Versiones anteriores de WordPress bajo ataque

Tal parece ser que varios sitios web que usan WordPress, están siendo atacados aprovechando un exploit o bug en las versiones anteriores, no se sabe exactamente que versiones son las que están expuestas pero parece ser que los ataques dejan algunos indicios que pueden llamar la atención a los administradores sobre un posible ataque a sus webs, hay que señalar que estamos hablando de las webs que usan el sistema WordPress y no del portal de alojamiento de blogs  WordPress.

Los indicios que dejan los ataques son los siguientes:

Los permalinks se ven alterados y muestran cadenas raras de este tipo:

ejemplo.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.

Los términos que hay que identificar son «eval» y «base64_decode».

La segunda pista debemos buscarla en la sección de administración, cuando vemos 2 administradores: “Administrator (2)” o algún nombre allí que no debería estar.

Si vemos estos indicios debemos hacer lo siguiente, INMEDIATAMENTE:

  • Actualizar nuestro WordPress a a última versión.
  • Cambiar nuestro password  de administrador
  • Cambiar el password de nuestra base de datos (y actualizarlo en el archivo wp-config)
  • Cambiar el password de nuestro acceso FTP
  • Cambiar el password de nuestro Cpanel o panel de control de cuenta alojada o server.

Ninguna precaución esta demás.

Inspirado en: www.techcrunch.com