Si dispones de un blog en WordPress y ves que su funcionamiento ha sido últimamente algo extraño, lo más probable es que haya sido infectado por código oculto, bien mediante alguna instalación de un plugin o probablemente porque la plantilla que usas (si no la has diseñado o la has bajado de alguna web no fiable) se encuentre infectada.
La seguridad en WordPress no es un plato fuerte y debemos hacer mucho para que nuestra web se encuentre segura en cualquier momento, ya que si no lo hacemos así, es muy probable que suframos algún daño irreparable en la misma o incluso poner datos privados a la merced de cualquiera.
Para este caso, vamos a pretender que nuestro blog ha sido infectado con código oculto, los cuales se codifican mediante la función «decode_base64(‘…’)«, siendo esta función la que debemos buscar por todos y cada uno de los ficheros que componen nuestra plantilla. Una tarea muy ardua si tenemos que hacerlo fichero por fichero ¿verdad?. Bueno, no nos alarmemos, pues existe un plugin denominado Theme Authenticity Checker o (TAC) que nos permitirá buscar códigos maliciosos encriptados en nuestra plantilla y gracias al cual podemos analizar todo nuestro sitio web en busca de alguna cadena de texto que empiece por la función que he mencionado anteriormente.
Pasos a seguir para detectar código malicioso:
Instalación del plugin…
El plugin podemos instalarlo desde el panel de administración de nuestro WordPress, haciendo clic en «Plugis», «Añadir Nuevo» y buscar Theme Authenticity Checkers, luego lo activamos.
Analizar un tema de wordpress…
En el segundo paso, veremos como analizar los temas que tengamos instalados en nuestro WordPress. Para ello, debemos ir a la barra lateral de administración y hacer clic en «Apariencia», luego en «TAC», tal y como puedes ver en la siguiente imagen.
Una vez hayamos hecho clic en «TAC», éste nos ofrecerá un listado de todos nuestros temas instalados con idicación de aquellos que están infectados y los que están limpios. Los infectados pueden contener código malicioso o enlaces estáticos, así que luego nos quedará verificarlo de forma manual y para ello es conveniente hacer clic en «Details» para ver los detalles y localizar los enlaces o el código malicioso y acceder al fichero que contiene dicho código o enlace.
Como podrás comprobar en la imagen anterior, TAC ha localizado código malicioso encriptado, bueno…, podría no ser malicioso sino simplemente código encriptado que el autor del tema haya incluido para salvaguardar sus derechos, de ahí que tengamos que averiguarlo de forma manual y para ello, tal y como he mencionado antes, debemos hacer clic en «Details», tras lo cual podremos ver algo similar a lo siguiente:
Al hacer clic en «Details» podremos observar el fichero o ficheros infectados y las líneas que contienen el código encriptado en Base64. Para aquellos que no sepan lo que es Base64, podemos decir que se trata de un método que nos sirve para codificar un texto en código de 8 bits empleando para ello caracteres ASCII.
Como he mencionado anteriormente, en ocasiones los diseñadores y/o programadores pueden incluir códigos encriptados (por lo general en el footer del tema) para asegurar que cualquier usuario con conocimientos en HTML no pueda eliminar la marca de agua que insertan. Lo hace para proteger los derechos de autor, sin embargo, también son usados en muchas ocasiones con fines maliciosos para la inclusión de malware, adware, etc…
Intentar limpiar el código o eliminarlo del tema…
Llegados a este punto, toca trabajar un poco con el código del tema, pero antes de eliminar nada, debemos desencriptar el código encriptado. Para ello, vamos a emplear cualquiera de las siguientes herramientas disponibles en la Red.
Los enlaces anteriores nos llevan a unas herramientas online donde tan solo debemos copiar el código encriptado para desencriptarlo y conocer si podemos o no eliminarlo.
