¿Qué es una puerta trasera?
La puerta trasera se refiere a un método para eludir la autenticación normal y obtener la capacidad de acceder de forma remota al servidor sin ser detectado. La mayoría de los piratas informáticos inteligentes siempre cargan la puerta trasera como lo primero. Esto les permite recuperar el acceso incluso después de encontrar y eliminar el explorado. plugin. Las puertas traseras a menudo sobreviven a las actualizaciones, por lo que su sitio es vulnerable hasta que limpie este desastre.
Algunas puertas traseras simplemente permiten a los usuarios crear un nombre de usuario de administrador oculto. Mientras que las puertas traseras más complejas pueden permitir al hacker ejecutar cualquier código PHP enviado desde el navegador. Otros tienen una interfaz de usuario completa que les permite enviar correos electrónicos como su servidor, ejecutar consultas SQL y todo lo demás que quieran hacer.
¿Dónde está escondido este código?
Las puertas traseras en una instalación de WordPress se almacenan comúnmente en las siguientes ubicaciones:
- Temas – Lo más probable es que no esté en el tema actual que está utilizando. Los piratas informáticos quieren que el código sobreviva a las actualizaciones principales. Entonces, si tiene el antiguo tema de Kubrick en su directorio de temas u otro tema inactivo, entonces los códigos probablemente estarán allí. Por eso recomendamos eliminar todos los temas inactivos.
- Complementos – Los complementos son un gran lugar para que el hacker oculte el código por tres razones. Uno porque la gente realmente no los mira. Dos porque a la gente no le gusta actualizar su plugins, por lo que sobreviven a las actualizaciones (la gente las mantiene actualizadas). Tres, hay algunos mal codificados plugins que probablemente tengan sus propias vulnerabilidades para empezar.
- Directorio de subidas – Como bloguero, nunca verificas tu directorio de subidas. ¿Por que lo harias? Simplemente sube la imagen y úsala en tu publicación. Probablemente tenga miles de imágenes en la carpeta de cargas divididas por año y mes. Es muy fácil para el pirata informático cargar una puerta trasera en la carpeta de cargas porque se ocultará entre miles de archivos multimedia. Además, no lo revisa con regularidad. La mayoría de la gente no tiene monitorización plugin como Sucuri. Por último, se puede escribir en el directorio de cargas, por lo que puede funcionar como se supone que debe hacerlo. Esto lo convierte en un gran objetivo. Hay muchas puertas traseras que encontramos allí.
- wp-config.php – Este es también uno de los archivos más atacados por los piratas informáticos. También es uno de los primeros lugares en los que se le dice a la mayoría de la gente que busque.
- Incluye carpeta – / wp-includes / folder es otro lugar donde encontramos puertas traseras. Algunos piratas informáticos siempre dejarán más de un archivo de puerta trasera. Una vez que carguen uno, agregarán otra copia de seguridad para garantizar su acceso. La carpeta Incluye es otro lugar donde la mayoría de la gente no se molesta en mirar.
En todos los casos que encontramos, la puerta trasera estaba disfrazada para parecerse a un archivo de WordPress.
Por ejemplo: en un sitio que limpiamos, la puerta trasera estaba en la carpeta wp-includes y se llamaba wp-user.php (esto no existe en la instalación normal). Hay user.php, pero no wp-user.php en la carpeta / wp-includes /. En otro caso, encontramos un archivo php llamado hello.php en la carpeta de cargas. Estaba disfrazado de Hello Dolly plugin. Pero, ¿por qué diablos está en la carpeta de subidas? D’oh.
También puede usar nombres como wp-content.old.tmp, data.php, php5.php o algo por el estilo. No tiene que terminar con PHP solo porque contiene código PHP. También puede ser un archivo .zip. En la mayoría de los casos, estos archivos están codificados con código base64 que generalmente realiza todas las operaciones de clasificación (es decir, agregar enlaces de spam, agregar páginas adicionales, redirigir el sitio principal a páginas de spam, etc.).
Ahora probablemente esté pensando que WordPress es inseguro porque permite puertas traseras. Estás MUERTO INCORRECTO. La versión actual de WordPress no tiene vulnerabilidades conocidas. Las puertas traseras no son el primer paso del truco. Suele ser el segundo paso. A menudo, los piratas informáticos encuentran un exploit en un tercero plugin o script que luego les da acceso para cargar la puerta trasera. Pista: el truco TimThumb. Sin embargo, puede ser todo tipo de cosas. Por ejemplo, un mal codificado plugin puede permitir la escalada de privilegios de usuario. Si su sitio tenía registros abiertos, el pirata informático puede registrarse de forma gratuita. Aproveche la única función para obtener más privilegios (que luego les permite cargar los archivos). En otros casos, es muy posible que sus credenciales se hayan visto comprometidas. También puede ser que esté utilizando un proveedor de alojamiento inadecuado. Consulte nuestra lista recomendada de alojamiento web.
¿Cómo encontrar y limpiar la puerta trasera?
Ahora que sabe qué es una puerta trasera y dónde se puede encontrar. Tienes que empezar a buscarlo. Limpiarlo es tan fácil como borrar el archivo o código. Sin embargo, lo difícil es encontrarlo. Puede comenzar con uno de los siguientes escáneres de malware WordPress plugins. De esos, recomendamos Sucuri (sí, se paga).
También puede utilizar el Exploit Scanner, pero recuerde que los códigos base64 y eval también se usan en plugins. Entonces, a veces devolverá muchos falsos positivos. Si no es el desarrollador del plugins, entonces es realmente difícil para usted saber qué código está fuera de lugar en las miles de líneas de código. Lo mejor que puedes hacer es borra tu plugins directorioy reinstale su plugins desde cero. Sí, esta es la única forma en que puede estar seguro a menos que tenga mucho tiempo para gastar.
Buscar en el directorio de subidas
Uno de los escáneres plugins encontrará un archivo falso en la carpeta de cargas. Pero si está familiarizado con SSH, solo necesita escribir el siguiente comando:
find uploads -name "*.php" -print
No hay una buena razón para que un archivo .php esté en su carpeta de cargas. La carpeta está diseñada para archivos multimedia en la mayoría de los casos. Si hay un archivo .php ahí, debe irse.
Eliminar temas inactivos
Como mencionamos anteriormente, a menudo se apunta a los temas inactivos. Lo mejor que puede hacer es eliminarlos (sí, esto incluye el tema clásico y predeterminado). Pero espera, no verifiqué si la puerta trasera estaba allí. Si lo fue, ahora se ha ido. Acabas de ahorrar tu tiempo de mirar y eliminaste un punto extra de ataque.
Archivo .htaccess
A veces, los códigos de redireccionamiento se agregan allí. Simplemente elimine el archivo y se volverá a crear. Si no es así, vaya a su panel de administración de WordPress. Configuración »Enlaces permanentes. Haga clic en el botón Guardar allí. Volverá a crear el archivo .htaccess.
archivo wp-config.php
Compare este archivo con el archivo wp-config-sample.php predeterminado. Si ve algo que está fuera de lugar, deshágase de él.
Escaneo de base de datos en busca de vulnerabilidades y spam
Un hacker inteligente nunca tendrá un solo lugar seguro. Crean numerosos. Apuntar a una base de datos llena de datos es un truco muy fácil. Pueden almacenar sus funciones PHP incorrectas, nuevas cuentas administrativas, enlaces de SPAM, etc. en la base de datos. Sí, a veces no verá al usuario administrador en la página de su usuario. Verá que hay 3 usuarios y solo puede ver 2. Es probable que haya sido pirateado.
Si no sabe lo que está haciendo con SQL, probablemente desee dejar que uno de estos escáneres haga el trabajo por usted. Exploit Scanner plugin o Sucuri (versión paga) ambos se encargan de eso.
¿Crees que lo has limpiado? ¡Piensa otra vez!
Muy bien, el truco se ha ido. Uf. Espera, no te relajes todavía. Abra su navegador en modo incógnito para ver si el truco regresa. A veces, estos piratas informáticos son inteligentes. No mostrarán el truco a los usuarios que hayan iniciado sesión. Solo los usuarios desconectados lo ven. O mejor aún, intente cambiar el agente de usuario de su navegador como Google. A veces, los piratas informáticos solo quieren apuntar a los motores de búsqueda. Si todo se ve bien, entonces está listo para comenzar.
Solo para su información: si desea estar 100% seguro de que no hay piratería, elimine su sitio. Y restáurelo hasta el punto en el que sepa que el truco no estaba allí. Es posible que esta no sea una opción para todos, por lo que debe vivir al límite.
¿Cómo prevenir los hacks en el futuro?
Nuestro consejo número uno sería mantener copias de seguridad sólidas (VaultPress o BackupBuddy) y comience a usar un servicio de monitoreo. Como dijimos anteriormente, no es posible monitorear todo lo que sucede en su sitio cuando está haciendo muchas otras cosas. Por eso usamos Sucuri. Puede parecer que los estamos promocionando. Pero NO lo somos. Sí, obtenemos una comisión de afiliado de todos los que se inscriben en Sucuri, pero esa no es la razón por la que lo recomendamos. Solo recomendamos productos que usamos y que sean de calidad. Las principales publicaciones como CNN, USAToday, PC World, TechCrunch, TheNextWeb y otras también recomiendan a estos chicos. Es porque son buenos en lo que hacen.
Lea nuestro artículo sobre 5 razones por las que usamos Sucuri para mejorar nuestra seguridad de WordPress
Algunas otras cosas que puedes hacer:
- Use contraseñas seguras: fuerce contraseñas seguras a sus usuarios. Empiece a utilizar una utilidad de gestión de contraseñas como 1Password.
- Autenticación de 2 pasos: si su contraseña se vio comprometida, el usuario aún necesitaría tener el código de verificación de su teléfono.
- Limitar los intentos de inicio de sesión: esto plugin le permite bloquear al usuario después de X números de intentos fallidos de inicio de sesión.
- Deshabilitar editores de temas y complementos: esto evita problemas de escalada de usuarios. Incluso si se aumentaron los privilegios del usuario, no podrían modificar su tema o plugins utilizando el WP-Admin.
- Proteger con contraseña WP-Admin: puede proteger con contraseña todo el directorio. También puede limitar el acceso por IP.
- Deshabilitar la ejecución de PHP en ciertos directorios de WordPress: esto deshabilita la ejecución de PHP en los directorios de carga y otros directorios de su elección. Básicamente, incluso si alguien pudiera cargar el archivo en su carpeta de cargas, no podría ejecutarlo.
- Mantente actualizado – Ejecute la última versión de WordPress y actualice su plugins.
Por último, no sea tacaño cuando se trata de seguridad. Siempre decimos que la mejor medida de seguridad son las excelentes copias de seguridad. Por favor, mantenga buenas copias de seguridad periódicas de su sitio. La mayoría de las empresas de hosting NO hacen esto por usted. Comenzando a usar una solución confiable como BackupBuddy o VaultPress. De esta manera, si alguna vez te piratean, siempre tendrás un punto de restauración. Además, si puedes, consigue Sucuri y ahórrate todos los problemas. Ellos monitorearán su sitio y lo limpiarán si alguna vez lo piratean. Resulta ser como $ 3 por mes por sitio si obtiene el plan de 5 sitios.
Esperamos que este artículo te haya ayudado. No dude en dejar un comentario a continuación si tiene algo que agregar 
Cómo encontrar una puerta trasera en un sitio de WordPress pirateado y solucionarlo .
Fuente: wpbeginner