Mi blog de WordPress por diversión en http://fakeplasticrock.com (ejecutando WordPress 3.1.1) fue pirateado: mostraba un <iframe>
en cada página así:
<iframe src="http://evilsite.com/go/1"></iframe>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
Hice lo siguiente
- Actualizado a 3.1.3 a través del sistema de actualización de WordPress incorporado
- Instalé el Exploit Scanner (muchas advertencias críticas en archivos inusuales) y AntiVirus (esto mostró todo verde y limpio, así que lo desinstalé y lo eliminé después de ejecutarlo)
- Se cambió la contraseña de MySQL.
- Cambió todas las contraseñas de usuario de WordPress.
- Conectado a través de FTP y descargado todo el sistema de archivos (no es grande, este es un host compartido de Linux solo para WordPress)
- Diffed el sistema de archivos en contra de una postal oficial de WordPress 3.1.3 y eliminado o sobrescrito nada que no coincidía.
Estoy bastante seguro de que
- todos los archivos en el disco son archivos oficiales de WordPress 3.1.3
- no hay archivos "adicionales" en el disco que no sean el mío
/theme
, el complemento Exploit Scanner (que acabo de descargar), la/uploads
carpeta y un puñado de otros archivos esperados. Mi otro complemento, wp-recaptcha, coincide con la versión oficial descargada actual. - También revisé el
.htaccess
archivo y no hay nada mal allí
No toqué la base de datos , pero me cuesta pensar cómo algo en la base de datos podría ser malicioso sin un código PHP especial para que funcione.
Mi blog de WordPress parece estar bien y sin pirateo ahora (creo), pero ¿hay algo más que deba verificar?