Un caso de malware, ataque X-XSS, un script de un theme. Tengo la suerte de trabajar por estos dias en una gran Compañía de Hosting. Ahí suelo prestar asesoría en marketing web, SEO, SEM Y de aportar mi experiencia como blogger y webmaster a la hora de solucionar inconvenientes con los sitios web.Todos los sitios tienen una vulnerabilidad xss que involucra la versión vieja de php, wordpress, plugins.
Un asesor de soporte técnico me consultó sobre si litespeed interferia con los CSS. Yo le contesté que si y sólo si tenían instalado el plugin de caché de dicha empresa y no lo configuraron correctamente. Resulta que no tenía el plugin instalado. Fui al código fuente y encontré un código 402 en un fichero css del theme. Todos los indicios apuntaban a que era algo nocivo en la plantilla, juzgaba yo sin mayores elementos de juicio.
Mucho más tarde supe que el sitio (y otros mas de 99 páginas web adicionales alojadas en mismo server, con las mismas características y temas) estuvo sometido a continuos ataques y que para mitigarlo le instalaron el litespeed de prueba.
Empezamos el ejercicio de ingeniería inversa para saber qué pudo haber sucedido.
Más de 100 sitios en un servidor dedicado, todos con una versión desactualizada de WordPress, una versión antigua de Php y sin ningún tipo de seguridad configurada en los sitios.
Luego de varias revisiones concluí que era un ataque de X-xss, un tipo de ataque que busca vulnerabilidades en los script, no para robarse el estilo (para nada) sino para apoderarse de información confidencial, de los formularios y bases de datos respectivamente.Puede suceder desde afuera hacia adentro, cuál era el caso inicial, consumiendo los recursos del servidor y ralentizando los procesos. Al momento de instalar litespeed, el sistema actuó como firewall, desviando y atenuando la magnitud del ataque.Pero quedaron archivos o líneas de código infectando los sitios y haciendo que fallen de manera poco perceptible.
Vía telefónica se le hicieron varias recomendaciones sobre actualizar el Cms, los plugins, desinstalar los que no usaban, etc etc.
Se sugiere (A la empresa de Hosting)
- Cambiar de litespeed a Apache nuevamente. Blindar el Apache frente a este tipo de amenazas usando un par de líneas de código.
- Elaborar un checklist para compartirlo con los clientes como sugerencias para que implementen en sus sitios web y/O servidores, tanto para seguridad como para optimización de recursos y tiempos de carga.
- Socializar este tipo de prácticas con el departamento de soporte y aun de ventas (a nivel básico).
- Recalcar por todos los medios posibles que la seguridad es importante pero que el 98% de esta recae en el usuario o quien contrata el servicio.
- Crear recursos y ayudas para mejora la seguridad web.
- Lo anterior no garantiza que no hayan intrusiones pero limitan sus alcances y posibilidades nocivas (se reduce la posibilidad de que hayan daños graves)
Al cliente se le recomienda
- Actualizar la versión de Php urgentemente a la 7 (para quienes lean esto en otro tiempo futuro, a la versión mas nueva y estable del mismo lenguaje)
- Limpiar los sitios para prevenir que hayan ficheros infectados, restaurar versiones limpias del Cms, el theme y los plugins.
- Actualizar en todos sus sitios la versión de wordpress a la 4.8 qo la versión que sea la más reciente.
- Actualizar todos plugins que utilice y desinstalar los que no.
- Reforzar la seguridad de sus sitios
- Desactivar los comentarios para entradas de mas de un año para reducir la posibilidad de infección.
- Prevenir que en los comentarios se pueda insertar html, js o css, etc.
- Usar un complemento de caché, que no solo permita optimizar los recursos sino que mejore la velocidad de los sitios. De paso, atrapa muchos intentos de acceso por inyección (Injection)de código malicioso.
Leer tambien: Malware metamórfico y polimórfico ; Error 402 payment required, como solucionarlo wordpress ; Ocultar el número de versión de Php
This post is also available in:
Español
