Solución al virus ‘Buy Viagra’ en WordPress (Viagra virus hack WP)

Hace unos días, me transmitieron una solicitud para solucionar un problema de virus encontrado en una web realizada bajo el CMS WordPress, algo a lo que hacía bastante tiempo que no me enfrentaba y que me ha resultado placentero el resolver con cierta celeridad… aunque son temas altamente delicados.

Lo que más me llamó la atención de este problema es que se trataba de una web que la empresa (a la cual mantendré en el anonimato) había encargado hace tan solo unos 5 meses a una importante empresa de diseño web valenciana, lo que indicaba claramente un problema de seguridad en algún plugin o theme instalado outdated (es decir, una versión antigua con algún fallo de seguridad).

¿Cómo se detecta un virus en WordPress?

Existen infinidad de denominados virus que pueden atacar a cualquier página web, especialmente si hablamos de CMS como en este caso ocurre (WordPress). Lo más habitual es encontrarse con ficheros maliciosos que permiten inyecciones de SQL y, en consecuencia, crear toda clase de problemas al sitio web atacado. En el caso del que hoy os hablo, se trataba de la creación de páginas a través de inyecciones SQL bajo títulos relacionadas con la compra de Viagra a través de varías páginas ficticias, ya que no existen como tal en el WordPress atacado. Existen otros casos más graves, los cuales borran por completo un sitio Web, lo secuestran (tal cual) o los que te cambian la página de inicio por una con el logotipo de los atacantes… ¡hay de todo!.

En este caso, el virus se ha detectado ya que el propio buscador Google muestra un aviso en los resultados de búsqueda bajo el texto ‘Este sitio puede haber sido comprometido’, visible en el snippet tras realizar cualquier búsqueda relacionada con la empresa y las páginas que componen su web, lo que supone un rechazo de visitas importante. Además, en muchos casos, al intentar acceder a la web a pesar del aviso de sitio comprometido, el navegador intenta bloquear el acceso a la web a través de una página de aviso… ¿os imagináis la caída de visitas (y posibles clientes) que esto supone?.

Sitio Web comprometido - Aviso en snippet de Google
Sitio Web comprometido – Aviso en resultado de búsqueda

Eliminar el virus de Viagra en WordPress

Vamos al grano. Lo primero de todo, y algo que debería formar parte de cualquier sitio web WordPress desde un inicio, es la instalación y configuración del plugin Wordfence; es esencial. Este plugin es capaz de detectar (entre muchas otras opciones) cualquier fichero con código malicioso y, en consecuencia, actuar antes de que Google nos penalice por ello, así que lo primero de todo (si no lo habéis hecho ya) es instalar este plugin e inmediatamente realizar un scan con él (Wordfence > Scan > Start a Wordfence Scan). Tras ello (tarda unos minutos) se muestra un listado de posibles ficheros modificados contra nuestra voluntad y de posibles ficheros con código sospechoso. Desde esta misma página de resultados es posible eliminar estos ficheros (si son ajenos al core de WordPress) o restaurar los ficheros a sus versiones originales (si son ficheros del core de WordPress).

Para facilitaros el trabajo, os comparto un listado de los ficheros que debéis eliminar de inmediato a través del acceso FTP a vuestro hosting (recordar que también lo podéis hacer desde el propio Wordfence), los cuales se encuentran alojados en la carpeta /wp-admin/images/. Como veréis, se trata de ficheros supuestamente PNG y GIF, los cuales realmente no lo son. Si os descargáis estos ficheros (o esa carpeta completa) a vuestro ordenador, podréis ver que el icono del fichero no corresponde a estas extensiones (es un icono de fichero desconocido) y que, si los intentáis abrir, os generará un error. Esto es debido a que el fichero realmente está compuesto por un texto que permite el acceso externo a través de inyecciones SQL (podéis renombrarlo a TXT y abrirlo con un editor de texto) y, a través de ellos, se generan las supuestas páginas de Viagra en WordPress.

Listado de ficheros maliciosos del virus Viagra en WP

  • graphicspack.png
  • iconscaches.png
  • include.png
  • loginimage.png
  • maplistfile.gif
  • previewpics.gif (este llama mucho la atención debido a sus 20MB de peso)
  • strlistfile.gif
  • tempthumbs.png

Listado de ficheros - Virus Viagra en WordPress
Listado de ficheros – Virus Viagra en WordPress

¿Por qué se han creado estos ficheros?. Muy fácil: por la utilización de plugins o themes piratas (nulled) o por no tener actualizado tanto el propio WordPress como los plugins utilizados, aunque en el 95% de los casos ocurre por utilizar plugins y plantillas premium descargadas de internet (sin comprarlas claro). Os digo algo que hace muchos años que aprendí: nadie regala nada; puede parecer que es fácil conseguir ‘gratis’ un plugin que vale $100 desde una página de descargas, pero os aseguro que antes o después, vuestra web sufrirá las consecuencias. ¿Por qué alguien va a pagar por un plugin o theme para luego compartirlo sin beneficio alguno?. No tiene lógica, ¿verdad?. En algunos casos, es relativamente fácil (con conocimientos previos, claro) detectar que ficheros han sido manipulados para darles un uso perjudicial para nuestra web en el futuro, pero hacerme caso, y recurrir siempre a plugins gratuitos con un buen historial de descargas y valoraciones o, si necesitáis recurrir a plugins y plantillas premium, pagar por ello.

En este caso en concreto, y por experiencia personal en otros cuantos, el virus de Viagra ha entrado a través del plugin premium (pero descargado ilegalmente) Map List Pro, uno de los más comunes para la creación de mapas con puntos de venta, y que en este caso la empresa encargada de crear la web ha utilizado. Y no, no es porque se trate de una versión comprada pero obsoleta, ya que la carpeta /MapListPro incluía un fichero ‘xrry.php’, el cual no existe en la versión comprada (yo soy usuario de este plugin) y que solo existe en versiones nulled. Sin duda, una acción temeraria llevada a cabo por una empresa de ‘prestigio’ en Valencia y que ha causado estos problemas ahora.

Como eliminar el mensaje de ‘Este sitio puede haber sido comprometido’

Tras haber borrado los ficheros infectados, actualizado a la última versión plantillas, plugins y versión de WordPress (todo ello de manera legal), es imprescindible ser propietario verificado del dominio en la herramienta Search Console de Google (anteriormente Webmaster Tools). Tras acceder, deberemos acceder al menú ‘Problemas de seguridad’ donde se mostrará el aviso ‘Pirateo con spam’ y la lista de URLs que Google ha detectado como maliciosas. En la parte inferior de este listado, se deberá marcar la casilla ‘He solucionado estos problemas’ y hacer click en el botón ‘Solicitar una revisión’.

Problemas de seguridad en Google Search Console
Problemas de seguridad en Google Search Console

Transcurrido un plazo medio de unos 7-10 días, Google remitirá un correo indicando si efectivamente se han solucionado los problemas (como debería ser) o si todavía persisten.

Espero que esta guía os haya servido para solucionar el problema del virus en WordPress de Viagra y que, de ahora en adelante, prestéis más atención a la actualización de vuestro sitio Web y que olvidéis por completo el uso de plugins nulled.

Solución al virus ‘Buy Viagra’ en WordPress (Viagra virus hack WP)
5 10 votos

Temas

Dedico muchas horas de mi día a día al marketing online, pero aquí también os hablaré de mis hobbies, tecnología y todo aquello que forma parte de mi día a día (y que merece la pena compartir).

¿Algún comentario? :)