WordPress: Directorio wp-includes/ objetivo para ataques de SPAM
Se ha dado seguimiento y analizado una tendencia creciente de ataques Spam SEO (SEP, Search Engine Poisoning) en el cual miles de sitios web WordPress comprometidos en su seguridad son utilizados para montar tiendas online falsas y generadores de spam. En todos los casos, el atacante hace uso de uno de los directorios generados en la instalación de WordPress, en este caso wp-includes.
Ataque de WP-INCLUDES con SPAM
Por defecto, toda instalación de WordPress incluye 3 directorios principales: /wp-content, /wp-admin y /wp-includes. Por lo general, /wp-includes se utiliza para código genérico y es el corazón de WordPress ya que es allí donde se ubican la mayoría de archivos importantes. Este es un directorio que no requiere ser accesado remotamente y no debe contener ningún archivo con acceso externo, ya sea HTML ó PHP.
Desafortunadamente, eso no es lo que se ve. Miles de sitios WordPress parecen haber sido hackeados y en cada uno de los casos se ha insertado SPAM en el directorio /wp-includes. No es específico a un tipo de contenido de SPAM como tal, sino es variado, pasando desde contenido farmacéutico, “Payday spam”, “cheap bags”, y “cheap watches”, entre otros.
Este tipo de inyección de spam tiene tres características principales:
1. Las páginas de SPAM están escondidas dentro de un subdirectorio aleatorio dentro del directorio /wp-includes (por ejemplo /wp-includes/finance o /wp-includes/paydayloan)
2. El spam es condicionado y a menudo basado en la procedencia..
3. Hemos detectado, en casi todos los casos, que los sitios utilizan versiones no actualizadas de WordPress o versiones no actualizadas de cPanel.
Una búsqueda rápida en Google utilizando inurl:/wp-includes viagra levitra cialis (un ejemplo nada más) revela que más de 13,000 páginas han sido hackeadas y generan spam. A medida que cambias las palabras del ejemplo en la búsqueda Google, el número de sitios afectados aumenta dramáticamente.
Si crees que tu sitio se encuentra en esta situación, la primera recomendación es reemplazar todos los archivos de instalación de WordPress o buscar atención profesional para tu sitio.
En el primer caso, asegúrate de reemplazar manualmenlte todos los archivos de instalación. No debes sólo seleccionar Actualizar en el panel de administración ya que eso no removerá los archivos infectados, y aunque aparentemente se pueda solucionar el problema, éste permanecerá.
Redireccionamientos Condicionados
El término Condicionado parece complicado, pero no lo es. Si un visitante proviene de un Ipad, Iphone, Android o cualquier otro dispositivo móvil similar, la página será redireccionada hacia un página pornográfica aleatoria (por ejemplo). Si la misma persona intenta visitar el sitio nuevamente, nada sucede y el sitio carga normalmente. ¿Cómo es posible? Es allí donde entra el término Condicionado ya que el malware utilizado es inteligente y lleva un registro de las IPs redireccionada. Es muy probable que no vuelva a redireccionarte durante varias horas. Esto hace ese tipo de malware extremadamente difícil de detectar y hace pensar a las personas que fueron ellos los que colocaron algún mal dato por error.
Algunos doorways son similares a Google Farmacy y algunos otros son tiendas completas, pero falsas. Sin embargo, si provienes de la búsqueda de Google, referrer = google.com, serás redireccionado al destino final del SPAM.
¿Por qué son afecados estos sitios de WordPress?
El problema principal y el común denominador es que son sitios no actualizados. No podemos dejar de insistir en que actualices tu sitio de manera frecuente. Lo último que un dueño de sitio desea saber es que su sitio se ha utilizado con fines distintos para los cuales fue creado, a menudo ilegales.