La vida del blogger es complicada, nos quitamos horas de ocio o de sueño para mantener viva una ilusión y no todo el mundo acaba de entender bien el esfuerzo que requiere mantener activo un medio día a día, constantemente, sin parar, durante años y años. En mi caso ya casi son cinco años en los que raro es el día en el que no he escrito nada, casi diría que salvo épocas vacacionales en las que es necesario un «reseteo» mental o acontecimientos muy importantes, he sido fiel a mi cita con ustedes en la mayor parte de las ocasiones, es mas, si hacen una simple operación aritmética, los más de 1.800 artículos que llevo publicados en vooLive.net dan una media de algo más de uno al día.
Si el trabajo que hay por detrás es arduo, no les digo nada cuando un día te levantas o te vas a dormir y de repente te das cuenta que en tu blog hay un enlace a un lugar pornográfico. Créanme que a mi no me da por ahí, no tengo intención ninguna de cambiar la temática de este medio, así que después de la sorpresa, de la investigación, de la ayuda del -sin duda- mejor servicio de atención al cliente que un servicio de hosting te pueda ofrecer, el de RedCoruna, y la del amigo Dabo, siempre dispuesto a echar una mano a todo aquel que se la pida, empecé a llegar a conclusiones.
El problema vino dado por una vulnerabilidad conocida que afectaba al archivo Timthumb de wordpress y que lo hacía propenso a ataques permitiendo subir cualquier fichero PHP al directorio “cache” de Timthumb para así ejecutar código y comprometer al sitio web afectado. A uno que suele estar al día de estas cosas, se le pasó la noticia o no le prestó la debida atención.
El problema es relevante, ya que este archivo se encarga de redimensionar imágenes, por lo que es muy habitual en la gran mayoría de temas wordpress. Al ser también muchos de ellos gratuitos o no tener soporte o actualización para los mismos, si se descubre un agujero de seguridad en un archivo habitual de cualquier tema de wordpress, da igual que tengas el resto de tu sistema completamente actualizado, que por allí te la van a colar.
La solución: primero bajar el plugin timthumb scaner. Te hará un chequeo de las versiones de tus archivos timthumb.php y si son comprometidas te permitirá actualizarlos a la última versión. Otra opción es remplazar el archivo por ftp con la última versión descargable aquí, pero si tienes unos cuantos, como era mi caso, la verdad es que el plugin funciona de maravilla.
Cerrado el agujero tocaba reforzar el sistema para evitar futuras intrusiones. Aquí las recomendaciones del experto Dabo las seguí al pie de la letra: Instalar el plugin Secure WP y vincularlo a una cuenta en Websitedefender. Completar la acción con los plugins WP Security Scan y Mute Screamer. Tres plugins más, pero a día de hoy me siento más seguro.
Reforzado el sistema, tocaba limpia de posibles archivos infectados. El análisis de Websitedefender y los amigos de RedCoruna me lo pusieron en bandeja. Eliminé todos los archivos infectados y aproveché para eliminar también temas antiguos que no necesitaba para nada, en mi caso, por fortuna, los archivos no comprometían la estabilidad del sistema por lo cual, de momento no ha sido necesario hacer una reinstalación de wordpress o del tema que utilizo.
Ya ven, si no es «arre», es «so», el caso es no aburrirse. De ello sabemos mucho los que nos dedicamos a esto de escribir por nuestra cuenta. Por cierto, si tienen un blog en wordpress no olviden chequear esta vulnerabilidad para evitar sorpresas y por supuesto, cada poco tiempo, hagan copia de seguridad de su base de datos… por si acaso.
3 Comentarios
Poco más puedo añadir, como he dicho en Twitter el post es útil y honesto además de muy esclarecedor. La respuesta de RedCoruna muy efectiva y ciertamente la vida del blogger lamentablemente no es como a muchos les/nos gustaría, hay que estar a cien mil historias y ya no es tener el WP actualizado, con ciertos plugins instalados además de otras medidas etc, sino que dentro de ese «theme» que uno instaló hace «nosécuanto», se esconde un bug…
Un abrazo y gracias por la mención, ya sabes que ahí estamos ;)
Gracias a ti Dabo por tu predisposición a echar un cable. La mención obligada por la ayuda ofrecida en solucionar el caso.
Como complemento al artículo decir que ojo si se han hecho backups, tanto dentro del servidor como fuera, ya que los mismos archivos infectados u otros pueden estarlo en los backups realizados. Si has sido infectado, limpieza total y nuevo backup total para poder borrar los anteriores. By @RedCoruna de nuevo :)
Bien bien, es un paso más que adecuado que a veces se da por hecho y conviene no olvidar. En fin que poco más se puede decir salvo que es posible que uno de los plugins que te recomendé, el Mutex, pueda «autobloquear» acciones legítimas como no sé, a Jetpack (para las stats) pero es importante ya que a veces, si un site ha sido comprometido, suele volver a «visitarse» de nuevo. Todo teniendo presente que en el 99 % de los casos son ataques automatizados buscando versiones vulnerables y dando caña, nada personal.
Un abrazo y buen fin de semana ;)