Ataque en WordPress por WP GDPR Compliance como solucionarlo
Ataque en WordPress por WP GDPR Compliance como solucionarlo
Si no puedes acceder a tu administrador de wordpress porque te redirecciona a otra web te muestro la manera más directa y efectiva de solucionarlo.
El plugin WP GDPR Compliance ha sido el causante de que muchas webs hechas con wordpress estén infectadas de varias formas una de ellas es una redirección cuándo vas a loguearte en tu administrador a una web llamada erealitatea.net te impide entrar en tu administrador.
Este tipo de ataque que te redirecciona a otra página o que no te deja entrar a tu login frustra mucho, así que tranquilidad, abre el editor de código y ve a por ello.
Esta vez el agujero de seguridad ha sido hecho con WP GDPR Compliance pero puede ser cualquier plugin que instales, en este caso era un plugin muy popular del repositorio de WordPress ( lo han retirado) y había sido recomendado por mucha gente, las vulnerabilidades están ahí y la mejor manera que tenemos para enfrentarnos a ellas es con la cabeza fría y sabiendo a que recurrir en cada caso.
Si te han hackeado tu web con este método esta solución la podrás aplicar a situaciones similares.
Como quitar la redirección a erealitatea.net de tu WordPress
Para quitar la redirección a erealitatea.net necesitas:
Acceso a tu panel de hosting:
- Al administrador de archivos o FTP
- Acceso a la base de datos de tu blog por PHP myAdmin u otro gestor de bases de datos
Vamos a borrar el plugin que está causando el problema de la redirección:
Carpeta principal > wp-content > plugins > wp-gdpr-compliance
Es importante borrar el plugin wp-gdpr-compliance lo primero porque estos ataques trabajan con cron jobs (tareas) y si dejas el plugin en unas horas volverás a tener tu web hackeada.
Vamos a entrar en la base de datos y a sustituir la redirección
Uso plesk, cada servidor o hosting es diferente pero el acceso a la base de datos lo tienes que tener porque es un requisito mínimo del hosting para wordpress
Ahora vamos a PHP my Admin para reemplazar la redirección
Elige la base de datos de tu blog, si tienes varias tablas que sean _options, te recomiendo que visites todas por si han infectado alguna más, en los sitios que son multisite que me he encontrado 4 sólo ha infectado al que tiene el superadmin.
En este caso podemos deducir que la redirección está en la tabla wp_options que controla opciones como elegir la home, si quieres dejar que se registren, la descripción …
Pinchamos en mi caso tengo renombradas las tablas y en lugar de ser wp_options es 54454_options, dependiendo de cada webmaster tendrán un nombre diferente pero el prefijo normal es wp_
Como vemos ha sustituido en la fila que designa la url de nuestra web por erealitatea.net
Pinchamos en editar y ponemos la url de nuestra web para quitar la redirección.
Y ya está nos hemos librado de este malware de forma fácil, ahora ve a tu blog y vacía la caché y entra sin problemas por tu admin.
En caso de que tengas muchas webs te dejo la query explicada para que la hagas directamente por SQL y soluciones rápido el hackeo cuidado con las comillas y sustituye datos.
UPDATE '(pon el prefijo a la tabla si usas ej; blog_wp-options)wp_options' SET option_vaue = 'http://tublog.com' WHERE option_name = 'siteurl';
Si quieres descarga un plugin antimalware por si tienes que seguir limpiando.
Usuario malicioso en Wordpress por WP GDPR Compliance
Otra manera de atacar es que WP GDPR Compliance instalaba un usuario malicioso, la manera de eliminarlo es a mano desde el administrador de wordpress o si tienes PHP my Admin abierto ve a la tabla wp_users y lo borras, hay quién dice que se llama troll no se qué y de paso si ves usuarios que quieres quitar más rápido no lo vas a hacer nunca jajaja.
Si has tenido el plugin y no te ha redireccionado puede que tengas el usuario, yo lo he escuchado pero no lo he visto.
Problemas que presenta este tipo de Malware y hackeo
El problema es que ante este tipo de ataques es que puedes tardar bastante tiempo en darte cuenta si no eres una persona que administre la web, publiques normalmente o que trabajes en ella, esto puede hacer desde que tengas a tu web minando criptomoneda a que logren entrar cambiar el login y puedas perderla.
Otro problema es que dejen «bombas de tiempo» y que dentro de un mes estemos igual, por lo que te recomiendo que lo tomes mucha calma y piensa que esto es parte de WordPress.
Este tipo de hackeos son campañas de SEO o de Black Hat ya que buscan enlazar y redirigir mucho tráfico a una web de golpe.
Esta solución la deduje tras tirarme de los pelos con una amiga el día anterior, que quitamos todos los plugins, renombramos el .htaccess y no hubo tu tía… al día siguiente me pasó en varias webs y busqué el nombre de la erealitatea en la base de datos.
Con esto no te quiero animar a tocar las bases de datos, pero si que te familiarices con ellas ya que hay muchas operaciones en tu web que las puedes hacer muy rápido como si estuvieses en un excell, por ejemplo optimizar todas las descripciones del Yoast
15/11/2018 @ 7:58 pm
Doy fe de que todo lo que cuenta Carmen, funciona! Yo fui la amiga afectada por la brecha de seguridad causada por el plugin GDPR Compliance. El ataque me costó un hackeo en toda regla de mi tienda online y me quedé sin poder acceder a mi admin.. vamos para echarse a llorar.
Con paciencia fuimos probando de todo: intentamos desinfectar la pagina accediendo por ftp, renombrando, borrando plugin.. y la verdad para alguien que no sepa demasiado puede ser una situación algo estresante.
Sin duda en este post tienes una guía clara, concisa y perfecta si estáis sufriendo el mismo problema que yo por culpa del plugin de wp GDPR compliance. Menos mal que lo han quitado del repositorio, porque vamos.. menudo plan!
Gracias Carmen por tu ayuda!
16/11/2018 @ 2:20 pm
Jajaja que ratos malos hace pasar WordPress, y lo de este plugin no es nada pero este tipo de vulnerbilidades es normal…