Nuestro Site Scanner salvó miles de sitios web WordPress de un ataque de seguridad masivo
A mediados de junio lanzamos nuestro servicio Site Scanner actualizado. Poco sabíamos entonces que pronto veríamos la nueva funcionalidad en plena acción. Solo unos meses después de la actualización, Site Scanner salvó miles de sitios WordPress de un ataque bien disfrazado, con el objetivo de redirigir el tráfico a sitios falsos a través de un plugin falso, llamado Zend Fonts. Imagina todos los daños a la reputación y otros negocios que un ataque como este podría haber causado y lee cómo nuestro héroe Site Scanner salvó el día.
¿Cómo funciona el “plugin falso de Zend”?
El ataque implicó subir un plugin falso infectado llamado Zend Fonts a través de una puerta trasera. Una vez subido, el plugin infectado redirigía a los visitantes del sitio a sitios fraudulentos sin que el propietario del sitio lo sospechara. El archivo del plugin cargado se ve así:
| ./wp-content/plugins/zend-fonts-wp/zend-fonts-wp.php |
Lo que hace que el ataque sea realmente peligroso es que este archivo de plugin está oculto de la lista de plugins wp-admin o wp-cli, lo que significa que los administradores de WP no podrían detectarlo fácilmente, debido a la siguiente función:
| //hide plugin add_filter(‘all_plugins’, ‘hide_plugins’); function hide_plugins($plugins) { unset($plugins[‘zend-fonts-wp/zend-fonts-wp.php’]); return $plugins; } |
Además, está configurado para activar la redirección solo si un usuario normal accede al sitio web, no el administrador o editor del sitio:
| //do redirect if user from REF and NOT Admin if(isset( $_SERVER[‘HTTP_REFERER’]) && !$isAdmin){ redirect(); } |
Todos estos factores hacen que el ataque sea prácticamente invisible para los propietarios/editores del sitio, mientras que los visitantes normales serían redirigidos a sitios fraudulentos. Este truco podría fácilmente resultar en pérdidas significativas de ventas, daños a la reputación y otros daños, como una mala clasificación en los motores de búsqueda y más.
¿Cómo detectó SiteGround el ataque?
Nuestros administradores de sistemas monitorean la carga y el comportamiento de nuestros servidores 24h y poco después de que se lanzara este exploit, observamos un número anormalmente alto de archivos maliciosos detectados por nuestro servicio de Site Scanner en busca de malware. Nuestros administradores de sistemas comenzaron a investigar más y detectaron un patrón: hubo un intento de carga masiva de plugins de Zend Fonts que afectaron en ese momento alrededor de 2000 de las instalaciones de WordPress de nuestros clientes.
¿Cómo protege Site Scanner los sitios por sí mismo?
Por lo general, en ataques como el de Zend Fonts, para los sitios con Site Scanner Basic, los informes se reciben en menos de 24 horas después de que se detecta el malware (justo después del escaneo diario programado) y para aquellos con Site Scanner Premium, se recibe una alerta recibido inmediatamente después del intento de carga, dando a nuestros clientes la oportunidad de reaccionar rápidamente y eliminar los archivos maliciosos antes de que puedan causar cualquier daño.
Además, para los sitios con Site Scanner Premium donde la cuarentena está activada, los archivos nunca llegan a los sitios atacados. Se ponen en cuarentena de forma segura para que los propietarios del sitio los revisen y eliminen cuando sea conveniente. La cuarentena detiene efectivamente el ataque y protege los sitios de intentos de hackeo maliciosos, y el impacto en el negocio y la reputación resultante de ellos. Y la mejor parte: los propietarios del sitio no tienen que hacer nada.
Usando los datos de Site Scanner para proteger a todos los clientes
Una vez que nuestros administradores de sistemas detectaron que la carga del plugin Zend Fonts no era algo aislado, sino que estaba sucediendo en toda la plataforma, eliminaron todos los archivos maliciosos de nuestros servidores. Además, nuestros ingenieros de seguridad agregaron una nueva regla a nuestro firewall de aplicaciones web (WAF) para evitar futuros ataques hacia otros sitios de WordPress alojados con nosotros.
Estamos muy emocionados de ver cómo nuestro servicio Site Scanner está protegiendo activamente los sitios de una variedad de ataques realmente malos. Para ataques masivos a gran escala, como el plugin Zend Fonts, Site Scanner nos ayuda a detectar un patrón y tomar medidas para proteger a todos nuestros clientes implementando reglas WAF o mejorando nuestro sistema de monitoreo. Si bien esto es algo que continuaremos haciendo, la actualización de un sistema para toda la plataforma lleva un tiempo y no incluirá ataques de malware más pequeños y específicos del sitio. Si deseas tener una detección de malware temprana y completa para tu sitio, te recomendamos que actives uno de nuestros planes Site Scanner. Y si lo que buscas no solo es detectar ataques de malware, sino también detenerlos de forma proactiva, obtén el Premium Site Scanner con la cuarentena activada.
Para celebrar el éxito de Site Scanner, este mes de la ciberseguridad #CyberSecurityMonth ofrecemos 3 meses gratis para cualquier nueva activación de Site Scanner (tanto Basic como Premium) hasta finales de octubre.
¡Gracias! Tu comentario esta pendiente de ser moderado y será publicado en breve si esta relacionado con el artículo del blog. Comentarios sobre soporte o incidencias no serán publicados. En tal caso, por favor repórtalo directamente a través de
Iniciar discusión
¡Gracias! Tu comentario esta pendiente de ser moderado y será publicado en breve si esta relacionado con el artículo del blog. Comentarios sobre soporte o incidencias no serán publicados. En tal caso, por favor repórtalo directamente a través de