Hackeado sin mi conocimiento de mi propia voluntad

Category: Seguridad 12 0

La tendencia es cada vez más marcada en las plataformas de venta de temas premium de WordPress, ¡te damos aún más! Si bien a primera vista esto puede parecer una buena noticia, también puede ser perjudicial para usted.

Tómate 5 minutos y déjame contarte sobre mi desventura…….

El 27/08/2014 a medianoche del 30, el plugin de WordFence anuncia que un login de “Admin” ha entrado como administrador en mi sitio de WordPress. Mi sangre es sólo una vuelta, sólo puede ser un error, no tengo acceso “Admin” en todos mis sitios de WP.

Me identifico en la administración -RAS! Genial, así que es un error, pero por conciencia o simplemente por costumbre, he comprobado Home y hay un problema, el sitio muestra una hermosa página hackeada (ver abajo), fondo negro, enlaces a sitios de hackers…….

Vale, me han hackeado, ¿cómo lo han hecho?

Conozco los principios de seguridad de WordPress, mi sitio está actualizado, mis plugins están actualizados, mi servidor es seguro, mi htaccess está bien, e incluso tengo un plugin de seguridad…. WTF!

En este momento no lo sé, la urgencia es simplemente ponerlo en orden. Eso es bueno, tengo un gran sistema de respaldo. Ni uno ni dos, estoy restaurando la versión del día anterior. 10 mn el tiempo necesario y salta el sitio es como antes:)

Son las 7:30 de la mañana, estoy contenta, pero no tranquila. Ellos hackearon mi sitio una vez, pueden hacerlo de nuevo porque aún no sé de dónde vino!

¿Cómo y dónde comprobar?

Los registros son tus amigos. Como en cualquier servidor que se precie, puede consultar sus registros, es decir, todas las operaciones que tuvieron lugar en el servidor.

Con mi subcontratación, comprobamos los registros e inmediatamente notamos que los hackers pasaron por PhpMyAdmin, que encontraron el nombre de usuario y la contraseña de mi base de datos en menos de 30 segundos y que luego se conectaron a WordPress.

  • Los hackers han llegado al sitio,
  • han enumerado los plugins,
  • ha iniciado sesión a través de PhpMyAdmin,
  • han añadido unadmin,
  • he entrado en mi WordPress,
  • tener archivos modificados (index.php) agregados y eliminados,
  • y luego se fue, ¡30 minutos en el tiempo!

En este punto se plantea la pregunta, ¿cómo encontraron los códigos? ¿A través de mi archivo wp-config o a través de mi PC?

¿Qué hacer a continuación?

Antes de buscar la brecha de seguridad, trataré de proteger más. Es urgente que se adopten nuevas medidas:

  • Cambiar las contraseñas de todas las bases de datos, ahora son conocidas por los hackers
  • Cambiar contraseñas de “administrador”
  • Cambie la URL de acceso a PhpMyAdmin, que normalmente es /mondomaine/phpmyadmin/ a algo como /mondomaine/probableaddress/

Encontrar la grieta es encontrar la solución!

En este momento estoy bloqueando porque todavía no veo el fallo, así que llamo a un especialista en seguridad de WordPress, mi amigo Julio de BoiteàWeb.

Este último con mi acceso FTP busca y encuentra rápidamente que el problema viene del plugin Revolution Slider porque este último (en su versión 4.1.1) no está actualizado y contiene un defecto de seguridad que permite leer mi archivo wp-config con una simple URL.

Todavía no entiendo… Estoy seguro de que mi WordPress estaba actualizado, ¡incluyendo los plugins! Finalmente llega la chispa: Revolution Slider ha llegado con el tema premium, es decir, el plugin “bonus”.

Es bueno el plugin “bonus” pero hay un problema: incluso si el pluginRevolution Slider está presente (con su número de versión) en la página de tus plugins instalados, no se muestra y no advierte que una actualización está disponible porque no tienes derecho a ella.

En otras palabras, depende de usted comprobar manualmente que una nueva versión está disponible y tendrá que comprar el plugin de todos modos para beneficiarse de él….

¡Mea Culpa!

Esta experiencia fue beneficiosa para mí, como una buena patada en el culo. Es claro que de mi coche fauto, cometí dos grandes errores:

  • acceso demasiado fácil a mi PhpMyAdmin
  • No he actualizado un plugin que contenga una vulnerabilidad de seguridad

Lo peor de todo es que me compré la licencia de Revolution Slider hace un año, simplemente me olvidé/no pensé que era necesario reemplazar la versión inclinada que me proporcionaba el tema.

¿Cuántos sitios funcionan con plugins obsoletos?

Esto plantea un problema importante, ¿cuántos usuarios de WordPress se están ejecutando hoy con el plugin Revolution Slider proporcionado por su tema?

Un rápido vistazo a Themeforest te mostrará que casi todos los nuevos temas premium se ofrecen en su paquete Revolution Slider y que no todos ofrecen versiones actualizadas (para tu información, la versión 4.5.9 es segura).

No quiero ser innecesariamente alarmista pero Julio ha probado algunos sitios al azar y hay gente preocupada por este defecto: / Descubra su análisis completo y su retorno en blog.secupress.fr.

Edición del 06/09/14: Envato ha decidido reaccionar en vista de la escala de los temas premium afectados por este defecto, simplemente eliminando los temas que presentan el defecto “Revolution Slider”. Los numerosos artículos y usuarios insatisfechos lograron que la plataforma se moviera, debe ser leída en “10000 WP themes concerned by the Revolution Slider vulnerability”.

Nota: Tras esta vulnerabilidad de seguridad, Envato ofrece una actualización gratuita del plugin Revolution Slider.

Una lección y mi conclusión

Envié un correo electrónico a los desarrolladores de los temas que estaba usando y otro a los desarrolladores de Revolution Slider para informarles de este problema.

Como diría un cierto Richard V: “Fui hackeado sin mi conocimiento de mi propio libre albedrío” así que evita que esto te suceda, así que sólo te aconsejaría demasiado que revisaras tus versiones de Revolution Slider y mientras estés allí de todos los plugins de bonificación proporcionados por tus temas premium… Nunca sabes)

Así que a todos, Agencia Web, usuario, WordPress Pro, pasar el mensaje para que este tipo de error no vuelva a ocurrir! Nos vemos pronto en wpformation…

4.924

Related Articles