Me han violado el blog

wordpress-hacked1Si estas leyendo esta entrada seguro a ti tambien te ha pasado

A mi me paso este viernes, vinieron unos delincuentes y se hicieron con la administracion del blog, me di cuenta por que intenté loguearme y zas!!!! usuario y contraseña incorrectas. En principio parecia que no habian hecho nada, ni una letra de mas en el blog, ni un comentario, ni deface, nada de nada, pero luego revisandola con mas detalle en el post operatorio ya le ví lo que le habían hecho.

Para arreglar el daño ( y gracias a la ayuda de @Liamngls y @Daboblog) lo primero que intente fue recuperar la contraseña con el formulario que viene por defecto en wordpress, sin exito. Luego descargué la ultima versión de wordpress y la instalé por ftp, conservando solo la configuracion de wp-config.php y la carpeta wp-content para asi tener una instalación limpia.

Pero seguia sin poder entrar con mis credenciales ya que el intruso cambió la contraseña del usuario admin y eliminó a todos los demás usuarios, asi que me tuve que ir a la base de datos por el cpanel y editar la contraseña del usuario admin para asi poder volver a entrar en mi blog.

Lo hice siguiendo este tutorial que me mando dabo y ya tras cambiar la contraseña del usuario admin pude volver a entrar logueado en mi blog.

Pasos a seguir luego de este apuro, pues lo que deberia de haber hecho hace mucho, que aunque mi blog no tenga apenas visitas ni exito, siempre hay alguien dispuesto a joder, darle medidas de seguridad al blog.

Lo primero que hice fue ir a esta entrada de daboblog , leerla y releerla y empezar a probar algunos plugins, tanto para la seguridad como para hacer limpieza por si aún quedaban rastros del intruso.

Fue cuando empece a mirar todo con detalle por el ftp, haber si había errores en los permisos de archivos o cosas raras cuando me di cuenta de que me había dejado un regalito en el directorio raiz, Anonyme.php

Aquí os pongo el codigo del archivo

Hacked By Anonyme XTn

HACKED BY ANONYME XTN


_______________________

Contact Me

 

Me fuí directo a ver que cosa bonita me había puesto en esa dirección y aquí una muestra

Captura de pantalla - 250114 - 00:27:04

Captura de pantalla - 250114 - 00:27:46

Y tras ver eso, he de reconocer que me acojoné.

Luego ya con mas calma y leyendo de aquí y de allí sobre los plugins que mencione antes y mas tutoriales sobre seguridad, empece por cambiar el nombre por defecto de las tablas de wordpress wp_ por otro mas feo y jodido.

Tras haber probado muchos de los plugins al final he hecho mi seleccion y me he quedado con estos:

wordfence: Que es como un multiusos, tiene de todo, escanea en busca de cosas malas, te orienta sobre los permisos de los archivos, tiene un bloqueo de intentos de login y mil cosas mas.

WP-DBManager: para poner al dia las bases de datos, optimizar, reparar, backups, etc…

exploit scanner: que hace eso mismo que dice su titulo, escanear en busca de basura y tambien te orienta y te da muchos consejos.

Direis, solo ha puesto 3 plugins y si, es verdad, pero he arreglado mil y una cosas que me han propuesto entre estos 3 plugins, asi que espero estar “mas” seguro.

Aún me quedan cosas por hacer como eliminar el usuario admin pero no soy muy diestro yo con las bases de datos asi que leere bien antes y un problema que tengo con la base de datos de los usuarios, que wordpress me reconoce 14 usuarios en total pero realmente solo hay 1, el resto se ha esfumado. Os pongo una captura para que veais

Captura de pantalla - 260114 - 18:31:37

Y ya por último os pondré un documento que me he encontrado y que tiene muy buena pinta, ahora mismo no se de donde lo saqué por que he mirado mil paginas y tutoriales.

formas_de_mejorar_la_seguridad_de _WordPress

Y eso es todo por hoy, en un ratito lo tendré solucionado ya del todo, o eso espero 🙂

14 comentarios:

  1. Pingback: Bitacoras.com

  2. Vaya, no puedo registrarme de nuevo, muy mal 😀

  3. Espera que lo ponga a punto al 100% y te vuelvo a dar el honor de estar registrado jajajajajaja xD.

    Dentro de 50 años tendras un tesoro, porque eres de los pocos que estan registrados, el resto usuarios de pruebas y familia

    Un saludo 😉

  4. Lamento mucho lo que te pasó, cuando puedas date una vuelta por la herramienta que programé en Python llamada WPHardening v1.1 te dejo el enlace de GitHub https://github.com/elcodigok/wphardening

    Saludos cordiales

  5. Gracias por el aporte en cuanto llegue a casa le hecho un vistazo

  6. Que mala onda, pero que bueno que todo haya salido bien. Por eso siempre es bueno tener un respaldo de las cosas que están en “la nube”.

    Bueno, pero ya pasó el mal trago y ahora solo a ser un poco más cuidadoso, porque hay gente mala allí fuera. XD

  7. Que historia más pintoresca O_0

  8. Ya ves yoyo, regalito que me dejaron el fin de semana pasado jajajaja xD

  9. He llegado aquí a través de Twitter. Te recomiendo el uso de latch, que es un candado de acceso. Mientras el candado este activado, nadie podrá loguearse. Es otra forma de mantener la seguridad. http://blog.elevenpaths.com/2014/02/guias-detalladas-de-instalacion-de.html?m=1

  10. Gracias por la recomendación, voy a echarle un vistazo 😉

  11. Vaya me paso lo mismo hace un par de días, el mismo hacker, el mismo mensaje. No tengo la mas minima idea de como pudo hacerlo pero si me enseño algo, en internet nada es seguro.

    Por casualidad instale los mismo plugins que tu, el día de ayer el hacker volvió e intento ingresar al Blog con mi anterior usuario y contraseña, el wordfence lo bloqueo.

    Lastimosamente bloquear la IP del atacante no creo que sea de mucha ayuda ya que estas personas usan distintas IP. Bloquear un rango de IP´s tampoco creo que funcione.

    Lo único que queda por hacer es confiar en la seguridad del servidor y mantenerse siempre con las ultimas versiones de wordpress y demas plugins.

  12. Vaya, siento que seas otro afectado, pero supongo que hemos sido muchos con los que esta gente se a divertido.

    Yo lo que me estoy planteando hacer es filtrar el login a mi ip, aunque creo que el no entra por el login, sino por algún abujerito directo a la BBDD ya que a mi la primera vez que me entró me cambió el nombre de usuario que tenia a admin. Luego ha intentado entrar otra vez e igualmente cambio el nombre de usuario a admin, pero esta vez se ve que no pudo hacerlo completo o algo ya que el password seguía siendo el mio ?¿?¿?¿?¿?
    Nuevamente cambié en la tabla users el nombre admin por otro, y ya parece que no ha intentado mas, pero he de reconocer que me tiene un poco acojonado el tipo, ya que sé que antes o despues lo intentará o lo que es peor, lo hará de nuevo.

    Ultimamente ando muy muy corto de tiempo, pero en cuanto tenga unos dias mas despejados me pondre a hacerme unos analisis y si sigue habiendo cosas raras como me descubrió Dabo, pues me planteare el cambiar de hosting. Me dará rabia pagar más para lo poco y mal que escribo xD.

    Un saludo y Gracias por el comentario 😉

  13. A mi tambien me paso eso, en un blog que tengo ya abandonado llamado http://www.ubuntuymas.com, me lo hackearon 3 veces, en el que tengo ahora, me da miedo decirlo, todavia no me lo han hackeado (estoy tocando madera :D). Cuando pase, si es que pasa, tendre oportunidad de comprobar si los de mi hosting hacen realmente backups cada 4 horas del hosting. Un saludo amigo 😀

  14. Liher, al paso que escribes, con un backup cada 4 horas no estas cubierto, en mi caso haciendo uno a la semana es raro que pierda algo jajajaja.

    Yo ya que esta andando el blog de nuevo, me centrare en la seguridad y el “performance” del servidor, que me esta dando mis calentaeros de cabeza, la verdad

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.