ComunicaciÓn es creatividad

Wlog

soaksoak

SoakSoak, una vulnerabilidad que superar en WordPress

Uno de los grandes contras que se le achacan a un CMS como WordPress es que sin plugins, complementos o añadidos no es una plataforma competitiva. Muchos desarrolladores apuestan por un desarrollo de cero, pero WordPress se ha destapado en los últimos tiempos como una gran solución para todo tipo de proyectos. El problema es que llenar tu WordPress de plugins puede generar un fallo de seguridad con consecuencias que crecen exponencialmente si no se para a tiempo.

A finales de 2014 saltaron de nuevo las alarmas. Google bloqueó más de 11.000 webs construidas con WordPress por culpa de SoakSoak, el último ‘malware’ en colarse por la gatera. En esta ocasión, los agujeros de seguridad llegaron de la mano de versiones no actualizadas de Revolution Slider (RevSlider) y Showbiz Pro, plugins presentes en alrededor de 100.000 webs. Así que, atención.

Google bloquea automáticamente los sitios que detecta como infectados, aunque el problema puede ser aún mayor, si los servidores registran grandes cantidades de spam enviadas desde estas direcciones y decide bloquear dominios y hospedaje. Aunque el aviso de vulnerabilidad se lanzó el pasado mes de diciembre, cientos de páginas continúan sufriendo las consecuencias de SoakSoak cada semana. No actualizar correctamente los componentes de la web o no seguir un protocolo mínimo de seguridad pueden conllevar estas cosas. Pero una vez infectados, la cosa no es complicada.

Escanea en busca de ‘malware’

SoakSoak es un tipo de ‘malware’ que infecta mediante ‘local file inclusion’, es decir, añadiendo archivos o líneas de código en nuestros archivos. Googleando un poco se puede encontrar decenas de herramientas gratuitas con las que escanear nuestra web en busca de este o cualquier otro virus. Una de las más efectivas es Sucuri, que con simplemente poner la URL analiza el sitio en unos segundos. Otro de los trucos más efectivos es acceder a los archivos alojados al servidor a través de FTP y comprobar las fechas de modificación. Si hay algún archivo .php con fecha diferente, hay riesgo de que haya sido modificado.

Revisa las versiones de los plugins

Si estás infectado (casi) no hará falta que lo mires: (casi seguro) tienes versiones sin actualizar de alguno de los dos plugins. Pero si quieres curarte en salud, solo tienes que darle un vistazo a la documentación. Es sencillo: dentro del escritorio de WordPress, Plugins/Plugins Instalados y miras la versión del plugin. Si RevSlider es anterior al 4.2 o Showbiz Pro lleva sin actualizar desde el 1.5.3, corres el riesgo de infectarte. Actualiza ambos a la versión más actual.

Actualiza plugins y versión de WordPress

Ahora es cuando viene el tirón de orejas. Las versiones con ‘bugs’ de RevSlider son anteriores a febrero de 2014 y las de Showbiz a enero de 2014. Es más que recomendable tener al día plugins y versiones de WordPress. Las actualizaciones suelen contener mejoras de seguridad y, con ellas, es más complicado que se cuele algún problema de ‘malware’. Actualizando a las últimas versiones, el problema debería quedar resuelto.

Incluso si vienen con la plantilla

Tanto Revolution Slider como Showbiz Pro son plugins de pago, aunque están incluidos en multitud de temas de WordPress. Es un buen momento para recordar que es recomendable adquirir plantillas que tengan incluido el servicio de actualización de los plugins necesarios para su funcionamiento o, al menos, el sistema de notificación de actualizaciones. En caso de no tenerlos, hay que valorar adquirirlos por separado.

Copia de seguridad limpia

Si no la tienes, es el segundo tirón de orejas. Mantener a buen recaudo una copia de seguridad de la web es casi obligatorio. Hay multitud de plugins que lo pueden hacer de forma automática, así que no hay excusa.

Aplicar protocolos de seguridad

Una vez solucionado el problema en el que SoakSoak nos ha metido, es momento de cambiar de hábitos. Los primero para nuestra nueva vida segura es cambiar todas las contraseñas: usuario de WordPress (y nombre de usuario, si me apuras), usuarios de FTP, panel de hosting y base de datos. Ahora que hemos abrazado la seguridad, es hora de levantar la mano derecha y prometer que nunca más se bajará nada de foros o blogs en los que compartan temas o plugins pirateados. No vale cruzar los dedos.

1 comentario

  1. Marius
    20/02/2015 - Responder

    A mí esto ya no me pasa más… a partir de ahora tocará usar alternativas a Revslider que den mejores opciones de seguridad. Gracias por el post!

Comentarios

Tu dirección de correo no será publicada. Los campos que tienen una marquita * son obligatorios