Se ha descubierto una nueva variante de malware que elude el plugin de seguridad WordFence en sitios WordPress. Este malware se disfraza como un plugin llamado “wp-engine-fast-action” y desactiva WordFence renombrando su directorio. Además, crea un usuario administrador malicioso y usa archivos adicionales para engañar a los administradores, haciéndoles creer que WordFence sigue funcionando correctamente. Para proteger tu sitio, es crucial utilizar múltiples capas de seguridad, mantener el software actualizado y revisar regularmente los plugins instalados.
¿Qué es Wordfence?
Wordfence es un plugin de seguridad para sitios web de WordPress que ofrece protección integral contra amenazas cibernéticas. Proporciona un firewall de aplicaciones web (WAF) que filtra el tráfico malicioso, un escáner de malware que revisa archivos y bases de datos en busca de infecciones, estas últimas funciones puede ser pagas. Se puede afirmar que WordFence es uno de los complementos de seguridad más populares en uso en la comunidad de WordPress
¿Cómo funciona este malware?
El malware utiliza técnicas avanzadas para evitar ser detectado por Wordfence. Algunas de las estrategias que emplea incluyen:
- Dividir el código malicioso en múltiples archivos para dificultar su detección. Incluye archivos como main.js y style.css.
- Usa ofuscación y codificación para ocultar el código dañino. Se ha detectado codificación base 64, concatenación y cadenas invertidas.
- Insertar el código malicioso en archivos legítimos de WordPress para pasar desapercibido.
- Crea un usuario administrador malicioso como por ejemplo license_admin2.
Cuando un usuario visita una página infectada, el malware se activa y puede realizar diversas actividades maliciosas, como robar datos, instalar puertas traseras o redirigir a los visitantes a sitios web maliciosos. Este mecanismo de ataque nos hace recordar el ataque de Anonymous Fox que aún hoy en día sigue trayendo secuelas.
¿Cómo puedo proteger mi sitio web de WordPress?
Tenemos que aclarar que no existe una solución definitiva para proteger tu sitio web de esta amenaza, pero es importante tomar las siguientes medidas:
- Mantén tu versión de WordPress, tus plugins y temas actualizados. Las actualizaciones de seguridad a menudo incluyen parches para vulnerabilidades que podrían ser explotadas por el malware.
- Utilice el Doble Factor de Autenticación (2FA) en su panel de administrador
- Realiza copias de seguridad regulares de tu sitio web.
- Utiliza contraseñas seguras y cambia las contraseñas periódicamente. No utilices la misma contraseña para varias cuentas.
- Monitorea tu sitio web en busca de actividad sospechosa.
¿Qué hacer si tu sitio web está infectado con malware de evasión de Wordfence?
Si sospechas que tu sitio web ha sido infectado, debes tomar medidas inmediatas para eliminarlo. Es aconsejable revisar los archivos de los complementos ubicados en ./wp-content/plugins.
Es recomendable que lo analices con un escáner de malware desde Sitios Hispanos, lo puede solicitar al Soporte técnico. También, puedes intentar eliminar el malware manualmente, pero esto puede ser un proceso difícil y complejo.
Le sugerimos leer nuestra guía: Desinfecta tu WordPress: Eliminación de malware
En resumen, esta nueva variación de malware evasivo de Wordfence representa una amenaza significativa para los sitios web de WordPress. Es crucial que los propietarios de sitios web tomen medidas proactivas para proteger sus sitios y estén atentos a posibles signos de infección.
El equipo de investigadores de Sucuri han realizado un análisis más profundo de esta nueva amenaza para el plugin Wordfence.
Si te gustó este artículo, suscríbete a nuestro canal de YouTube para videos tutoriales de Hosting, prácticas y demás. También puede encontrarnos en X (Twitter), Facebook e Instagram, además de LinkedIn.