Check list para limpiar instancias de Wordpress que han sido hackeadas, y para prevenir hackeos. Para técnicos de sistemas con acceso SSH al servidor.
- Hay que estar atentos a las fechas de modificacion de los archivos. El hackeo puede ser con la inyección de ficheros nuevos, con nombres raros y codigo ofuscado, pero tambien puede hacerse modificando ficheros del nucleo de Wordpress. Ahí la pista la dará la fecha de modificación de los ficheros. ls -latr permite listar los ficheros de un directorio ordenados por fechas.
- El comando "find . -type f -mtime -1 -ls" lista todos los ficheros que han cambiado en el último dia.
- Los hackers tratan de pasar inadvertidos. Por este motivo, ponen codigo PHP en directorios donde no debería estar y donde no vas a mirar: /log/, /css/, /js/.
- Atentos a los nombres de los ficheros. Tratan de pasar inadvertidos con extensiones .js.php, o .css.php.
- Los dos ficheros más vulnerables al hackeo son el .htaccess del raiz de la web (ahí se encargan de dar permisos a la ejecución de archivos de cualquier tipo. pl, php, etc) y el index.php ,que siempre se ejecuta y por tanto ahí inyectan código de propagación para replicar y crear ficheros que te encargas de borrar.
- En el .htaccess tienes que bloquear la ejecución del xmlrpc.php. Es un foco de vulnerabiilidad.
- Tienes que tener instalado el Wordfence y hacer escaneos periodicos de los ficheros.
- A veces algunos archivos no se detectan. Si se tiene acceso a la consola de Linux, poner el siguiente comando:
find . -type f -exec grep -H "eval" {} \; | less
Y buscar en nano la palabra "eval", suelen indentarlo muchisimo para que no se vea.
