Manuales para Mancos: Virus en WordPress

Buenos días a casi todos,

Seguro que algunos de los blogueros lo sufristeis, hace un tiempo exactamente 3 semanas que Vaya vorágine fue atacado por un script que bloqueaba la web … Algún hijo de perra se dedico a tocar las pelotas a los usuarios, bueno la verdad es que me volví un poco loco, pero ayer conseguí recuperar todo y hoy he decidido contaros como hice todo el proceso …

Lo primero que pasa es que Google te clasifica como sitio que alberga (oyoyyoooyo) Malware. Si esto te ocurre posiblemente estés sufriendo un virus en tu wordpress…

Recomiendo pasar lo primero esta herramienta: Sucuri con esto sabréis exactamente que esta pasando en vuestro site.

Bien voy a guiaros en el proceso de eliminación del virus:

Fase 1 – Ficheros

Eliminad los siguientes ficheros:

wp-content/uploads/.*php (random PHP name file)
wp-includes/images/smilies/icon_smile_old.php.xl
wp-includes/wp-db-class.php
wp-includes/images/wp-img.php

Características  del código malicioso :

Suele ir acompañado de la función “eval(base64_decode “ …

 php $XZKsyG=’as’;$RqoaUO=’e’;$ygDOEJ=$XZKsyG.’s’.$RqoaUO.’r’.’t’;$joEDdb
=’b’.$XZKsyG.$RqoaUO.(64).’_’.’d’.$RqoaUO.’c’.’o’.’d’.$RqoaUO;@$ygDOEJ(@$j
oEDdb(‘ZXZhbChiYXNlNjRfZGVjb2RlKCJhV1lvYVhOelpY… (String muy largo ¡! )…

Dentro de la carpeta plugins “Akismet” si tenéis alguno de estos ficheros, a borrar  ¡!!

akismet/wp-akismet.php
akismet/db-akismet.php
wp-pagenavi/db-pagenavi.php
wp-pagenavi/class-pagenavi.php
podpress/ext-podpress.php
tweetmeme/ext-tweetmeme.php
excerpt-editor/db-editor.php
akismet/.akismet.cache.php
akismet/.akismet.bak.php
tweetmeme/.tweetmem.old.php

Fase 2 – Base de datos

Bien si limpiáis todos los archivos y os sigue pasando entonces tenéis un problema en la base de datos, pues nada oye a eliminar las siguientes entradas:

delete from wp_options where option_name = ‘class_generic_support’;
delete from wp_options where option_name = ‘widget_generic_support’;
delete from wp_options where option_name = ‘fwp’;
delete from wp_options where option_name = ‘wp_check_hash’;
delete from wp_options where option_name = ‘ftp_credentials’;
delete from wp_options where option_name = ‘rss_7988287cd8f4f531c6b94fbdbc4e1caf’;
delete from wp_options where option_name = ‘rss_d77ee8bfba87fa91cd91469a5ba5abea’;
delete from wp_options where option_name = ‘rss_552afe0001e673901a9f2caebdd3141d’;

Fase 3 – Levantar el Baneo

Cuando tengáis eliminado el virus del wordpress os vais al panel de control y pedís una reconsideración del sitio web.

Listo ¡! Ya teneis arreglado vuestro site, espero haberos ayudado un poco y que no os hayais vuelto locos como me volvi yo ¡!

Artículos que me han ayudado :

• Limpieza base de datos
• Limpieza del virus fichero

Un abrazo si camiseta ¡!