Como todos saben, WordPress es un CMS que vive actualizándose constantemente, cuando no lo actualizamos, corremos riesgos de que alguien pueda entrar y manipular el sitio a su gusto. El día de ayer me llamó un cliente con que su sitio web hecho en wordpress, redireccionaba a otra URL. En este caso su sitio web redirecciona a http://gualdacatas.com

Desinfectando un Wordpress 7

Me pasé un buen rato googleando y no encontré nada al respecto, es por ello que me puse a investigar un poco más el comportamiento del sitio.
Revisando el FTP, me topé con carpetas que no tenían nada que ver con WordPress

Desinfectando un Wordpress 8

Obviamente el sitio había sido infectado y tenía un script que redireccionaba a otro sitio.
El paso siguiente fue borrar todos esos directorios, para ver si así podía evitar la redirección, pero no funcionó. Es por ello que acudí al depurador de Firefox.

Algo a aclarar, es que esta redirección solo se realizaba 1 sola vez, por lo que para volver a ver esta anomalía, debía limpiar caché o entrar con la navegación privada.

Al inspeccionar el comportamiento de la página, me topé con esto:

Desinfectando un Wordpress 9

Me pareció muy raro… estaba todo en hexadecimal… decidí pasar todo a ASCII para saber de que se trataba

Desinfectando un Wordpress 10

Como se puede ver en la imagen, era un script que ejecutaba la URL: http://keit.staticweb.tk/z5z4vQ
Al entrar a esa URL me topé con lo siguiente:

Código: Javascript

  1. function process() {
  2.                 window.location = «http://gualdacatas.com/»;
  3.             }
  4.             window.onerror = process;
  5.             process();

Que es justamente a la web que me estaba redireccionando… Teniendo esto, ya tenía más herramientas para Googlear. Y me topé con que «keit.staticweb.tk» es un falso plugin de WordPress llamado _bb_press que redirecciona a otros sitios, como pornográficos, entre otros…

Ahora viene la parte divertida… Encontrar y romper esa redirección.

Al tratarse de un Plugin falso, simplemente fui directo al directorio de plugins que está en wp-content/plugins y me encontré con uno llamado press_test515215 por razones obvias, supe que era ese.

Desinfectando un Wordpress 11

Al entrar a la carpeta de ese plugin, había un archivo llamado press_test515215.php en su interior incluía a otro archivo más

include(dirname(__FILE__) . ‘/includes/_bb_press_plugin.class.php’);

Al abrir este Segundo archivo me topé con esto:

Desinfectando un Wordpress 12

Y ahí lo tienen! Esa era la redirección que estaba haciendo el WordPress. Solucionarlo fue fácil. Solo basta con borrar el plugin y el sitio dejará de redireccionar.

Espero que les sea de utilidad!
ANTRAX

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *