Bueno, estoy aquí para decirte que te puede pasar.
Este sitio web fue hackeado la pasada Nochebuena. Lo que sucedió es parte de una tendencia más grande e inquietante en la que los sitios web y blogs de pequeñas empresas están siendo atacados y comprometidos. Los sitios de WordPress parecen ser un objetivo particular.
$config[code] not foundHe decidido compartir mi historia, con la esperanza de que te ayude a evitar una piratería informática o, si se produce, se recupere rápidamente.
Los detalles feos
En la mañana de Navidad, intenté abrir este sitio como lo hago normalmente a primera hora de la mañana, solo para hacer una revisión rápida.
La página de inicio del sitio estaba completamente en blanco! Nada. Nada No pude publicar nada nuevo, tampoco. Me di cuenta de que una galleta había pirateado el sitio. Como investigué más tarde ese día, descubrí un poco de daño en el sitio, incluyendo:
- Todos los complementos de WordPress habían sido desactivados.
- Se han eliminado varias páginas, incluido el directorio de expertos, la página de boletines, la página Acerca de y otros.
- El blogroll se había comprometido, con aproximadamente una docena de enlaces insertados en sitios de adultos y farmacéuticos.
- Casi 50 enlaces ocultos a sitios de adultos, sitios farmacéuticos y otros sitios de chatarra se habían dispersado en el encabezado y en el pie de página. No pudo ver los enlaces al mirar el sitio a través de un navegador estándar como Internet Explorer, ya que se ocultaron intencionalmente con un código HTML. Sin embargo, los motores de búsqueda podrían "ver" los enlaces, por supuesto.
Siendo unas vacaciones, hice lo que pude por mi cuenta para restaurar el sitio y al día siguiente recibí ayuda. Por suerte utilizo una empresa de alojamiento profesional con un excelente soporte telefónico. Y nuestro contrato webmaster, Tim Grahl, fue super y dejó todo para responder.
Trabajando en equipo, logramos que el sitio funcionara y pareciera presentable de nuevo al final de los negocios el 26 de diciembre.
Sin embargo, poco sabía que la prueba aún no había terminado. Acababa de ver la punta del iceberg el primer día. Pronto descubrí lo que los hackers REALMENTE habían hecho.
Hackers Gaming los motores de búsqueda
Desde el principio me preguntaba: "¿Por qué alguien hackearía este sitio?" No hay nada de valor (para un pirata informático). No hay números de tarjeta de crédito. No hay datos confidenciales. No hay información del cliente.
Al principio lo atribuí al vandalismo.
Pero a medida que la situación se desarrollaba y descubrí más daños, me di cuenta de que esto no era un simple vandalismo. Más bien, esta actividad de hacking se trata de Secuestro de sitios web y blogs de pequeñas empresas. , y usándolos para generar enlaces a otros sitios para juego los motores de búsqueda .
Los hackers encuentran un agujero de seguridad y entran en su sitio. Toman el control a través de scripts que convierten su sitio en un avión no tripulado que genera enlaces. Los enlaces generados en su sitio (sin su conocimiento) apuntan a otros sitios, en un esfuerzo por lograr que esos otros sitios lleguen a la cima de los resultados del motor de búsqueda.
Atrapado en un anillo Splog
Un día después de que descubrí la piratería, aprendí la peor parte: los hackers habían secuestrado parte de este sitio en un anillo de splog (blog de spam).
La primera pista vino de Technorati.com cuando vi que el enlace entrante contaba para Tendencias de la pequeña empresa Había saltado por un par de miles de enlaces durante la noche. "Oh, qué bien", pensé, ¡durante unos 3 segundos! Mi placer se convirtió en disgusto cuando vi que todos los enlaces usaban texto de anclaje como "viagra", "tonos de llamada lindos" y otros tipos de basura.
Los enlaces procedían de "splogs". Cada splog consistía en listas de miles, literalmente miles, de enlaces que apuntaban a páginas de otros sitios web, incluidas cientos de páginas falsas que se habían configurado en el directorio tmp de este sitio.
Fue entonces cuando me di cuenta de lo que realmente habían hecho los hackers. Habían dejado atrás un script que generaba automáticamente cientos de páginas falsas en este sitio. Esas páginas falsas, a su vez, fueron redirigidas a sitios farmacéuticos, de adultos y de tonos de llamada. No podías ver las páginas falsas al mirar este sitio, pero estaban allí.
Luego los hackers habían creado anillos de otros sitios, principalmente blogs, para enlazar a las páginas falsas en Tendencias de la pequeña empresa. Todo fue diseñado para enviar, en última instancia, el peso del enlace combinado a los sitios farmacéuticos, de adultos y de tonos de llamada que querían clasificar en los buscadores.
Así es como funciona:
Splog A >>> se vincula a una página falsa en el sitio secuestrado B >>> cuya página falsa ha sido redirigida a un sitio farmacéutico que vende OxyContin.
Enjuague y repita. Miles de veces.
Resultado = aumentos rápidos en los rankings de los motores de búsqueda para el sitio que vende OxyContin.
Como puede ver, esto no fue un ataque aislado en un solo sitio. Este fue un esquema orquestado que involucra cientos si no miles de sitios. El mío acaba de ser uno de los muchos sitios atrapados.
Cómo entraron los hackers
Creemos que los hackers entraron a través de una versión insegura de WordPress a través del servidor. Más allá de eso, no diré más, para no dar una hoja de ruta sobre cómo descifrar otros sitios. El ataque parecía provenir de una dirección IP rusa.
El ataque aprovechó el tiempo de las vacaciones, ya que mi anfitrión tenía un bastón de personal trabajando la Nochebuena. Sorprendentemente, menos de 2 días después del primer ataque, mientras estábamos en medio de arreglar la carnicería, ¡los hackers regresaron! Esta vez, el intento de piratería se evitó mediante una acción rápida por parte de la empresa de alojamiento, bloqueando la dirección IP que estaba enloqueciendo el sitio.
Mientras investigaba otros piratas informáticos, me sorprendió descubrir que hay más de una docena de versiones de WordPress con vulnerabilidades conocidas. Con un estimado de 2 a 3 millones de blogs que usan WordPress, eso significa que muchos blogs están potencialmente en riesgo. Los sitios web y blogs que han existido por un tiempo, y los sitios de confianza, son los que probablemente serán atacados.
Simplemente haga una búsqueda en Google y encontrará informes de otros blogs de WordPress que están siendo pirateados, incluyendo algunos de los mejores y más brillantes. Incluso el blog de Al Gore fue hackeado.
Además, mi investigación ha descubierto al menos media docena de formas de comprometer los blogs de WordPress. Y por cada método que he visto, estoy seguro de que los malos saben 2 docenas de otros.
Acción correctiva
Tomamos una serie de pasos para asegurar el sitio, incluyendo:
- Actualizado a la última versión de WordPress.
- Se eliminó un complemento que, según las investigaciones, podría tener vulnerabilidades de seguridad, y se actualizaron todos los complementos restantes si existían nuevas versiones.
- Limpiar todo el desorden dejado por los hackers, eliminando sus scripts y enlaces y páginas no autorizados. No solo tuvimos que rastrear nuestro propio código de sitio, sino que necesitábamos que nuestra empresa de alojamiento lo hiciera para todo el servidor.
- Revertido a una copia de seguridad limpia de la base de datos MySQL desde antes del ataque.
- Auto-registro bloqueado en este sitio.
- Contraseñas cambiadas; revisó los registros del servidor en busca de direcciones IP sospechosas y los bloqueó; y cambié una serie de otras cosas a las que no quiero llamar la atención.
Alguien me preguntó si planeaba cambiar de WordPress a otro software. No, planeo seguir con eso. WordPress es un buen paquete de software y ha estado libre de dolores de cabeza el 99% del tiempo. Entiendo que la comunidad de desarrollo de WordPress está trabajando para abordar los problemas de seguridad; esperemos que lo hagan antes de que WordPress desarrolle una mala reputación irreversible.
Sin embargo, he levantado medidas de seguridad un par de muescas. Creo que un hacker determinado puede encontrar una manera de entrar alguna Sitio, si realmente quieren. Pero, ¿por qué convertirte en un blanco fácil?
Por lo tanto, ahora mismo probablemente te estarás preguntando qué puedes hacer para proteger tu blog o sitio web. Tengo algunos consejos para ti. Pero como este artículo ya es largo, los he puesto en otro artículo: Cómo proteger su sitio de WordPress.
56 comentarios ▼
