Este sitio de WordPress fue hackeado

15 Ago

A continuación les comento que este sitio fue hackeado. Se estaba redireccionando el sitio a uno sitio ruso “programmengineering . ru” esto debido a que los archivos .htaccess fueron sobreescritos.

Breve descripción de los hechos:

  1. La primera en darse cuenta fue mi hermana que utilizó el link a mama-freelance que tengo desde mi página de Facebook. Y me dijo que no servía el sitio y que ponía una dirección extraña de Rusia.
  2. Le comenté a mi esposo y desde ese momento me ayudó a rastrear la fuente del problema.
  3. Primero creímos que era Facebook el que estaba fallando pero después de un rato nos dimos cuenta que los  archivos .htaccess habían sido sobreescritos. Cuando los abríamos para revisarlos aparentemente estaban intactos, pero el código que metieron tenía muchos saltos de línea y espacios de tal forma que el código malicioso quedaba oculto y teníamos que hacer scroll hacia la derecha para poder ver el código.
  4. Me asusté mucho porque creí que todos mis passwords estaban comprometidos pero después de un rato, descubrimos que el problema fue en una vulnerabilidad encontrada en el código thimthumb (es un script que se encarga de hacer los thumbs del sitio es decir, de recortar las imágenes que subo al sitio). Este código hacía que se pudiera crear un código php y guardarlo en el servidor, para después ser ejecutado por los mismos hackers que lo plantaron. Parece que en mi caso, estaban mandando emails desde mi servidor a quién sabe dónde. Pueden leer a lujo de detalles lo que ocurre en este artículo del blog de Mark Maunder quien encontró y parchó la vulnerabilidad en thimthumb. 

Cómo arreglar el problema

Esto me ocurrió en Worpdress. Si te está ocurriendo lo mismo debes hacer lo siguiente, lo cual recomendó un usuario en el foro de WordPress:

  1. Borrar o corregir todos los archivos .htaccess  que hayan sido sobreescritos
    Borrar los archivos sm3.php y wp.php que están en la misma carpeta del theme de wordpress justo donde está thimthumb.php (a veces llamado también “thumb.php”).
  2. Actualizar thumb.php con la última versión que se encuentra en http://timthumb.googlecode.com/svn/trunk/timthumb.php la cual ya se ha parchado.
  3. Editar el archivo .htaccess file borrar todo y agregar lo siguiente:
# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


AddType x-mapp-php5 .php

# protect wpconfig.php

order allow,deny
deny from all


# disable directory browsing
Options All -Indexes

#Protect .htaccess itself

order allow,deny
deny from all
satisfy all


# END WordPress

 

Sitios de interés

http://wordpress.org/support/topic/admin-search-plugin-page-hackedexploited

http://markmaunder.com/2011/technical-details-and-scripts-of-the-wordpress-timthumb-php-hack/

Acerca de Valentina Muñoz Porras

Valentina es doctora en Educación Matemática (Cinvestav IPN) y máster en computación egresada del IIMAS UNAM. Se interesa por el uso de la tecnología en la educación y trabaja como freelance en el diseño y desarrollo de programas interactivos para el aprendizaje y la enseñanza. Desde que nació su hija, ella y su esposo, se han interesado en trabajar desde casa para tener más tiempo para su pequeña, decidieron utilizar sus conocimientos de programación y diseño para poner su negocio online, Kukubaya.com se trata de una juguetería online para niños pequeños que envía juguetes y otros productos a todo México.

Publicaciones relacionadas:

2 Responses to “Este sitio de WordPress fue hackeado”

  1. Viviana de Mamas y Bebes noviembre 7, 2011 at 9:20 pm #

    Gente con tiempo libre !!! Que espanto !!

    • Valentina noviembre 7, 2011 at 9:22 pm #

      Sí Viviana! jejej realmente me asustó mucho la situación! lo bueno es que no hicieron nada que no se pudiera arreglar. Saludos!!

Leave a Reply

You must be logged in to post a comment.