En los últimas horas hemos empezado a recibir un incremento de WordPress hackeados en day 0 debido a un fallo de seguridad que ha aparecido en WordPress con el plugin Easy WP Smtp, este fallo permite crear un usuario como administrador y escalar privilegios al atacante, afortunadamente el day 0 ha acabado a los 3 días y el plugin ya ha sido parcheado.
Después de saltar las alertas en nuestro equipo técnico en la tarde de ayer, nuestro pensamiento inicial ha sido que podía ser debido al fallo de seguridad que se ha publicado estos días por el sitio oficial de WordPress.org y varias páginas de seguridad en donde indican que las versiones de WordPress anteriores a 5.1.1 tiene un fallo en la integración nativa de comentarios que permite al atacante inyectar código en los mismos que puede ser usado junto a varias técnicas de hacking basadas en javascript para extraer credenciales sin que el administrador del sitio se de cuenta, simplemente visitando post alterados para sacar credenciales. Si tienes un WordPress versión 5.x recomendamos actualizar tu sitio con urgencia a la versión 5.1.1 en donde el problema ha sido solucionado.
Investigando los logs y bases de datos de varios sitios hackeados notificados por clientes, no localizamos ningún comentario extraño que podía haber ocasionado este problema, y encontramos un patrón en todos los WordPress hackeados, era el plugin Easy WP Smtp, con accesos extraños directos a dicho plugin antes de ser hackeados. Buscando por la red encontramos un bug reciente critico en dicho plugin que permite al atacante fácilmente crear un usuario con permisos de administrador. EL fallo de seguridad fue descubierto hace 1 o 2 días.
Solución: Actualizar el plugin y en caso de infección seguir los pasos de a continuación.
Limpiando el sitio de la infección:
- Por lo que hemos visto el ataque se ha centrado en alterado levemente tu WordPress para que se desvié a otro sitio(https://getmyfreetraffic.com/n90sab35473), esto lo han realizado directamente cambiando la url de sitio(al tener acceso como administrador a tu admin de WordPress), principalmente han cambiado el campo siteurl de la tabla de la base de de datos wp-config. Mi consejo es buscar en toda la base de datos este texto: getmyfreetraffic, encontrareis algo así: https://getmyfreetraffic.com/n90sab35473 y reemplazarlo por https://midominio.com/
- En segundo lugar, revisa los usuarios dados de alta en la base de datos, en los WordPress atacados hemos visto un email con una extensión de Rusia, si ese usuario existe borrarlo o cualquier usuario raro.
- Si dispones de copia y no has realizado cambios lo ideal es que reviertas a la copia de al menos 1 semana atrás.
- Una vez hecho esto actualiza el plugin que ha generado el problema, y si puedes todo tu WordPress, haz una copia antes de todo.
Hemos añadido a nuestras reglas de mod security genéricas durante esta noche un parche para evitar que esto suceda, en los compartidos ya ha sido aplicado, en los vps, para aplicar la prevención hay que reiniciar el apache de tu vps.