Código malicioso en temas y plugins para Wordpress

Todo comenzó cuando presente mi nuevo proyecto en el foro, los usuarios que entraban a mi web me comentaban que la carga era muy muy lenta entonces me puse a optimizar la web siguiendo las recomendaciones de PageSpeed de Google, me salia que tenia que eliminar un javascript que no estaba alojado en mi servidor y eso me pareció muy raro, quería decir que alguien podía tener acceso a mi servidor y eso me puso aun mas nervioso y con ganas de eliminarlo de inmediato.
El script en cuestión es este https://genericstts.com/init.min.js
Me puse a buscar esa dirección en todo el directorio de mi web y no lo pude encontrar.
Ya enloquecido decidí buscarlo en google y si alguien tenia una solución, luego de visitar miles de resultados encontré un hilo reciente en el foro de wordpress en ingles que trataban el tema.
Al final del hilo un usuario comento que encontró el código, y para mi asombro el código estaba en una "imagen"!!! se llamaba social.png y estaba dentro de las imágenes de mi tema, la borre y borre la linea que la llamaba en el archivo functions.php
Para mi alivio ya no lo detectaba google y paso siguiente cambie todas mis contraseñas.
Investigando aun mas encontré que que esas imágenes falsas son insertadas por los hackers en los temas y plugins nulled y hasta los que compramos en ThemeForest.

Espero que les haya servido mi experiencia.
Saludos!

Que miedo, debemos de tener cuidado con lo que instalamos en nuestros servidores

Si tenés varios sitios con wordpress en el mismo hosting revisalos. Y si tenés mas de un theme en esa instalación también fijate de modificar cada uno de los functions.php, borrar la imagen social.png y creo que tambien genera uno con nombre cache..
A mi me pasó lo mismo con unas 10 webs.

tatusea dijo:

Si tenés varios sitios con wordpress en el mismo hosting revisalos. Y si tenés mas de un theme en esa instalación también fijate de modificar cada uno de los functions.php, borrar la imagen social.png y creo que tambien genera uno con nombre cache..
A mi me pasó lo mismo con unas 10 webs.

Click para expandir ...

Una imagen con nombre cache?

danyel2010 dijo:

Una imagen con nombre cache?

Click para expandir ...

No no es una imágen, no recuerdo que extensión tenía pero recuerdo que se guardaba en wp-content/themes/

Hace unos dias también borre uno en el que la imágen se llamaba header.jpg

Revisa los plugins que has instalado que seguramente sea uno de ellos el que te infecta los themes.

¿Y qué hemos aprendido hoy? Nada de cosas nulled. Si viene de Themeforest dudo que tenga este tipo de contenido, ya que una tienda como esa no puede simplemente por su reputación permitirse vender temas con códigos fradulentos.

Si dice que tuvo problema con un theme comprado en themeforest me gustaría saber cual, pues como dice danieldiaz dudo mucho que en TF cuelen temas con códigos chungos....

si es nulled claro q algun tiene ajaja nada es gratis

Que hacia finalmente este archivo? Que hacen generalmente estos archivos?

davidblb dijo:

Si dice que tuvo problema con un theme comprado en themeforest me gustaría saber cual, pues como dice danieldiaz dudo mucho que en TF cuelen temas con códigos chungos....

Click para expandir ...

era nulled, pero un gringo dijo en el foro de wordpress que compro un tema con ese codigo

- - - Actualización- - -

Novato dijo:

Que hacia finalmente este archivo? Que hacen generalmente estos archivos?

Click para expandir ...

desde agregar su propio codigo de adsense en tu web hasta robarte las contraseñas del servidor y la base de datos

a que se refieren con nulled? si me pueden explicar, gracias. Y como busco las imagenes infectadas?

buen aporte

santanar dijo:

a que se refieren con nulled? si me pueden explicar, gracias. Y como busco las imagenes infectadas?

buen aporte

Click para expandir ...

Nulled/pirata o liberado y la cuestión es que PUEDE tener algo malicioso pero no siempre, a veces no es mas que un link en el footer.

Hola. yo hace tiempo vengo viendo códigos malicioso en Scrips, plugins y temas de wordpress hay una sola pagina que se dedica a inyectar esa “imagen” y la agrega a la descarga. La pagina es Null It! tiene links basados en linkzquickz dot com. Aun así ya es detectables por los antivirus.

Para ver si esta limpio el nulled aconsejo:
1. pasar virustotal por cada archivo o zip. Muchas veces lo detecta.
2. Instalar Wp security scan: detecta si tu blog puede tener algún tipo de vulnerabilidad.
3. Y lo mas aconsejable es abrir cada código por separado en un block de nota, en busca de alguna url sospechosa que envié solicitud a otro sitio web que no sea la del autor del theme, plugin etc y eliminarla. Para esto es fácil buscas http:// y buscas todas las URL.

Saludos

rolq120 dijo:

Hola. yo hace tiempo vengo viendo códigos malicioso en Scrips, plugins y temas de wordpress hay una sola pagina que se dedica a inyectar esa “imagen” y la agrega a la descarga. La pagina es Null It! tiene links basados en linkzquickz dot com. Aun así ya es detectables por los antivirus.

Para ver si esta limpio el nulled aconsejo:
1. pasar virustotal por cada archivo o zip. Muchas veces lo detecta.
2. Instalar Wp security scan: detecta si tu blog puede tener algún tipo de vulnerabilidad.
3. Y lo mas aconsejable es abrir cada código por separado en un block de nota, en busca de alguna url sospechosa que envié solicitud a otro sitio web que no sea la del autor del theme, plugin etc y eliminarla. Para esto es fácil buscas http:// y buscas todas las URL.

Saludos

Click para expandir ...

Muy útil muchas gracias!!!

Recomiendo un plugin de wordpress se llama TAC https://wordpress.org/plugins/tac/

Nadie regala nada y me puse a escanear algunos themes que me bajé y... bingo! Código malicioso.

Como bien decís muchas veces es un enlace en footer, otras veces la palabra malicioso se queda corta.

Conoceis algun limpiador, escaner o algo para plugins???

Quiero trabajar con el WP-Robot y no me atrevo a instalarlo en mi server por la basura que pueda tener.

Espero que os sirva el TAC, buena caza.

Creo que ningun plugin o scanner sera mejor que revisar manualmente el plugin o theme. Yo ayer encontré en un theme varios agregados extras encryptados en Base64 por ejemplo en el footer aparecía algo así

SG9sYSBpbmdyZXNhIGEgbWkgd2ViIHd3dy5taXNpdGlvLmNvbSA=

Click para expandir ...

Base64 decode: Lo decrypte y era publicidad a otro sitio web y al seguir revisando encontré una imagen que redirigía al mismo sitio web. Optimize todo borre todo lo que no era del theme y como nuevo.

Solo basta con buscar urls Http/https o urls en ASCII como el ejemplo que di arriba.

moraleja, hay que comprar para evitar disgustos.

A mi me pasó con un theme piratilla. Generaba enlaces a cascoporro hacia webs de casinos y similares y el código estaba encriptado como dice rol120.

Para eso viene bien hacer un escaneo al dominio con xenu o similares porque por mucho que mires el código, como sea un theme grande no encuentras el hackeo ni de coña.

Lo que hay que pensar es que quién sube un tema de pago por qué lo hace. ¿Altruismo? O quiere sacar unos cientos de backlinks...

También os recomiendo el plugin AntiVirus, que suele detectar también mierda que llevan los themes.

https://wordpress.org/plugins/antivirus/

Yo tambien he tenido malas experiencias por utilizar temas descargados de Internet, una vez tuve que renovar mi gota.
Con revisar el archivo function no creo que sea suficiente...hay cientos de archivos php que pueden ejecutar ordenes, asi que no vale la pena arriesgarse. He pensado que si alguien tiene temas originales podriamos hacer intercambios, yo ahora tengo 2 de joomla, pero me interesan de wordpress, si hay una recolecta para comprar muchos me apunto.

Un saludo.