Ataque en WordPress por WP GDPR Compliance como solucionarlo

Si no puedes acceder a tu administrador de wordpress porque te redirecciona a otra web te muestro la manera más directa y efectiva de solucionarlo.

El plugin WP GDPR Compliance ha sido el causante de que muchas webs hechas con wordpress estén infectadas de varias formas una de ellas es una redirección cuándo vas a loguearte en tu administrador a una web llamada erealitatea.net te impide entrar en tu administrador.

Este tipo de ataque que te redirecciona a otra página o que no te deja entrar a tu login frustra mucho, así que tranquilidad, abre el editor de código y ve a por ello.

Esta vez el agujero de seguridad ha sido hecho con WP GDPR Compliance pero puede ser cualquier plugin que instales, en este caso era un plugin muy popular del repositorio de WordPress ( lo han retirado) y había sido recomendado por mucha gente, las vulnerabilidades están ahí y la mejor manera que tenemos para enfrentarnos a ellas es con la cabeza fría y sabiendo a que recurrir en cada caso.

Si te han hackeado tu web con este método esta solución la podrás aplicar a situaciones similares.

Como quitar la redirección a erealitatea.net de tu WordPress

Para quitar la redirección a erealitatea.net necesitas:

Acceso a tu panel de hosting:

• Al administrador de archivos o FTP
• Acceso a la base de datos de tu blog por PHP myAdmin u otro gestor de bases de datos

Vamos a borrar el plugin que está causando el problema de la redirección:

Carpeta principal > wp-content > plugins > wp-gdpr-compliance

Es importante borrar el plugin wp-gdpr-compliance lo primero porque estos ataques trabajan con cron jobs (tareas) y si dejas el plugin en unas horas volverás a tener tu web hackeada.

Vamos a entrar en la base de datos y a sustituir la redirección

Uso plesk, cada servidor o hosting es diferente pero el acceso a la base de datos lo tienes que tener porque es un requisito mínimo del hosting para wordpress

Ahora vamos a PHP my Admin para reemplazar la redirección

Elige la base de datos de tu blog, si tienes varias tablas que sean _options, te recomiendo que visites todas por si han infectado alguna más, en los sitios que son multisite que me he encontrado 4 sólo ha infectado al que tiene el superadmin.

En este caso podemos deducir que la redirección está en la tabla wp_options que controla opciones como elegir la home, si quieres dejar que se registren, la descripción …

Pinchamos en mi caso tengo renombradas las tablas y en lugar de ser wp_options es 54454_options, dependiendo de cada webmaster tendrán un nombre diferente pero el prefijo normal es wp_

Como vemos ha sustituido en la fila que designa la url de nuestra web por erealitatea.net

Pinchamos en editar y ponemos la url de nuestra web para quitar la redirección.

Y ya está nos hemos librado de este malware de forma fácil, ahora ve a tu blog y vacía la caché y entra sin problemas por tu admin.

En caso de que tengas muchas webs te dejo la query explicada para que la hagas directamente por SQL y soluciones rápido el hackeo cuidado con las comillas y sustituye datos.

UPDATE '(pon el prefijo a la tabla si usas ej; blog_wp-options)wp_options' SET option_vaue = 'http://tublog.com' WHERE option_name = 'siteurl';

Si quieres descarga un plugin antimalware por si tienes que seguir limpiando.

Usuario malicioso en  Wordpress por WP GDPR Compliance

Otra manera de atacar es que WP GDPR Compliance instalaba un usuario malicioso, la manera de eliminarlo es a mano desde el administrador de wordpress o si tienes PHP my Admin abierto ve a la tabla wp_users y lo borras, hay quién dice que se llama troll no se qué y de paso si ves usuarios que quieres quitar más rápido no lo vas a hacer nunca jajaja.

Si has tenido el plugin y no te ha redireccionado puede que tengas el usuario, yo lo he escuchado pero no lo he visto.

Problemas que presenta este tipo de Malware y hackeo

El problema es que ante este tipo de ataques es que puedes tardar bastante tiempo en darte cuenta si no eres una persona que administre la web, publiques normalmente o que trabajes en ella, esto puede hacer desde que tengas a tu web minando criptomoneda a que logren entrar cambiar el login y puedas perderla.

Otro problema es que dejen “bombas de tiempo” y que dentro de un mes estemos igual, por lo que te recomiendo que lo tomes mucha calma y piensa que esto es parte de WordPress.

Este tipo de hackeos son campañas de SEO o de Black Hat ya que buscan enlazar y redirigir mucho tráfico a una web de golpe.

Esta solución la deduje tras tirarme de los pelos con una amiga el día anterior, que quitamos todos los plugins, renombramos el .htaccess y no hubo tu tía… al día siguiente me pasó en varias webs y busqué el nombre de la erealitatea en la base de datos.

Con esto no te quiero animar a tocar las bases de datos, pero si que te familiarices con ellas ya que hay muchas operaciones en tu web que las puedes hacer muy rápido como si estuvieses en un excell, por ejemplo optimizar todas las descripciones del Yoast