Una nueva ola de ciberataques se dirige a sitios web de WordPress a través de complementos de SEO maliciosos que pueden llevar a la apropiación total del sitio.
Los analistas de seguridad han descubierto sofisticadas campañas de malware en las que los atacantes disfrazan sus complementos para combinarlos perfectamente con componentes legítimos del sitio, lo que hace que la detección sea extremadamente difícil para los administradores.
Una táctica particularmente insidiosa consiste en nombrar el complemento malicioso con el nombre del propio dominio infectado.
Por ejemplo, si un sitio se llama ejemplo.com, la carpeta y el archivo del complemento podrían denominarse ejemplo-com/ejemplo-com.php.
wp-content/plugins/exampledomain-com/exampledomain-com.php
Esta convención de nomenclatura permite que el malware se haga pasar por un complemento personalizado o específico de un sitio, evadiendo fácilmente tanto las revisiones manuales como los análisis de seguridad automatizados.
Una vez instalados, estos complementos permanecen inactivos hasta que se cumplen condiciones específicas, en particular, cuando un rastreador de motor de búsqueda visita el sitio.
En ese momento, el complemento inyecta contenido spam, como anuncios farmacéuticos, en las páginas del sitio.
Los visitantes habituales no ven nada inusual, pero los motores de búsqueda indexan el spam inyectado, lo que mejora la clasificación SEO del atacante y daña la reputación del sitio comprometido.
El código malicioso está muy ofuscado y utiliza miles de variables y una concatenación compleja para ocultar su verdadero propósito.
Los atacantes dispersan letras, números y símbolos en el código, que luego se combinan y ejecutan.
Esta ofuscación dificulta que las herramientas automatizadas e incluso los desarrolladores experimentados identifiquen la amenaza.
- Ubicación del complemento: El malware generalmente reside en el directorio de complementos, con una carpeta y un nombre de archivo que imita el dominio del sitio.
- Ofuscación: El código incluye un encabezado de complemento de WordPress falso y miles de asignaciones de variables, lo que lo hace parecer legítimo.
- Activación condicional: El complemento solo se activa para los robots de los motores de búsqueda, lo que garantiza que los usuarios habituales y la mayoría de los análisis de seguridad no detecten su presencia.
- Control remoto: El código puede recuperar instrucciones o contenido spam de una fuente externa, a menudo utilizando datos codificados para ocultar aún más su actividad.
Más allá del spam de SEO, algunos complementos maliciosos otorgan a los atacantes acceso de administrador, lo que les permite crear nuevas cuentas de administrador, inyectar malware adicional o incluso tomar el control total del sitio web.
Esto puede provocar filtraciones de datos, desfiguraciones y puertas traseras persistentes que son difíciles de eliminar.
Estrategias de mitigación
Para proteger su sitio de WordPress de estas amenazas:
- Mantenga actualizados todos los complementos, temas y software principal.
- Escanee periódicamente en busca de malware y puertas traseras utilizando herramientas de seguridad acreditadas.
- Aplique contraseñas seguras y únicas para todas las cuentas, incluidos FTP, bases de datos y usuarios administradores.
- Supervise los registros del servidor para detectar actividades inusuales y considere la posibilidad de supervisar la integridad de los archivos.
- Implemente un firewall de aplicaciones web para bloquear bots maliciosos y evitar ataques de fuerza bruta.
Si sospecha que su sitio se ha visto comprometido, busque ayuda profesional de inmediato para limpiar la infección y restaurar la integridad de su sitio.
La evolución de las tácticas de los atacantes significa que la vigilancia y la seguridad proactiva son más importantes que nunca para los propietarios de sitios de WordPress.
