Este sitio de WordPress fue hackeado
15 Ago
A continuación les comento que este sitio fue hackeado. Se estaba redireccionando el sitio a uno sitio ruso “programmengineering . ru†esto debido a que los archivos .htaccess fueron sobreescritos.
Breve descripción de los hechos:
- La primera en darse cuenta fue mi hermana que utilizó el link a mama-freelance que tengo desde mi página de Facebook. Y me dijo que no servÃa el sitio y que ponÃa una dirección extraña de Rusia.
- Le comenté a mi esposo y desde ese momento me ayudó a rastrear la fuente del problema.
- Primero creÃmos que era Facebook el que estaba fallando pero después de un rato nos dimos cuenta que los archivos .htaccess habÃan sido sobreescritos. Cuando los abrÃamos para revisarlos aparentemente estaban intactos, pero el código que metieron tenÃa muchos saltos de lÃnea y espacios de tal forma que el código malicioso quedaba oculto y tenÃamos que hacer scroll hacia la derecha para poder ver el código.
- Me asusté mucho porque creà que todos mis passwords estaban comprometidos pero después de un rato, descubrimos que el problema fue en una vulnerabilidad encontrada en el código thimthumb (es un script que se encarga de hacer los thumbs del sitio es decir, de recortar las imágenes que subo al sitio). Este código hacÃa que se pudiera crear un código php y guardarlo en el servidor, para después ser ejecutado por los mismos hackers que lo plantaron. Parece que en mi caso, estaban mandando emails desde mi servidor a quién sabe dónde. Pueden leer a lujo de detalles lo que ocurre en este artÃculo del blog de Mark Maunder quien encontró y parchó la vulnerabilidad en thimthumb.
Cómo arreglar el problema
Esto me ocurrió en Worpdress. Si te está ocurriendo lo mismo debes hacer lo siguiente, lo cual recomendó un usuario en el foro de WordPress:
- Borrar o corregir todos los archivos .htaccess que hayan sido sobreescritos
Borrar los archivos sm3.php y wp.php que están en la misma carpeta del theme de wordpress justo donde está thimthumb.php (a veces llamado también “thumb.phpâ€). - Actualizar thumb.php con la última versión que se encuentra en http://timthumb.googlecode.com/svn/trunk/timthumb.php la cual ya se ha parchado.
- Editar el archivo .htaccess file borrar todo y agregar lo siguiente:
# BEGIN WordPressRewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] AddType x-mapp-php5 .php # protect wpconfig.phporder allow,deny deny from all # disable directory browsing Options All -Indexes #Protect .htaccess itselforder allow,deny deny from all satisfy all # END WordPress
Sitios de interés
http://wordpress.org/support/topic/admin-search-plugin-page-hackedexploited
http://markmaunder.com/2011/technical-details-and-scripts-of-the-wordpress-timthumb-php-hack/
Acerca de Valentina Muñoz Porras
Valentina es doctora en Educación Matemática (Cinvestav IPN) y máster en computación egresada del IIMAS UNAM. Se interesa por el uso de la tecnologÃa en la educación y trabaja como freelance en el diseño y desarrollo de programas interactivos para el aprendizaje y la enseñanza. Desde que nació su hija, ella y su esposo, se han interesado en trabajar desde casa para tener más tiempo para su pequeña, decidieron utilizar sus conocimientos de programación y diseño para poner su negocio online, Kukubaya.com se trata de una jugueterÃa online para niños pequeños que envÃa juguetes y otros productos a todo México.
- More Posts(123)
2 Responses to “Este sitio de WordPress fue hackeado”