El software que se usa defacto en muchos blogs (como este) es WordPress; pero esta popularidad tiene su precio. Los hackers, que nunca descansan, siempre buscando agujeros de seguridad, ya encontraron otro en esta plataforma de blogging. Al parecer WordPress tiene un agujero de seguridad que permite que se instale un plugin que se sube al sitio en la forma de una imagen, pero que en realidad es código PHP disfrazado. A partir de esto suceden muchas cosas, como redirección de tráfico a partir de búsquedas de Google, y por si fuera poco también los widgets son afectados, si es que tu sitio los usa. Si aún no estás infectado, lo más recomendable es que te actualices a la última versión de WordPress, la 2.5.1 al momento de escribir este artículo. Lo más lamentable es que hasta el momento no hay una respuesta por parte del equipo de WordPress al respecto, así que tendremos que esperar a una solución o parche oficial.
¿Cómo saber si estás infectado? la forma más fácil es hacer una búsqueda en Google relativa a tu sitio, y hacer clic en alguno de los resultados de la búsqueda: si llegas a tu sitio, felicidades, todo está bien; pero si paras en otro sitio (no pondré el link para ya no darle más visitas a esos imbéciles), entonces tu blog puede estar seriamente comprometido. Y no sólamente es con el tráfico de Google, sino también con el tráfico de Yahoo y MSN. Afortunadamente hay un procedimiento para reparar tal infección, y el cual les paso a continuación, para lo que necesitarás alguna herramienta que te deje ver tu base de datos, como phpMyAdmin o el MySQL Administrator, y recuerda sacar un respaldo antes de hacerlo:
- Abre la base de datos de tu blog: abre una tabla llamada wp_options (si es que no has cambiado el prefijo de la tabla, que por default es “wp_” )
- En esta tabla se encuentran, entre otras cosas, los plugins activos: localiza un plugin que tenga extensión de imagen; ese es el culpable de la redirección que afecta a tu sitio
- Anota el nombre del plugin, entra por FTP a tu sitio y busca un archivo con el mismo nombre en tu sitio; muy seguramente estará en la carpeta de archivos subidos; cuando lo hayas hecho, bórralo por completo
- Ve a tu panel administrativo de WordPress, luego a Plugins y haz clic en Desactivar todos los plugins; después reactívalos uno a uno
- A partir de aquí, prueba de nuevo los resultados de búsqueda en Google; si llegas a tu sitio después de hacer clic en el mismo que te redirigió, entonces ya estás del otro lado. Pero si no, intenta lo siguiente:
- De nuevo en la base de datos wp_options, busca una entrada que tenga el valor rss_f541b3abd05e7962fcab37737f40fad8, y de existir, bórrala por completo
Con esto debe de ser suficiente para eliminar el hackeo. Ahora bien, hay que aclarar algunas cosas: se dice que incluso la última versión de WordPress (2.5.1) tiene esta vulnerabilidad, pero en los foros de soporte WordPress muchos usuarios afirman lo contrario, y argumentan que la infección se llevó a cabo antes de que los afectados actualizaran a la 2.5.1. Esto podría tener que ver también con la forma de actualizar sus sitios; hasta hace poco, yo sobreescribía los archivos de WordPress y los sincronizaba con la copia remota del sitio. Pero ahora la actualización la hago de cero, es decir, borro y subo todo de nuevo, por cualquier cosa. No estaría de mas que hicieran lo mismo, y de nuevo, actualicen sus blogs tanto como puedan.
No está de más que instales algunos plugins que te puedan ayudar con la seguridad de tu blog, como por ejemplo WP Security Scan, que te da un reporte de las seguridad en tu sitio.
Fuentes: TechCrunch, foros de soporte de WordPress