Muy buenas.  Si tenéis una web soportada en WordPress y os llaman clientes diciendo que han hecho clic en uno de sus links y se les han abierto tropecientas ventanas a webs porno, de casinos, etc… , tenéis un problema. En CtrlAltSupr nos hemos vuelto locos para poder identificar dónde estaba la inyección de código, pero al fin lo hemos resuelto.

Este malware es lo que nosotros llamamos un «ladrón de tráfico», que además se oculta si accedes a la web estando logueado como administrador, por lo que para el administrador, la web funciona correctamente. Una vez que cierras la sesión y limpias el cache del navegador, verás que los links te redirigen a sitios webs aleatorios.

Lo primero que debéis hacer es instalar el plugin Wordfence de inmediato. Os vais a la sección de scan, y hacéis un escaneado a ver si hay sorpresas. Si en el reporte de seguridad salen las siguientes alarmas (no tienen por qué salir todas, con que salgan algunas…), ya tienes el topo metido en la madriguera:

• Unknown file in WordPress core: wp-includes/wp-vcd.php
• Unknown file in WordPress core: wp-includes/wp-feed.php
• Unknown file in WordPress core: wp-includes/wp-tmp.php
• File appears to be malicious: wp-content/themes/todoslosquetengas/functions.php

Antes que nada, no hace falta que te tires por el balcón. Lo primero que te pide el cuerpo es borrar al menos los tres primeros (wp-vcd.php, wp-feed.php, wp-tmp.php), y eso en realidad es lo que tienes que hacer, pero los hijo de p… vuelven a aparecer. Como dije antes, no tienen por qué aparecer los tres. Eso nos hace pensar que en alguna parte hay un código que los regenera, y Wordfence nos está diciendo cuál es. Editamos el famoso archivo function.php, y vemos al arriba de todo un trozo de código, con unas url raras, sin ningún tipo de documentación, … TE PILLÉ.

El código en cuestión estará insertado desde la linea 1 de la aplicación fucntion.php, así que bórralo entero hasta que te quede como abajo:

<?php

…hasta que leas…

//$start_wp_theme_tmp

//wp_tmp

//$end_wp_theme_tmp
?>

REPETIMOS MÁS DESPACIO:

Descargamos los archivos function.php que están dentro del directorio wp-content -> themes -> . Existe uno en cada tema instalado aunque no este activo, y, lo siento, pero todos estarán infectados.

Ahora borramos todo el código que hemos dicho anteriormente desde la linea 1 hasta lo anterior escrito, incluido. Cuidado al borrar la última línea que aparece al final del código php malicioso ya que comparte línea con el inicio del código php del tema!!!! .  Es decir:  ?> <?php, borramos hasta lo tachado, y dejamos <?php …

Una vez que hemos limpiado function.php, lo sobrescribimos en el directorio de donde lo extrajimos. Recordad hacer esto en todos los temas que tengáis en la instalación de wordpress. El código anterior lo que hace es replicar los archivos wp-vcd.php, wp-feed.php y wp-tmp.php, por lo que una vez que hayamos eliminado el código malicioso y sobrescrito el archivo, eliminaremos estos archivos.

Este malware no solo infecta tu sitio wordpress. Si compartes alojamiento con otras webs, éstas también estarán infectadas, por lo que te toca repetir el proceso en cada una de ellas. Revisaremos también que no se hayan creado usuarios en las BBDD, sobre todo con privilegios de administrador (esto ya es por seguridad).

Por último instala el plugins Quttera Web Malware Scan y ejecútalo primero en la opción desde fuera de WP y luego desde dentro del sitio. Si te da todo OK, nos hemos librado del bicho.

Un poco de historia: éste código malicioso apareció en los últimos meses, y se creía solucionado con la última actualización de wordpress, pero va a ser que no. Manuel DÓrso fue el que lo encontró y le puso de nombre wp-vcd. Lo que hace este código es inyectar unas líneas de código en la aplicación function.php class.wp.php y crear un usuario oculto con rango de administrador. Bueno, eso y volverte loco hasta que lo quitas.