Soporte » Seguridad » Problemas con malware en WordPress

  • Resuelto ferrtx

    (@ferrtx)


    Hola
    Mi servidor a desabilitado el servicio SMTP en dos ocasiones porque se está detectando malware en el sitio web que envía masivamente spam.

    La cuestión es que esta web aún está en construcción, nada más instalar Contact From 7 y crear un formulario correctamente con un sistema de captcha numérico y comprobar que funcionaba correctamente, a la hora recibimos un correo spam, luego este formulario lo configuré para que se conectara con la cuenta privada del sitio creada en el servidor.
    Hice otra prueba de envío y funcionaba correctamente, a las horas recibo un aviso del servidor diciendo que se había desabilitado el servicio SMTP por seguridad ya que se estaba detectando correo masivo spam.lo volví a habilitar y a continuación otro aviso similar.

    La cuestión es que el sitio aún no tiene visitas, no está terminado, solo tiene algunas imágenes y unas 10 páginas, me puse en contacto con el servidor y me explicaron los motivos que pudieran estar ocasionando el problema, con pruebas de correos spam que se habían enviado desde ese formulario.
    Entonces, descargué copia de seguridad de archivos y base de datos y las analicé en mi equipo, no se detectó ninguna amenaza, por lo que esa opción no me va a solucionar.
    Causa probable es que mantenía varias plantillas descargadas sin activar para pruebas de diseño, y solo 4 plugins instalados , contact from 7 GRPD, metaslider y lite speed cahcé que son comunes y actualizados, por eso mi sospecha es que pudiera haber entrado malware unicamente por las plantillas sin activar.

    Esas plantillas están instaladas desde el primer día, por lo que una restauración a una fecha anterior al formulario de contacto creo que no me va a solucionar.
    Si hago un respaldo del sitio desde la herramienta de exportación, y lo importo a una nueva instalación, ese respaldo contendría el malware??

    No se como solucionar esto, también puedo solicitar el cambio de IP del servidor pero no se cual sería su efectividad.

    Actualmente está funcionando con la plantilla Dollah y también está de reserva instalada la plantilla Twenty two.

    Quisiera saber cual sería la opción más apropiada para solucionar este problema y terminar de crear la web sin resto del malware que debe estar actualmente amenazando mi web.

    Muchas gracias!

Viendo 9 respuestas - de la 1 a la 9 (de un total de 9)
  • Hola, los correos de prueba que identificaron como spam ¿los reconoces o no los has creado tú o tu sistema?
    Tiene pinta de que te hayan entrado en el hosting y te hayan instalado algún malware para usar tu php mail.
    En todo caso el primer paso sería instalar algún plugin de seguridad como Wordfence para hacer un escaneo del sistema y ver si encuentra algo.
    https://es.wordpress.org/plugins/wordfence/

    Hola @pablo-moratinos Gracias por tu respuesta.

    Los correos spam que se han enviado desde el formulario no los reconozco para nada, es decir correos de prueba solo hubo 3 que envié yo para comprobar el funcionamiento del formulario, el resto que se han detectado no son pruebas si no ataques digamos.
    Al realizar la primera prueba, el formulario no estaba enlazado con la cuenta privada del hosting porque todavía no la había creado, así que estaba enlazado con la cuenta de correo personal de administrador. Lo dejé así y a la hora recibí un correo spam desde el sitio web, me sorprendió ese coreo pero lo ignoré.

    A los días, configuré la cuenta de correo privada en el hosting, la incorporé al formulario de la web, realicé otra prueba ve envío y todo funcionaba correctamente. A las pocas horas, recibí un aviso del hosting diciendo que se había detectado correo masivo spam y que por seguridad se había desabilitado el servicio SMTP. No podía ser cuando el sitio aún está en pruebas pero así era, lo volvieron a activar y al momento volví a recibir el mismo aviso y su desactivación.

    De momento estoy esperando a tomar la mejor decisión, yo dudo que tenga pinta de que hayan entrado al hosting y que esa sea la causa, porque el contenido del primer spam recibido antes de enlazar el formulario al correo privado, el contenido es similar al recibodo en la cuenta privada creada días después, por eso mi sospecha es que ese mallware haya entrado al sitio web por medio de las plantillas que tenía sin activar.
    Pero cualquier cosa ya no me sorprende, quizás ese bicho a logrado entrar al hosting por medio del wordpress, la verdad me gustaría saber si es posible porquehasta ahora confio en la seguridad de la plataforma..

    De todas maneras, no voy a optar por instalar un plugin para solucionar este problema, ni depender de el en el futuro, no creo que sea la solución.
    Creo que lo correcto es borrar todo y hacer una nueva instalación, porque como dije, la web todavía está en construcción, por eso pido soporte a los voluntarios para saber si el respaldo estaría limpio de malware o si lo mejor es borrar todo.

    El soporte hosting me podrá aconsejar, pero con respecto a wordpress, es el soporte de wordpress quien tiene que darme una respuesta firme.
    Muchas gracias, espero una pronta solución.

    Hola, si te puedes permitir un borrado masivo y empezar de cero, es la mejor forma de resolverlo, desde luego. Anque si han entrado por plugins o temas vulnerables, volverán a entrar si no los parcheas.

    Respecto a «es el soporte de wordpress quien tiene que darme una respuesta firme.», no vas a recibir una respuesta formal, el soporte de WordPress es un grupo de voluntarios que tratamos de ayudar a los usuarios, no un soporte oficial o profesional como tal.

    Hola, supongo que por los temas, porque los plugins que tengo son: Contact form 7, GDPR Cookie Compliance, LiteSpeed Cache y MetaSlider, que estaban todos actualizados hace unos días y compatibles para la versión 5.6.
    La plantilla actual es Dollah, supongo que está validada por la comunidad, por añadir.. las que tenía sin actuvar fueron portfolio-lite, zigcy-lite y las de twenty.

    Estoy haciendo pruebas antes de optar por borrar todo, acabo de instalar el plugin Wordfence y he realizado un scan con la configuración predeterminada, el resultado: No new issues have been found. (una lástima que no esté la traducción a español..)

    De todas formas, tengo otro hosting multisitio y ninca me había ocurrido esto ni he tenido que parchear nada, pero agradezco el consejo.

    Hola @pablo-moratinos
    He estado esperando resultados después de instalar Wordfence y se estaba detectando malware, con varios avisos que se detectaban en esta ruta: wp-content/languages/es_ES.. aun teniendo configurado el formulario con un captcha numérico, he seguido recibiendo spam.

    Así que no ha quedado otro remedio que borrar todo y cuidadosamente instalar wordfence nuevamente antes de nada.

    Para dejar por solucionado este tema, quisiera resolver unas preguntas:
    La instalación incluye el plugin Akismet Anti-Spam, debería dejarlo o provocaría alguna incompatibilidad con wordfence?
    Tengo un token de respaldo de wordfence con los ajustes de la anterior instalación pero no me deja importarlo a la nueva, solo está activo el botón Exportar, pero el de Importar no funciona, no he visto nada que indique que sea necesaria la versión premium para importar, además el plugin no está actualizado al Español.

    Gracias un saludo.

    Hola @ferrtx ¿Te refieres a que recibes spam a través del formulario de contacto? Yo te había entendido que era tu servidor el que estaba enviando spam.
    Si es así, WordFence no te va a servir de ayuda. Un paso básico es activar Akismet (que no presenta ninguna incompatibilidad con Wordfence, por otra parte).
    Para evitar que te entren formularios con spam vía Contacto Form 7 necesitarás activar reCaptcha. Aquí tienes una guía para hacerlo: https://contactform7.com/recaptcha/

    Hola, bueno no será lo mismo recibir spam por el formulario que tener malware dentro de la instalación de wordpress, pero con la web en construcción y nada más instalar el plugin contact form, crear el formulario y añadirle la cuenta de correo privada en «De» ya recibí a la hora un spam, al día siguiente mi servidor hosting mandó un aviso de que se estaba detectando correo masivo malicioso y desactivaron el SMTP.. tampoco es normal cuando la web está en n construcción y no tiene visitas.. asi que supongo que no solo spam, si no que había malware dentro de la instalación o un boot que estaba usando el correo. También dije que el formulario ya tiene un «captcha» numérico, no es de google pero algo hará y una casilla de verificación, y todo eso no servía para nada, seguian produciendose envios masivos, entonces, es simple spam o es malware?
    Con Wordfence conseguí parar esos correos masivos pero los intentos seguían a diario y wordfence me enviaba alertas cada 2 días.
    Así que borré todo y solicité cambio de IP.

    A mi entender se trata de malare en la instalación

    El captcha numérico es muy pobre como herramienta antispam (aunque ya sea un paso para evitarlo) y la casilla de verificación también. Sin embargo coincido contigo en que con la web recién publicada es muy raro que ya te entre spam por ahí.
    Espero que con los cambios que indicas se solucione el problema.

    Un saludo

    Si, el captcha numérico es una alternativa fragil pero más accesible para quienes no alcanzan a ver bien las letras tachadas o los fragmentos de imágenes aunque con la versión reCaptcha v3, creo que se vá avanzando..
    La web estába yen construcción, si que tenia varias plantillas de prueba y algún plugin sin activar, también hubo un error con la instalación del CMS ofrecida por mi hosting, que no se instalaba wordpress en español y mientras lo solucionaban les pedí que me la instalaran de alguna manera y tengo sospecha de que no fue muy segura.

    En fin, quería evitar borrar todo, perocreo que el mejor remedio es hacer limpieza y seguir las recomendaciones.

    Gracias por el apoyo, y un saludo.

Viendo 9 respuestas - de la 1 a la 9 (de un total de 9)
  • Debes estar registrado para responder a este debate.