de wordpress, así que despues de esto solo me queda daros unos consejos para evitar que esto os suceda (o por lo menos que tengáis menos posibilidades de que os ocurra)

 

  1. Mantened simpre actualizado el WordPress así como todo sus plugins
  2. Instalad solo plugins que estén bien valorados en la comunidad de wordpress y que valgan para la versión de wordpress que tengais instalada.
  3. No useis usuario admin, ya que hay grupos que se dedican a atacar por fuerza bruta los paneles de control de los wordpress probando con varias claves y el usuario «admin». Crearos otro usuario que sea administrador
  4. Utilizas claves seguras.Sobre todo que sean largas (mas de 8 caracteres) y que mezclen todo tipo de caracteres
  5. Y cuidado con los temas «free» que instalais. Ya se que por la red circulan versiones «libres» de temas de pago, pero algunos traen troyanos o al no estar actualizados por los creadores de los temas pues tienen bugs por los que un hacker puede entrar.Así que mi consejo es que si os gusta un tema, que lo compréis. Si quereis podeis probar esas «plantillas» en instalaciones locales o maquinas virtuales, pero nunca lo hagáis en vuestra pagina o blog.

Y nada, pues daros las gracias por haber aguantado todo este rollozo, a rafa de @misgafasgoogle por haber confiado en mi y a @DanielRoz0 por su inestimable ayuda