Vulnerabilidad en plantilla Worpress con Adsense

Un cliente me avisa preocupado, que habian aparecido anuncios de AdSense  ajenos a su cuenta, en su sitio montado en WordPress. Lo primero que pensé fue en la posibilidad que alguien hubiese accedido al panel de edicion del cms, pero no fué así.

La primera reacción fue cambiar de themme (aka plantilla), y al ver que ya no aparecian los anuncios, obviamente el problema estaba en la plantilla.

La solucion rapida fue bajar la plantilla y remplazarla por una de backup (siempre hay que tener una), pero no era seguro ya que si hubo una intrusión, obviamente era por una vulnerabilidad y podía volver a ocurrir.

Analizando la plantilla modificada, no encuentro ningún código de Adsense, pero si noto una serie de includes, por ejemplo en este archivo:

page.php:

<div id="main">

<?php include(TEMPLATEPATH . '/images/display.png'); if (have_posts()) : $count = 0; ?>

…..

<div>

<?php the_content();  include(TEMPLATEPATH . '/images/main.png'); ?>

</div>

Notar que el código, hace referencia a una imagen pero sin etiqueta <img>,  se trata de un archivo de texto con extension png, el cual contiene el codigo Adsense del intruso.

Del mismo modo fueron alterados la mayoria de los archivos de la plantilla con diferentes includes que representan varios tipos de anuncios.

Solución

La vulnerabilidad afecta a la mayoría de las plantillas con framework del tipo Woothemes , se produce por medio de un malware que no es detectado por las Herramientas para Webmasters de Google.

Si no se tiene a mano una plantilla alternativa o backup, es necesario seguir los siguientes pasos:

  1. Borrar el contenido de la carpeta cache de la plantilla.
  2. Buscar y borrar los siguientes archivos en la carpeta images:
    line.png
    main.png
    display.png
    mdisplay.png
  3. Buscar y borrar los includes como los del ejemplo, referentes a la lista anterior, el todos los archivos de la plantilla.
  4. Cambiar las claves del administrador en el servidor ftp y WordPress
  5. Actualizar el framework correspondiente al theme, el proceso es automático del mismo modo que la actualización de WP.

Por último y como recomendación, siempre tener instalado algún plugin para prevenir este tipo de intrusiones como Anti-malwareTAC (Theme Authenticity Checker), nos puede evitar dolores de cabeza y pérdida de dinero, como en este caso.

Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *