TrafficAnalytics, la nueva amenaza que atenta contra WordPress

Por la gran fama que ha obtenido WordPress, los ojos de los hackers han volteado hacia él. Pero gracias a la gran cantidad de desarrolladores que trabajan tras el proyecto, se han podido erradicar los problemas y cualquier amenaza rápidamente.

No es extraño conseguir noticias donde notifiquen acerca de nuevas amenazas; y es por esto que se ha encontrado una nueva amenaza bajo el nombre de TrafficAnalytics. La cual, consiste en un código inyectado que redirige al visitante hacia sitios con un alto potencial de peligro.

¿TrafficAnalytics es acaso una mutación de RealStatistics?

Pues sí. Hace algunos meses, hablábamos de una amenaza que llevaba el nombre de RealStatistics; de la cual, recientemente ha sido descubierta esta nueva variación. A primera vista, pareciera que habláramos de un código usado con el fin de analizar el tráfico en un sitio web; pero la verdad, es que en nada se relaciona.

Según, se han detectado varios sitios web infectados con dicho código. Esa fracción de código puede encontrase en archivos como: “wp_posts” de la base de datos de WordPress, o en “header.php” del template. El código que suelen insertar es este:

¿Cómo trabaja este tipo de infección?

El objetivo de este código es redirigir a los visitantes a otro sitio web que estará lleno de códigos de descarga, spam y anuncios. Para lograr su objetivo, el código redirecciona a los usuarios mediante una serie de dominios intermedios hasta conseguir que este se encuentre en esa última página.

Esta última página posee descargas que pueden llegar a infectar los equipos de los usuarios. Estas infecciones le generan ganancias a los agresores a través de enlaces afiliados.

Search-Replace-DB

Fue descubierto un archivo vulnerable con el nombre de “searchreplacedb2.php“; que se encontraba en muchos de los sitios que fueron infectados.

A pesar de que el nombre del archivo no siempre es el mismo, siempre se encontraba en el directorio raíz de la página web.

Consiste en una aplicación legítima que se utiliza para ubicar y sustituir información en la de base de datos del sitio. Una vez que ha sido utilizada, deberá ser eliminada para que no aparezca el problema. En caso de que no se elimine, Google la indexará y estará al alcance de los hackers.

Esta herramienta trabaja de manera muy sencilla. La monta en el servidor, y a través de un navegador web, éste le permite acceder a ella. La aplicación se enlaza a la base de datos a través de los archivos de configuración; brindando una interfaz bastante simple para que se puedan generar los cambios que se deseen en la base de datos. Bastante peligroso ¿no?.

Si has utilizado alguna de estas herramientas, y notas que tu página web está haciendo redirecciones no deseadas, deberás buscar el código que está generando estas acciones. Y por último, no te olvides de borrar los script que has utilizado de terceros para hacer alguna acción puntual.