Eliminar malware WP-VCD en WordPress

Eliminar malware WP-VCD en WordPress

17 de agosto 2019

Utilizar WordPress como CMS a la hora de llevar a cabo un desarrollo web tiene grandes ventajas, ya que cuenta con una gran cuota de mercado cuya comunidad es cada vez mayor. Sin embargo esta popularidad tiene una cara B y es que también hace a la plataforma susceptible de numerosos ataques, ya sean personas, virus o malwares. En su mayoría no revisten mucha gravedad, pero sí que pueden causarte más de un dolor de cabeza cuando la infestación se replica en toda tu red.

Hace unos días revisando una página web a la que pretendía hacer unas actualizaciones y cuya plantilla había programado yo, me encontré en el archivo de funciones un segmento de código que para nada era mio. Ante mí me encontré de nuevo a un conocido enemigo: el malware WP-VCD. Se trata de un tipo de código malicioso bastante común que es utilizado para generar URLs de spam y derivar trafico de tu sitio a estas nuevas rutas.

Si tú también te has encontrado con esta situación y no sabes por dónde empezar, quédate porque voy a dar algunas indicaciones sobre cómo solucionar este problema.

¿Cómo han entrado en mi web?

Existen varias formas en la cual tu web ha podido quedar expuesta a este virus, aunque las más habituales serían:

1 – Han entrado en nuestro sitio a través de una vulnerabilidad. Esta brecha de seguridad quizá se encuentre en el propio WordPress, aunque lo más probable es que esté en el tema o alguno de los plugins instalados.

2 – Hemos usado para nuestro diseño y desarrollo web un tema o un plugin que incorpora el malware WP-VCD en cuestión. Es bastante habitual que ocurra con las versiones anuladas (Nulled) de temas o plugins de pago. En este caso eres tú mismo el que infecta la web sin ser consciente de ello.

3 – Tu proyecto está en un espacio web donde otras páginas webs pueden acceder y una o varias de ellas está infectada. Al dichoso script le gusta replicarse en todas las webs que tenga a mano.

Pero, ¿dónde se encuentran los archivos infectandos?

El malware en cuestión se encuentra generalmente en cinco archivos de nuestra instalación de WordPress, aunque a veces falta alguno de los tres primeros. Los archivos que afecta son los siguientes:

includes/wp-tmp.php
includes/wp-vcd.php
includes/wp-feed.php
includes/post.php
wp-content/themes/mi-tema/functions.php

Sin embargo tenemos que hacer una aclaración, ya que una cosa es el malware y otra diferente es el instalador del mismo. Para que el virus pueda expandirse, usan un instalador que inyecta el código en nuestro archivos. Como supondrás, para evitar que vuelva a replicarse, deberás eliminarlo también o no servirá de mucho la limpieza de los anteriores archivos.

La ubicación de este instalador es variable, por lo que no puedo decirte la ruta exacta, pero sí que hay algunos rasgos comunes que te ayudarán a localizarlos

Haciendo una correcta limpieza, podemos acabar con WP-VCD de un modo relativamente sencillo. Claro que esto dependerá de la cantidad de portales afectados.

¿Cómo elimino entonces el malware?

Si has llegado hasta aquí es más que probable que andes buscando cómo eliminarlo, así que voy a darte una serie de pasos que espero te puedan servir de ayuda para resolver el dichoso problema. Vamos allá:

1 – Desconecta tu ordenador de internet así como de la red local si este fuera tu caso. Y si tienes un servidor local en el equipo, apágalo. Primero vamos a asegurarnos que si hay algo no se extiende. Vacía la caché de navegación y archivos temporales. Puedes hacerlo manualmente en cada programa o usar alguna aplicación como CCleaner. Después te recomiendo que pases un antivirus y un antispyware, ya aunque este tipo de script no es detectable por los sistemas de rastreo nunca sabemos si hay algún otro tipo de software malicioso en nuestro equipo.

2 – Contraseñas guardadas en navegador van fuera. Si eres de los que guardan las contraseñas de los paneles de control de WordPress en el navegador, debes eliminarlas. No sabemos si están comprometidas y deberemos cambiarlas después, pero de entrada eliminamos los registros.

3 – Cuidado con el FTP. Aunque no se trata de un malware que pueda saltar entre hostings, también es cierto que inyecta código y no creo que la persona que se encuentra detrás se sienta moralmente comprometida a no fastidiarte más. No supongamos nada y elimina todas las cuentas de tu cliente FTP, deberemos cambiar contraseñas e instalarlas una a una conforme hayamos limpiado el sitio en el que entremos, pero eso más adelante.

4 – A limpiar en casa. Ahora debemos asegurarnos que el entorno desde donde vamos a trabajar está limpio. No des por sentado que porque el problema esté en el servidor, no lo tengas latente en tu equipo también, sobretodo si usas un servidor local tipo Wamp o Xampp. Revisaremos los archivos para ver si en las copias locales de nuestros trabajos ya tenemos descargado el código malicioso. Nuestra acción se centrará en los archivos que citaba más arriba.

Primero entraremos en la carpeta includes y eliminaremos los archivos wp-vcd.php, tmp.php y feed.php (puede que falte alguno de ellos). Recomiendo usar la función ⇧ Mayús+Supr si usas Windows o ⌘ Cmd+X para Mac, ya que así lo borramos sin pasar por la papelera (vale, quizá esto ya es manía mía, pero a fin de cuentas soy yo el que escribe).

Después, localizaremos post.php, lo abriremos y buscaremos en el encabezado el fragmento que indico a continuación para eliminarlo completamente:

En tercer lugar iremos a nuestro archivo de funciones, ubicado en wp-content/themes/mi-tema/functions.php y lo abroremos. En su interior encontraremos al comienzo este otro script, considerablemente más grande y lo eliminaremos también.

Una vez hayamos hecho limpieza local, ya podemos volver a conectar nuestro equipo a la red e internet. En el caso que estuvieras en una red, asegúrate que el resto de equipos están también limpios, claro.

5 – Conectarnos uno a uno a los servicios de hosting y repetir el proceso de limpieza que llevamos a cabo en local. En caso que gestionemos servidores completos, pues aplica el proceso de la manera que más estimes oportuna.

Publicado por Jesús Tovar

Categorías: Programación, WordPress

Etiquetas: ,

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies, si continúas navegando estás dando tu consentimiento. Consulta nuestra política de cookies y de privacidad.

ACEPTAR
Aviso de cookies