Soporte » Seguridad » WordPress hackeado

  • Hola. No sé si podréis echarme un cable. Aporto datos para ver si podéis decirme por donde creéis que está el agujero de seguridad, ya que el contenido en sí si que puedo recuperarlo pero quiero evitar que pase de nuevo. Era una web nueva… tenía menos de un mes y por lo tanto las visitas eran nulas. El software estaba actualizado lógicamente.

    THEME ACTIVADO: GENERATEPRESS. Había otros instalados pero no activos: los que están por defecto en WordPress.

    PLUGINS ACTIVOS: lightbox, classic editor, cookie bar, wp-useronline. Desactivados están Askimet y file-manager-advanced (¡ESTE ÚLTIMO LO HA METIDO EL HACKER»).

    OTROS DATOS:

    – No puedo acceder a mi usuario Admin (se cambió la contraseña). Veo en MySQL que el correo sigue el mío.
    – Se han generado nuevas carpetas y archivos (una carpeta sitemap con URL apuntando a mi sitio pero inexistentes tipo midominio.com/spWKLxkkkwe ASÍ miles.
    – Un archivo PHP en la raíz llamado «n.php» que muestra todos los archivos que hay subidos y además permite subir archivos al sitio.
    – En Google Search Console el hacker se puso de propietario, ya que pudo vincular mi sitio con Google al meter un código HTML. Imagino que será para ver las estadísticas del sitio? Y además apunto las miles de URL de los sitemap.
    – El atacante es: Fifhter Anas Shell – Royal Battler BD

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Moderador Jose Luis

    (@jose64)

    Hola

    Revisa esto con detenimiento y sigue las instrucciones paso a paso:

    Limpiar un WordPress infectado/hackeado

    Para acceder a tu WordPress tienes que cambiar la contraseña nuevamente desde la base de datos, te dejo otro debate donde explica como hacerlo:

    Error acceso, email no reconocido

    hola a mí me paso lo mismo deje una instalación inactiva mientras construía mi sitio, al parecer el atacante ejecuto la instalación referenciando a una base de datos externa, me di cuenta por un correo que decía que mi dominio estaba siendo usado para realizar phishing de inmediato relacione la carpeta con el problema la cual borre de inmediato. Pero entes realice una copia del archivo config.php donde está la configuración de la base de datos con la cual realizo la instalación utilizando la carpeta con wordpress inactiva. Al parecer el atacante tiene un boots que se encarga de buscar en los sitio carpetas de instalaciones inactivas para posteriormente utilizarla para realizar phishing con tu sitio. Yo me conecte a su base de datos y me di cuenta que tenía cientos de instalaciones de wordpress en la misma base de datos y procedí a eliminarles todas las tablas en represaría siguieron los ataques por sin daño de la información comencé a instalar plugin como wps hide login, loginiser, block country, limpie la instalación de wordPress coloque el archivo .htaccess como solo lectura sin embargo lograba cambiar el archivo .htacces para tumbar el sitio, luego mi sitio duro dos días sin caerse después de eso me sorprendió que se haya caído el sitio al revisar me di cuenta que me había borrado por completo el sitio lógicamente hay una copia pero quedo con la incertidumbre y seguramente lo volverá a borrar.
    La ip de la Base de datos del atacante es 70.39.232.106 y el nombre de la base de datos es kontol_panjang, lógicamente no les doy la contraseña porque ya la cambio y en los registro de visitas encuentro las siguientes ip sospechosas: 66.249.75.51,- 66.249.75.49 – 77.88.5.233 – 66.249.75.53 – 18.213.114.129
    Acudo a ustedes para ver si me puedan ayudar de antemano le agradezco su colaboracion.

    Moderador Jose Luis

    (@jose64)

    Hola @gbatista

    Haz lo que se indicó antes, sigue la guía para Limpiar un WordPress infectado/hackeado y, por favor, si abres un debate con la consulta no la vuelvas a formular en otro:

    problema de seguridad

Viendo 3 respuestas - de la 1 a la 3 (de un total de 3)
  • Debes estar registrado para responder a este debate.