Vulnerabilidad y ataque masivo con plugin Mailpoet

El famoso plugin Mailpoet de WordPress ha sido la causa estos dias de una vulnerabilidad que ha afectado a unos 50.000 sitios wordpress.

Mailpoet WordPress

El plugin Mailpoet también es conocido como Wysija Newsletter.

Esta vulnerabilidad permite a los hackers subir un archivo infectado en el directorio hosting del sitio web, concretamente en el directorio wp-content/uploads/wysija. (Suele ser el archivo wp-content/uploads/wysija/themes/main/index.php.)

Es ahí donde se instala el archivo de puerta trasera que permitirá el acceso permanente al directorio de hosting, posibilitando así ataques posteriores. Si no solucionamos el problema, los hackers seguirán atacando e infectando los archivos de nuestro hosting, lo que afectará a nuestros sitios web que evidentemente dejarán de funcionar por culpa de los archivos infectados.

Si esto ocurre veremos en nuestro sitio web mensajes de este estilo: “Parse error: syntax error, unexpected ‘)’ in …

La puerta trasera crea un usuario 1001001 con privilegios de administrador, que será necesario borrar de la base de datos de wordpress, y también inyecta codigo malicioso en los archivos del sistema.

 

SOLUCIÓN AL PROBLEMA DEL PLUGIN MAILPOET:

Actualizar el plugin no elimina la infección ni la puerta trasera. Ni siquiera eliminar el plugin situado en wp-content.

Hemos de eliminar el directorio wp-content/uploads/wysija mencionado anteriormente. Igualmente desactivar y eliminar el plugin. Después reinstalar la nueva versión 2.6.9 del plugin Mailpoet.

También debemos eliminar los archivos infectados. Lo mejor es restaurar una copia de seguridad limpia que tengamos.

Si no es así, hemos de reinstalar wordpress completamente.

Eliminar el usuario 1001001 de la base de datos de wordpress.

 

PREVENCIÓN DE ATAQUES E INTRUSIONES

Para prevenir este tipo de problemas, es importante tener instalado algún plugin de seguridad. Aquí teneis los enlaces a algunos de los más famosos y utilizados:

Bulletproof Security, Antivirus, Wp Security ScanAll In One WP Security & FirewallWordfence Security.
Fuente: Blog de Sucuri y Ayudawp