Buscar malware en WordPress

WordPress es uno de los gestores de contenido mas populares que existen. De eso no queda duda. Con más de 14.000.000 de descargas podemos decir que existen tantas instalaciones de WordPress en el mundo como habitantes de un país importante como Ecuador. Existen decenas de causas que disminuyen la relación descarga/instalaciones, claro. La idea de la comparación es simplemente explicar lo usado que es este genial CMS, y por ende, lo atractivo que es para los creadores de malware.

Es por eso que, además de hacer backups tanto de los archivos como de la base de datos de cada instalación que tengamos, de vez en cuando es buena idea realizar un chequeo de malware, ya que por más recaudos que tomemos nunca estaremos totalmente protegidos de un ataque, es la ley de internet, y hay que vivir con ella.

Hace unos días estaba preocupado acerca de una instalación de uno de los WP que administro, y realicé un chequeo de rutina que ahora voy a compartir con, espero, varios de los lectores de Kabytes que también son WPseros.

Primero que nada realicé el backup de rutina, nada fuera de lo común, básicamente entré por FTP y copié todos los archivos, después hice lo mismo mediante PHPMyAdmin con la base de datos. Una vez realizada la copia de seguridad instalé 2 plugins que chequean la instalación por malware: WP-Malwatch y Exploit Scanner.

WP-Malwatch es un plugin que realiza una búsqueda de archivos ocultos, .htacess, partes de archivos PHP modificados adrede o ofuscados en BASE64. Básicamente lo que hace es un informe de los posibles y mas usados métodos de hijacking.

Exploit Scanner hace una búsqueda tanto en los archivos PHP del sitio como en las tablas de la base de datos y realiza una búsqueda genérica de las llamadas comunes que suelen utilizar los atacantes. Este es uno de esos plugins que valen mas en manos de profesionales, aunque al común de los administradores le puede dar ciera pauta de un problema claro.

Mi recomendación es que realicen el scaneo de malware cuando el sitio tiene poco tráfico (en la noche en la mayoría de los casos, salvo que tengan un weblog de p0rn) ya que el consumo de recursos que maneja es bastante alto (por no decir demasiado).

Luego de esto, y si lo que vemos no suele parecer demasiado extraño podemos revisar que todo esté actualizado al día para luego si los permisos FTP están bien configurados (recomiendo el vídeo que hice hace mas de 2 años a los que no están muy «duchos» con los permisos FTP).

Para terminar, no es mala idea tratar de ocultar un poco a nuestro WordPress de la vista de BOTS que andan buscando instalaciones de WP, para ello existe el plugin WP Security SCAN que «esconde» muchas de las cosas que estos BOTS buscan para inyectar su maldad en forma de malware.

Y recordar: «A seguro se lo llevaron preso». Así que a tener cuidado, sí, sin volverse paranoico y a hacer doble backup de las cosas. Nadie está excento de los peligros de la vida, y menos en internet. Pero con estos consejos quizás puedan dormir tranquilos… al menos en lo que a WP respecta 🙂