Masivo ataque afecta a blogs de WordPress y usuarios de ZenCart

Un masivo ataque a una gran escala que, a diferencia del ataque de hace unas semanas, ahora esta concentrado no sólo en un proveedor de hosting sino que en varios de los más populares proveedores de alojamiento para bloggers, está siendo detectado en internet desde el 7 de Marzo de este mes.

Y aunque los ataques no cesan, lo cierto es que muchos usuarios han visto disminuir sus visitas luego de que un script encriptado que ha sido encontrado en varios archivos de WordPress imprimieran antes del cierre del tag body una llamada a un script que ejecuta una condición imitando ser un falso antivirus o siendo redirigido a una búsqueda en Google donde se encuentra en primer lugar la web del atacante.

Hasta el momento los proveedores de hosting más afectados son DreamHost, GoDaddy, Media Temple y Bluehost. GoDaddy ya ha comenzado un plan de contingencia para sus usuarios que pueden contactar con soporte para solicitar ayuda para eliminar posibles amenazas. Dreamhost también está haciendo lo suyo procesando revisiones periódicas a los archivos de los usuarios, mientras que no se sabe mucho de Media Temple y Bluehost.

No se ha confirmado tampoco si el ataque tiene relación con algún fallo de seguridad de WordPress, pero lo que sí es claro es que los blogs están siendo víctimas de ataques por la forma en como funciona WordPress mediante la carga de archivos relacionados, lo que lo hace fácil de poder meter una buena cantidad de scripts encriptados a varios archivos y que estos luego se encarguen de mantenerse ahí aunque el webmaster haya sacado uno de los miles que pueden haber.

Los Usuarios de ZenCart también han sido afectados esta vez con los mismos códigos de hackeo que en los blogs WordPress, una razón por la cual desestimar que pueda deberse a un fallo de WordPress sino a un fallo del servidor.

Sucuri, una firma especializada en seguridad para sitios web desarrolló dos interesantes soluciones , una de ellas para quienes tienen aceso SSH y otra que permite hacer un barrido por todos los archivos detectando posibles archivos que sean una amenaza para WordPress. WPSecurityLock hizo además una completa guía de cómo reinstalar WordPress usando tus respaldos -que supongo tienes uno- con el fin de que todo vuelva a la normalidad.

GoDaddy ya está de manera legal tras la pista de quienquiera que haya comenzado los ataques, al menos, con sus clientes, y está recabando antecedentes aún para ordenar luego una demanda.

Como recomendación propia, les dejo los siguientes consejos:

1. Revisa periodicamente tu código fuente. Échale un ojo a la portada y allí vee el código fuente de tu sitio web. Nunca te sabes si en algún momento encontrarás algo sospechoso.
2. Tu log de errores es tu mejor amigo, ya que no siempre el primer ataque tiene éxito y se produce casi siempre un error de PHP que queda documentado en los logs de errores, que son frecuentemente mucho más pequeños que un log de acceso. Pídele a tu proveedor dichos logs.
3. Escanea tu tema de WordPress en busca de posibles archivos con encruptación base64. Te recomiendo que, si usas Dreamweaver, descargues todo tu tema y hagas un “Buscar” en todos los archivos del mismo dentro del código fuente. Allí busca la cadena “eval(” -sí, con paréntesis al final-. De tenerla, elimínala por completo, aunque a veces puede ser del tema que estés usando el código base64, y de ser así, mejor remítete a preguntarle a quien te haya vendido el tema.
4. Nunca, repito, NUNCA uses una misma contraseña para el login de WordPress y para el de tu correo o el de tu vendedor de dominios. Puedes terminar tan mal como el robo del dominio de Maestros del Web a Christian van der Henst.
5. Mantén actualizado tu WordPress, desde los temas hasta los plugins. Las actualizaciones son precísamente para ello: evitar mediante actualizaciones de seguridad que un atacante pueda aprovechar una vulnerabilidad descubierta.