COMOARREGLARSITIOSWORDPRESSHACKEADOS
BIENVENIDOS!Una charla deSalvadorAguilar
Twitter:@riper81Email:[email protected]
COMOARREGLARSITIOSWORDPRESSHACKEADOS
Unacharla deSalvadorAguilar
Twitter:@riper81Email:[email protected]
Organización deesta charla1. ¿Quién es SalvadorAguilar?2. Paraquien es esta charla3. Wordpress:Una vistageneral4. Indicadores Generales5. Paso1:Identificación6. Paso2:Remoción7. Paso3:PostHack8. Preguntas &Respuestas
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
• Papá deuna niño de9yuna niña de2.• Entusiasta deWordpress &miembro delacomunidad Wordpress Nicaragua(wpnicaragua.org)
• Conexperiencia trabajando paraempresas como proveedores VOIP,CallCenters,SEARSMexico,Site5.com&Sucuri.net• Analista deSeguridad enSucuri.net
¿Quién soyyo?
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Paraquien es esta charla?
• Paracualquier personaque tiene unsitio webenwordpress• Paracualquier personaquehasido hackeado• Paracualquier personaquebusca como limpiar su sitio web
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Wordpress: Unavistageneral• Wordpress es un fork de otro cms llamado b2 cafelog. (2003)• Depende de PHP & MySQL• Usado por más del 25% de los sitios web del mundo.• Permite tener un sitio web sin tener conocimientos de HTML ni Javascript.• Ultimos grandes avances: imagenes responsivas, calypso & REST API• Automatic, la compania detras de wordpress.org ofrece wordpress.com,
woocommerce, jetpack, etc. No todo es gratis en esta vida• El repositorio de Plugins tiene más de 1 billon de descargas
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Estadísticas Generales
ABRIL2016=1.02Billones deSitios WebSitios webconCMS Cobertura deCMS
33% 73%
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
SalvadorAguilar|@riper81 sucuri.net
Mobile Applications
REST &XMLRPC
Wordpress:una explicación visual
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Antesdeempezar…• Sucuri hadedicado años paraayudar alos
administradores deWordPressidentificar ycorregir lossitios webhackeados.Paracontinuar coneste proyecto,tenemos esta guía paraayudar alos propietarios desitios webquepasan por elproceso deidentificación ylimpieza desitios webWordPresshackeados.
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Indicadores ComunesSalvadorAguilar|@riper81 sucuri.net
1. Notificaciones de listas negras por Google, Bing, McAfee
2. Comportamientos extraños de navegadores
3. Spam en contenido del motor de búsqueda
4. Notificación de sitio web suspenso por host
5. Cambios de archivos o problemas de integridad en el core
6. Notificaciones en los resultados de búsqueda de Google
(SEO poisoning)
INDICADORES COMUNES
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
ELPROCESO
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
1.IDENTIFICAELHACK
2.REMOVERHACK POSTHACK
PASO1:Identificar elhack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
I. Instalamos elpluginGRATUITO– Sucuri Scanner
Sisu sitio webWordPresshasidohackeado,nuestro plugindeseguridad gratuito leayudará aidentificar lasáreas quenecesitanser limpiadas.
PASO1:Identificar elhack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
II. Escanee SuSitio Web
Utilice elpluginSucuri paraescanear su sitio webyencontrarpayloadsmaliciosas ydonde seubica elmalware.
PASO1:Identificar elhack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
III. Verifique laIntegridad deArchivos Core
Lamayoría delos archivos coredeWordPressnodeben modificarse.Nuestro plugincomprueba los problemas deintegridad conelwp-admin,wp-includes,yarchivos en elroot.
PASO1:Identificar elhack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
IV. Verifique los Archivos Recién Cambiados
Identifique los archivos queestaban hackeadosparasabersi han sido cambiadosrecientemente,utilizando los auditlogsdelpluginSucuri.
PASO1:Identificar elhack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
V. Confirme LoginsdeUsuarios
Verifique lalista deinicios desesión deusuarios recientes paraver si lascontraseñas fueron robadas osi sehancreado nuevos usuarios maliciosos.
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Ahora queya tiene lainformación sobre losusuarios vulnerables ylos ubicaciones delmalware,remueva elsoftwaremalicioso deWordPressyvuelva aconfigurar su sitio webparaquequede limpio.
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Silainfección seencuentra en sus archivos principales oplugins,usted podrá removerla fácilmente connuestroplugin.También puede hacerlo manualmente,perotenga cuidado paranocambiar su archivo wp-config.php olacarpeta wp-content.
1. Limpie Archivos Hackeados deSuSitio Web
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Paraeliminar lainfección demalwaredelabasededatos desu sitio web,utilice elpaneladminparaconectarse conlabasededatos.También puedeutilice herramientas comoWP-CLI, Search-Replace-DB o Adminer.
2. Limpie Tablas Hackeadas delaBasedeDatos
Utilice lainformación delpayloadproporcionada por elescáner demalwareobusquefunciones PHPmaliciosas comunes,como eval,base64_decode,gzinflate,preg_replace,str_replace,etc.
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Siseobserva cualquier usuario deWordPressdiferente,elimínelos paraquelos hackerspierdanelacceso asu sitio web.Serecomienda quesólotenga unusuario admin.Otros usuarios debenconfigurarse conelmínimo deprivilegios posible(ie.contributor,author,editor).
Sipiensa quealgunas desus cuentas deusuario sehan comprometido,restablezca sus contraseñas.
3. Proteja Sus Cuentas deUsuario
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Amenudo,laspuertas traseras están en archivos connombres semejantes alos archivos coredeWordPressubicados en eldirectorio incorrecto.Losatacantes tambiénpueden inyectar puertas traseras en archivos como wp-config.php ydirectorios como /themes,/plugins,y/uploads.Puertas traseras generalmente incluyen lassiguientesfunciones PHP:
4. Remueva Backdoorsescondidos
Base64 str_rot13 gzuncompresseval Exec
create_function System assertstripslashes preg_replace (with
/e/) move_uploaded_file
PASO2:Remueva elHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Google->GoogleWebmasterTools//https://google.com/webmaster/toolsBing->BingWebmasterTools//https://webmasters.bing.comMcAfee->TrustedSource //https://trustedsource.orgYandex ->Yandex WebmasterTools//https://webmaster.yandex.comSymantec->NortonSafeWeb //https://safeweb.norton.com
5. Remueva Notificaciones deMalware
ESTEPROCESOPUEDETOMARHASTA2SEMANASDEPENDIENDODELAMAGNITUDDELAINFECCIONYDELPROVEEDOR.
PASO3:PostHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
• Actualizar Wordpress,Themes&Plugins.• Resetear contraseñas FTP,sFTP/SSH,
MySQL,cPanel &Wordpress Admins
1. Actualizar,actualizar,actualizar &resetear
PASO3:PostHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
Hacer hardeningdeunservidor odeuna aplicación significa seguir los pasosparareducir su superficie deataque,opuntos deentradadeatacantes.WordPressysus pluginspueden sequedar más difíciles dehackear cuando sesiguen estos pasos.
Elplugintraen varias opciones por favorleeryactivar lasqueconvengan.
Más infoen:https://codex.wordpress.org/Hardening_WordPress
2. Endurecer (hardening)Wordpress
PASO3:PostHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
• Nunca en elmismo servidor• Automático• Conregularidad• Redundancia• Validación
3. Respaldos oCopias deseguridad (backups)
PASO3:PostHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
• Trojanos• Algunas infecciones usan IDEsoclientesFTPparasubir infecciones.
4. Scanear sus ordenadores
PASO3:PostHack
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS
• Prevenir unHackFuturo• Actualización deSeguridad Virtual• Bloqueo deAtaques deFuerza Bruta• Mitigación deAtaques deDDoS• Optimización deRendimiento
5. FirewalldeSitios Web
SalvadorAguilar|@riper81 sucuri.net
COMOLIMPIARSITIOSWORDPRESSINFECTADOS