En los últimos días ha aparecido un nuevo tipo de malware o código malintencionado que está perjudicando a miles y miles de páginas web que corren sobre el conocido CMS WordPress.
WordPress aloja a unos 70 millones de páginas web en todo el mundo, incluyendo blogs, sitios de empresas, páginas de noticias, entre otros.
Actualmente el malware se conoce con el nombre de SoakSoak y está afectando a más de 100.000 páginas web. Los dominios que se ven afectados por SoakSoak son puestos por Google en una lista negra en forma inmediata.
Los usuarios que visitan sitios infectados con este malware verán constantes redirecciones hacia sitios relacionados con SoakSoak y también podrían ver descargas que se inician de forma automática, las cuales bajan e instalan malware en sus equipos.
El malware se aloja en los servidores y modifica el siguiente archivo del sitio:
wp-includes/template-loader.php
El cual a su vez se utiliza para activar este módulo:
wp-includes/js/swobject.js
Este módulo se carga en todas las secciones del sitio, llevando al usuario a dominios relacionados a SoakSoak como ya decíamos, o bien a otros donde se realiza la descarga automática de malware.
Cabe mencionar que existen variaciones de este hack, que si bien involucran a los mismo archivos, en lugar de llevarnos a dominios de SoakSoak crean objetos Flash usando el archivo:
wp-includes/js/swfobject.swf
Este archivo, al contrario de swobject.js y template-loader.php, no pertenece al núcleo de WordPress, y actualmente no todos los antivirus lo consideran peligroso. ¿Qué hace swfobject.swf? Se encarga de ejecutar un JavaScript en los navegadores Firefox e Internet Explorer 11. Al tener como objetivo las últimas versiones de Firefox y de IE, se cree que se podría estar explotando una vulnerabilidad 0-day (día cero) en dichos navegadores, por lo tanto es recomendable aplicar las últimas actualizaciones de seguridad disponibles para ambos.
Mi sitio está afectado, ¿qué hago?
Primero que nada, los webmaster deberían reemplazar los archivos mencionados por los originales de WordPress. El archivo swfobject.swf debe ser borrado por completo. Ahora viene lo difícil: el punto de origen. Existen distintas opiniones sobre el punto de origen del hackeo, pero la mayoría apuntan al plugin RevSlider, y en algunas páginas se ha hecho referencia también a Wordfence. De momento lo ideal sería eliminar ambos plugins, hasta que se lancen versiones no vulnerables.
Por supuesto si nuestro sitio fue afectado es posible que algún otro archivo esté infectado, o puede que incluso exista algún backdoor en nuestra web. En este caso hay muy buenos escáneres online, como el de Sucuri, que pueden ayudarnos a encontrar archivos infectados.
Una vez que hayamos limpiado nuestro sitio y comprobemos que el mismo ya no es vulnerable, podemos solicitar una revisión de Google usando sus Webmaster Tools.
Recuerden siempre que mantener los sitios al día es sumamente importante, y con esto nos referimos a contar con las últimas versiones estables de WordPress y sus respectivos plugins y themes.
Todos nuestros clientes alojados en servidores compartidos, o bien en dedicados/VPS con un plan de administración, pueden solicitar un análisis de su sitio enviando un ticket a nuestra área de Soporte.