Mis problemas con WordPress

Lo apunto aquí por si puede ser de alguna utilidad para alguien.

En los últimos tiempos he visto hackeados mis dos blogs creados con WordPress (Badalona bitàcola y Desnivell) cada uno de una manera diferente.

En Badalona bitàcola el ataque consistió en redireccionar al bot de Google a una página basura con cientos de enlaces. El resultado fue que mi página cayó de los índices de Google de una manera espectacular. Lógico, cuando Google llegaba no encontraba mi página, sino otra diferente :( Me di cuenta porque usando la herramienta para webmasters de Google no conseguía verificar la página.

¿Cómo lo solucioné? El problema estaba en el fichero .htaccess Lo malo es que lo tuve que revisar varias veces para encontrar lo que los hackers habían añadido. Estaba después de un buen número de líneas en blanco, de manera que al abrir el fichero con un editor de texto normal no era fácil darse cuenta de que habían cosas añadidas…

En Desnivell el ataque fue a más mala leche. Al entrar en la página de administración del blog, intentaba descargar un troyano en mi ordenador. El antivirus detectó el problema. La primera cosa que intenté fue borrar todo WordPress y subir de nuevo la última versión. No funcionó… Evidentemente la nueva versión no machaca el fichero config.php y allí estaba el problema.

Afortunadamente, cuando me disponía a borrarlo todo y empezar de nuevo se me ocurrió que podría ser problema del config.php… Eso sí las líneas añadidas también estaban «escondidas», esta vez, poniéndolas hacia la derecha.

Así que, si tienes problemas con tu WordPress, mírate los ficheros .htaccess y config.php antes de borrar nada.

PS 20090313 NdE El plugin WP Security Scan puede ser una idea para reducir un punto el riesgo de ‘hackeo’…

PS 20090313 NdE Otro lugar en el que buscar ideas: 18 Useful Plugins & Hacks To Protect Your WordPress Blog.

Me han hackeado el sitio. ¿Qué hago?

La pregunta no es real (bueno, de hecho a mí me paso en diciembre, pero la cosa no fue grave), sino que la plantean desde el Webmaster Central Blog de Google. ?ltimamente mantener un blog no actualizado (con WordPress o cualquier otra plataforma) es una invitación para que los ‘spammers’ se hagan con el control del sitio y te lo inunden de spamlinks en divs ocultos. Una de las consecuencias es, casi inevitablemente, que Google (y demás motores de búsqueda) lo note y te ponga en la lista negra (el último blog al que sé que le ha pasado es Bokardo, que se plantea una serie de interesantes preguntas sobre el tema). Incluso peor, te podrías dedicar a servir ‘malware’ a tus visitantes sin saberlo…

Pues bien, ¿qué recomienda Google para esos caso? Primero, prevenir y darse de alta en Google Webmaster Tools para ver cómo indexa el sitio el buscador (yo ya estaba dado de alta. ¿Sabe alguien si el resto de buscadores ofrece algo similar?). Desafortunadamente, a pesar de que Google sabe a través de las ‘webmaster tools’ que mi sitio es mío, y que dispone de una dirección de correo asociada conmigo para ponerse en contacto, no lo hace y solo nos advertirá al entrar en las ‘webmaster tools’ si detecta ‘malware’ (digo yo que no les costaría tanto mandar un aviso automatizado antes de poner un sitio en la lista negra, aún con la consabida advertencia de que no hay posibilidad de asistencia humana). También recomiendan una serie de lecturas, pero tendréis que seguir el enlace y buscarlas desde allí (da palo enlazar PDFs en inglés…).

Si uno se ha visto infectado, los pasos que recomiendan son (en traducción libre):

  • Poner off-line el sitio
    • Dejar el sitio off-line temporalmente, al menos hasta que estés seguro de que has arreglado el problema.
    • Si no puedes ponerlo off-line, devolver un 503 para impedir que lo visiten los ‘spiders’.
    • En Webmaster Tools, usar la herramienta de eliminación de URLs para eliminar las páginas o URLs hackeadas que puedan haberse añadido. Así no se servirán páginas hackeadas a los usuarios.
  • Evaluación de daños
    • Intentar detectar qué buscaba exactamente el hacker (NdT: no me gusta nada el uso de la palabra hacker con esta acepción, pero es el que usa Google…). ¿Buscaban información sensible o usar el sitio para otros fines?
    • Buscar cualquier fichero modificado o subido al servidor.
    • Comprobar los registros del servidor a la búsqueda de actividad sospechosa, como intentos fallidos de login, la historia de comandos (especialmente como superusuario), cuentas de usuario desconocidas, etc.
    • Determinar el alcance del problema?¿podría haber otros sitios tuyos afectados?
  • Recuperación
    • Lo mejor que puede hacerse es reinstalar completamente el sistema operativo de una fuente fiable. Es la única forma de estar completamente seguro de eliminar todo lo que pueda haber hecho el hacker.
    • Después de una reinstalación limpia, usar la última copia de seguridad para restaurar el sitio. No olvides asegurarte de que la copia de seguridad esté limpia de contenido hackeado.
    • Actualiza a su última versión todos los paquetes de software.
    • Cambiar las contraseñas.
  • Restaurar tu presencia online
    • Volver a poner online el sistema
    • Si eres usuario de Webmaster Tools, conectarte a la cuenta. Si el sistema fue marcado por contener ‘malware’, pide una revisión para comprobar si el sistema está limpio (NdT: «Request reconsideration», en la primera pantalla tras hacer login). Si usaste la herramienta de eliminación para URLs que quieres conservar en el sitio, solicita la reinclusión.
    • Permanece alerta, puesto que los «hackers» podrían volver.

En la entrada comentan que son «bastante buenos» a la hora de no penalizar sitios por haber contenido spamlinks en el pasado. En mi caso, al menos, eso parece cierto, pero, aún así me resulta poco tranquilizador no dar más alternativas…