WordPress infección CryptoPHP

SoakSoak WordPress
Comparte este artículo

Ayer nos despertábamos con un malware (CryptoPHP) que estaban alojados en plugins y themes de WordPress que los usuarios se habían descargado de dudosa procedencia.

Esto es debido a que muchos plugins y themes de pago de WordPress circulan por la red para su descarga gratuita, aparentemente cuando se instala todo funciona correctamente pero realmente introducen este código malicioso para insertar el malware en su página web.

La infección que realiza CryptoPHP es realmente simple, dentro de estos themes o plugins de WordPress hay una pequeña linea de código como esta:

<?php include('assets/images/social.png'); ?>

Los usuarios que desarrollen en PHP o estén familiarizados con este tipo de programación observaran que este código «no es normal», ya que se esta incluyendo una imagen externa, que además para mostrar una imagen no se realiza de esta forma.

Lo que realiza el código es que llama aun imagen aparentemente normal pero que este archivo contiene código php oculto para que pase desapercibido a ojos no expertos y de esta forma poder introducir el código malicioso en nuestro WordPress.

CryptoPHP en principio lo que realiza es insertar enlacen Black-Hat SEO hacia sitios maliciosos dentro de la página web. Sin embargo,  CryptoPHP es bastante mas complejo de lo que parece ya que se comunica con servidores que pueden gestionar una gran gama de posibilidades, incluyendo su propia actualizan del malware.

Este código crea una botnet que convierte los sitios web infectados en robots que realizan ataques indicados por el servidor que les dice que realizar. CryptoPHP puede realizar desde envío de spam, inserción de enlaces ilegales, ataques sobre otros servidores, etc.

Este tipo de malware también puede afectar además de WordPress a Joomla y Drupal

¿Que podemos hacer para evitar estas infecciones?

Lo primero que deberíamos realizar es no descargar este tipo de plugins y themes ya que además de poder ser infectado es ilegal, ya que es equivalente a software pirata.

Analizar todos los archivos de la plantillas que tengamos instaladas o vayamos a instalar dentro de nuestro WordPress, que también analice la base de datos y si encuentra algún archivo o código malicioso desinfecte nuestro sitio de forma automática. Para realizar estas medidas tenemos un plugin para WordPress llamado «AntiVirus»

Características del plugin «Antivirus»

  • Alerta de virus en la barra de admin
  • La limpieza después de la eliminación Plugin
  • Traducciones a muchos idiomas
  • Escaneo diario con notificaciones por correo electrónico
  • Chequeo de tablas de bases de datos y archivos de la plantilla.
  • Lista blanca: marcar determinados archivos como libre de virus.
  • Manual de verificación de archivos de plantilla con alertas sobre casos sospechosos
  • Opcional: navegación segura de Google para el monitoreo de malware y phishing.

Desaconsejamos el uso de temas o plugins «piratas» procedentes de dudosa procedencia por su ilegalidad y posible infección de su sitio web.


Comparte este artículo
Scroll al inicio