Plugin SEO falso infecta miles de sitios WordPress
|Un falso plugin WordPress llamado WP-Base-SEO, que está basado en un plugin SEO real ha infectado más de 4.000 webs WordPress en las últimas dos semanas.
¿Qué hace este plugin SEO falso?
Este plugin se supone que debería mejorar el tráfico de usuarios pero lo que hace realmente es crear una puerta trasera en el sitio infectado.
El atacante escanea la red buscando plugins WordPress sin actualizar, especialmente el plugin RevSlider, que viene incluido en muchos temas WordPress pero los propietarios de las webs tienden a tener sin actualizar al venir incluido.
Te recuerdo del peligro de los plugins incluidos en los packs de ThemeForest o similares, pues podrías pensar que se actualizan con el tema pero no, hay que comprar luego la licencia propia, sino tendrás una brecha de seguridad. El modelo de negocio de plugins como Revolution Slider o Visual Composer es precisamente ese: te los regalan con el tema pero luego tienes que adquirir la licencia para tener actualizaciones y soporte.
La empresa de seguridad SiteLock, que ha sido quien ha localizado el falso plugin ha informado que el plugin falso ha cogido el código de un plugin SEO real y lo ha modificado para que parezca ser auténtico.
De ese modo un usuario de WordPress pensará que tiene un plugin SEO legítimo, cuando lo que tiene es una falsificación con malas intenciones.
Examinando el código del falso plugin, en realidad malware, WP-Base-SEO, se ve que contiene una función eval PHP codificada/ofuscada en base64 que ejecuta código PHP arbitrario.
Cómo limpiar WordPress si estás infectado
Revisa la carpeta wp-content/plugins y borra cualquier carpeta y archivo que no hayas instalado/subido tú mismo. Instala un plugin de seguridad como WordFence, iThemes Security o Sucuri y revisa toda tu instalación para determinar cambios no controlados por ti en tu instalación, y revisa también tu base de datos.
Reinstala copias limpias de tus temas y plugins e incluso de WordPress.
Por supuesto, nunca instales plugins o temas desde fuentes no fiables, usa siempre el directorio oficial de WordPress.org o desarrolladores de confianza.
Por supuesto, siempre haz copias de seguridad de tu contenido. Siempre puedes volver a instalar un WordPress desde cero, con todo limpio, pero tu contenido es lo que nadie puede darte ni puedes instalar desde ninguna otra parte.