WordPress Hacked: Viagra y Cialis por culpa de Pharma Hack

WordPress es un CMS para blogs muy extendido, y como tal, la plataforma ideal para que hackers con malas intenciones intenten entrar en tu blog y comprometer el contenido enlazando a sus sitios para mejorar su posicionamiento en buscadores o para lograr atraer a visitantes incautos a sus webs.

Estas últimas semanas le tocó pasar el mal trago a Mariano Amartino en su blog Uberbin.net, un blog muy conocido, con un pagerank alto y por tanto un objetivo apetecible.

En este caso, el pharma hack lo que hace es modificar el contenido generado dinámicamente por WordPress cuando el visitante es Google Bot (indexador de google), con lo que no se muestra a los usuarios normales. Modifica el contenido de la página introduciendo enlaces a sitios del hacker y modificando elementos del html como el título de la página, etc.

A continuación puedes ver el resultado que devuelve google cuando el sitio ha sido comprometido:

Además, el hack se ubica en múltiples archivos del wordpress de forma que si se localiza un fichero que ha sido hackeado, es capaz de seguir afectando y de volver a introducir el código en otro ficheros o regenenar nuevos ficheros con el hack. Toda una odisea para poder recuperar el sistema a su estado original y estar seguros que el hack ha sido eliminado.

Se puso en contacto con nosotros para que le ayudáramos a eliminar el hack y como ni mucho menos es el único blog en esa situación (sólo basta darse una vuelta por los resultados de google y ver que existen infinidad de sitios con WordPress que han sido hackeados) pongo a continuación los pasos que se dieron para conseguir restaurar la calma en uberbin.net (y en Mariano)

1. En primer lugar, realizamos una instalación de WordPress independiente, limpia, desde cero.
2. y como no sabíamos si el origen del problema venía de un sistema comprometido (estaba en Mediatemple en un hosting compartido) cambiamos a un servidor dedicado que tenía Mariano disponible en otro proveedor (Hispaweb)
3. El nombre o url del blog puede ser diferente y luego cambiarla. El blog original (hackeado) tiene la URL www.uberbin.net y durante toda la instalación del nuevo blog usábamos por ejemplo www2.uberbin.net
4. Se instalan en el blog nuevo los mismos plugins que en el blog original. Teniendo cuidado de bajarlos de wordpress.org directamente ya que no vamos a copiar absolutamente ningún fichero de código PHP del blog original (hackeado)
5. Se configuran los plugins en el nuevo blog siguiendo la configuración del sitio original. Esto es importante para poder importar todos los campos meta del wordpress original como veremos en los siguientes pasos. En caso de no hacerse así perderíamos registros y configuraciones del blog original.
6. Se configuran las mismas opciones en el blog nuevo que teníamos en el blog original (permalinks, media, opciones de comentarios, etc.)
7. Se exporta el contenido del blog original en XML  en el menú Herramientas / Exportar
8. Se revisa ese fichero XML para comprobar que no exista código del hacker. Se realizan búsquedas sobre el código para analizar llamadas a scripts o de código en base64 (buscamos llamadas a la función base64_decode por ejemplo). En el caso de uberbin no había código de este tipo en las entradas.
9. Se importa el fichero XML en el nuevo blog en el menú herramientas / importar / wordpress.
10. Se copian los archivos del directorio wp-content/uploads del blog original al blog nuevo teniendo mucho cuidado en no copiar archivos PHP y de que todas las imágenes sean realmente imágenes
11. Cambiamos el nombre y url del blog nuevo al del blog original.
12. Modificamos DNS’s para que apunten al blog nuevo.

No son pasos demasiado sencillos aunque tampoco es algo que requiera de unos conocimientos técnicos muy elevados. Sobre todo es un trabajo que te llevará varias horas, así que paciencia. En el caso de Uberbin que tiene más de 5.000 entradas costó unas 5 horas todo este proceso.

Y una vez terminado, recuerda seguir los consejos que nos dan desde WordPress para hacer más seguro tu blog.