Hace poco me encontré con un problema en mi sitio web con WordPress, cuando hacia clic en algunos enlaces o publicidad de Google Adsense, sucedía que me arroajaba en cualquier navegador que usara, ya sea Chrome o Edge a un sitio web malicioso: best-winplace.life
Entonces me di a la tarea de investigar y resulta ser que mi sitio web se infecto por un virus que inyectaba código malicioso, asi que busque algun plugin de WordPress que me pudiera identificar ese Virus que infecto mi sitio.
El plugin que utilice fue:
WordPress Malware Scanner
Este plugin me ayudo a detectar el problema y este fue el resultado:
=======================================================================
Quttera Web Malware Scanner plugin for WordPress
Website Malware Scan Report
Scanned Website: https://www.spek-regg.com
Scan type: Internal
Report generation time: 2022-08-13 04:42
Scan launch time: 2022-08-13 00:37
Scanned files: 18312
Clean: 18303
Potentially Suspicious: 0
Suspicious: 7
Malicious: 2
© 2021 Quttera Ltd. All rights reserved.
For any questions about this report: support@quttera.com
=======================================================================
FILE: wp-load.php
FILE_MD5: 51513e4f3abc8845bddff5efb4f50390
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: 51513e4f3abc8845bddff5efb4f50390
THREAT_NAME: Heur.CoreFile.gen
THREAT: Modified core file…
DETAILS: Detected modified core file
FILE: wp-rename.php
FILE_MD5: b0e4e7cf4bc5c1c1f30d93382b690820
SEVERITY: enMaliciousThreatType
ENGINE: fscanner
THREAT_SIG: 4de7e2d42403e12e04a90f1ac852ddad
THREAT_NAME: Trojan.PHP.Shell.gen.220
THREAT: <?php /** * * Safe Search and Replace on Database with S…
DETAILS: Detected malicious PHP shell
FILE: wp-admin/php.ini
FILE_MD5: 8a4e0683bb264ca29e03fcf4219c4219
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: 8a4e0683bb264ca29e03fcf4219c4219
THREAT_NAME: Heur.AlienFile.gen
THREAT: Unknown file in core directory…
DETAILS: Detected unknown file in core directory
FILE: wp-admin/error_log
FILE_MD5: 253c135d0ddcd71be67b8dc42be33a04
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: 253c135d0ddcd71be67b8dc42be33a04
THREAT_NAME: Heur.AlienFile.gen
THREAT: Unknown file in core directory…
DETAILS: Detected unknown file in core directory
FILE: wp-includes/error_log
FILE_MD5: dd48a3df3f5f98ec005e0ca6717fbb74
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: dd48a3df3f5f98ec005e0ca6717fbb74
THREAT_NAME: Heur.AlienFile.gen
THREAT: Unknown file in core directory…
DETAILS: Detected unknown file in core directory
FILE: wp-includes/.htaccess
FILE_MD5: 83c059a741ce3c1a46bde1a66216656e
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: 83c059a741ce3c1a46bde1a66216656e
THREAT_NAME: Heur.AlienFile.gen
THREAT: Unknown file in core directory…
DETAILS: Detected unknown file in core directory
FILE: wp-admin/includes/error_log
FILE_MD5: a1dbf5d5e7cad42cd8675c75023ff631
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: a1dbf5d5e7cad42cd8675c75023ff631
THREAT_NAME: Heur.AlienFile.gen
THREAT: Unknown file in core directory…
DETAILS: Detected unknown file in core directory
FILE: wp-content/languages/plugins/akismet-es_ES.po
FILE_MD5: 3d476445ab8f143920461bc9c21553b8
SEVERITY: enSuspiciousThreatType
ENGINE: fscanner
THREAT_SIG: 3d476445ab8f143920461bc9c21553b8
THREAT_NAME: Heur.CoreFile.gen
THREAT: Modified core file…
DETAILS: Detected modified core file
FILE: wp-content/plugins/zend-fonts-wp/zend-fonts-wp.php
FILE_MD5: 0932f2e323d6c7b2a05422f722ea3ad2
SEVERITY: enMaliciousThreatType
ENGINE: fscanner
THREAT_SIG: ccaf1647fe75c34d4112b763b94216ff
THREAT_NAME: Trojan.PHP.Redir.gen.444
THREAT: function redirect() { $url = base64_decode(‘Y2FydG9vbm1pbmVz…
DETAILS: Detected malicious PHP code
Resulta que los registros que están rojo eran malware, se instalaron un archivo y un Plugin que inyectaban Malware, para solucionarlo solo tuve que borrar el archivo wp-rename.php del directorio raiz y la carpeta wp-content/plugins/zend-fonts-wp/ desde mi cliente FTP.
Estoy documentando esto ya que no encontré una solución fácil a este problema o algún registro de el, seguramente esto sucedió por un descuido de dejar alguna contraseña guardada en el navegador o dejar alguna sesión abierta en algún lugar por descuido.
Les dejo este sitio web donde encontre algo de informacion sobre el Malware que me infecto: Fake Zend Plugin – WordPress Security (linkedin.com)
Espero este articulo sea de ayuda y si a ti también te sucedió puedes compartir tu experiencia en los comentarios.
Soy Florian y trabajo para BLACK360DIGITAL.COM, acabamos de tener un problema similar en el sitio de un cliente y este articulo nos da una solucion que vamos a comprobar ahorita ahorita! Gracias!
Muy bien, nos avisas si te funciono esa solución, Saludos