En los últimos días, el equipo de soporte de ProfesionalHosting ha notado un incremento considerable de casos relativos a infecciones de páginas webs corriendo con WordPress.
Investigando la causa, se observa que en el mes de Abril de 2023 apareció una infección masiva debida al malware denominado Balada Injector.
Aún por determinar como se está reproduciendo y cual es el origen del problema, dicha infección, mediante ofuscación, redirecciona las páginas webs a webs de publicidad, casas de apuestas (Gambling), etc.
Desde ProfesionalHosting recomendamos por el momento securizar lo máximo posible las instalaciones actuales de WordPress para protegerse de algún posible zero day no controlado aún. A continuación, detallamos unas recomendaciones para seguir.
Recomendaciones
- La primera de todas, restaurar una copias de seguridad de la que se disponga, sea de las que usted mismo gestione o bien usando las copias que ProfesionalHosting provee de su servicio (Recuerde que estas copias no son garantizadas y recomendamos al cliente final en mantener una política activa de copias de seguridad)
- En caso de no haber copias, lo primero de todo sería pasar un antivirus a los archivos y base de datos afectada que pudiera eliminar todo lo que sea posible. Tras la desinfección, si la web opera con normalidad, realice una copia de seguridad.
- Elimine de la base de datos toda aquella información susceptible a ser sospechosa. Sobre todo, en la tabla wp_users, aquellos usuarios que parezcan sospechosos.
- Actualice en la medida de lo posible al máximo el Kernel de WordPress, trate de trabajar sobre versiones de WordPress novedosas.
- Actualice en la medida de lo posible los plugins que emplee en su web. Suelen ser el punto principal de ataques.
- Actualice en la medida de lo posible la plantilla (theme) que usa.
- Aplicar el sentido común, no usar plantillas/plugins piratas (nulled).
- Estar constantemente buscando novedades al respecto para aplicar parches/workarounds para mitigar el problema.
Independientemente de la campaña actual de infecciones que existe, recuerde siempre mantener una política de seguridad activa constante para esquivar estos escenarios y crear copias de seguridad rutinarias.
Fuente: https://csirt.cedia.edu.ec/malware-balada-inyector-campana-masiva-afecta-sitios-wordpress/