Seguridad en WordPress

Scripts Anulados y la Infección CryptoPHP

Se llama Scripts Anulados (Nulled Scripts) a las aplicaciones web comerciales que han sido modificadas para que funcionen sin una licencia o clave y que puedes obtener desde sitios piratas. Son el equivalente al software pirata. Este tipo de Scripts Anulados incluyen también temas y plugins de WordPress.

Se ha hecho público que estos Scripts Anulados están siendo distribuidos a través de varios sitios con una sofisticada infección pre-instalada. A esta infección pre-instalada la han nombrado CryptoPHP ya que encripta la información antes de ejecutarse.

La infección es relativamente simple: dentro de los scripts anulados hay una pequeña línea de código que luce así:

<?php include(‘assets/images/social.png’); ?>

Si eres un desarrollador PHP, de inmediato reconocerás que luce un poco extraño: Es una directiva PHP para incluir un archivo externo que contiene código fuente PHP, pero el archivo es una imagen. Dentro de este archivo de imagen se encuentra en realidad código PHP oculto, para que pase desapercibido, ya que es en realidad código malicioso.

Se ha determinado que el propósito de este malware es, en este momento, colocar enlaces black-hat SEO hacia sitios maliciosos en tu contenido. Sin embargo, la infección es bastante sofisticada ya que se comunica con servidores de control que pueden indicar un abanico amplio de tareas, incluyendo su propia actualización. Se considera una infección clásica botnet que convierte los sitios infectados en drones a los cuales se les indica qué hacer: desde enviar email spam, enlaces ilegales hasta la ejecución de ataques sobre  otros sitios.

Este tipo de infecciones no sólo afecta a WordPress, también afecta a Drupal y Joomla.

Es importante proteger tus sitios, te recomendamos la herramienta de seguridad SiteLock.