¿Usuario de Elementor Pro? ¡Tienes que leer esto!

WordPress ha impulsado mi negocio en línea durante los últimos siete años y podría decirse que es la herramienta más esencial en el arsenal de cualquier SEO.

Con un número estimado de instalaciones que superan los 455 000 000, el 35 % de los propietarios de sitios web aparentemente están de acuerdo.

Innumerables complementos y combinaciones de temas lo convierten en la plataforma perfecta para que los menos "expertos en tecnología" hagan realidad sus ideas y las presenten frente a una audiencia en línea.

Lamentablemente, esto también convierte a WordPress en un objetivo para los vendedores de "sombrero negro" sin escrúpulos que piratean su sitio para que haga algo que se supone que no debe hacer, una hazaña que recientemente lograron a gran escala.

Como usuario de Elementor Pro, existe la posibilidad de que ya te hayan mordido...

Y probablemente no seas más sabio.

Vulnerabilidad de Elementor Pro

El 6 de mayo, Wordfence publicó este artículo explicando cómo 1 millón de sitios podrían estar en riesgo de sufrir un ataque activo.

Los atacantes estaban utilizando una debilidad en la seguridad de Elementor Pro para redirigir maliciosamente a sus visitantes a sus propios sitios o incluso tomar el control de su sitio web por completo.

El equipo de Elementor corrigió rápidamente la falla y se alentó a los usuarios a actualizar a la última versión lo antes posible.

La actualización proporcionó tranquilidad a muchos, incluido yo mismo, hasta que descubrí que el atacante ya había obtenido acceso a una gran cantidad de sitios que administro y que la actualización no supondría la menor diferencia.

Si su sitio ya se ha visto comprometido, la actualización NO lo solucionará.

¿Qué podría hacer un hacker con mi sitio?

Cuando se ejecuta con éxito, este ataque en particular instala un webshell llamado "wp-xmlrpc.php" (se llama así para mezclarse con los archivos de su sistema)

Un webshell le da al atacante acceso completo a su sitio y, a menudo, a su servidor, lo que significa que puede:

• Agregar, cambiar o eliminar contenido
• Insertar enlaces para valor SEO
• Redirigir su tráfico a su propio sitio
• ¡Elimina todo!
• … Prácticamente cualquier otra cosa que se te ocurra

Sin mencionar que, si está utilizando WooCommerce, el atacante puede tener acceso a algunos de los datos de sus clientes.

¿Cómo puedo saber si he sido Hackeado?

No es necesario ser un mago técnico para saber si su sitio se ha visto afectado.

Solo sigue estos pasos:

1. Verifique los usuarios de WordPress

Un nuevo usuario en su sitio suele ser la primera señal de que alguien ha intentado explotar la vulnerabilidad de Elementor Pro.

Un claro indicio es si recibió un correo electrónico de su sitio de WordPress informándole que se creó un nuevo usuario alrededor de la primera semana o dos de mayo.

En primer lugar, inicie sesión en su área de administración de WordPress con su cuenta de administrador y navegue hasta "Usuarios".

Compruebe si hay nombres de usuario sospechosos o desconocidos.

La seguridad de WebARX publicó una lista de todos los nombres de usuario conocidos utilizados en el ataque hasta el momento.

Si ve uno de los nombres de usuario en su panel, salte directamente a Si ha sido pirateado.

Importante : el hecho de que no haya un nombre de usuario sospechoso no significa que su sitio sea seguro.

2. Revisa tus archivos

Puede examinar sus archivos de WordPress usando FTP/SFTP/Administrador de archivos.

En su carpeta raíz de WordPress (generalmente la primera carpeta que ve al iniciar sesión), busque un archivo llamado wp-xmlrpc.php.

Si este archivo existe, el atacante ha logrado obtener acceso. Es poco probable que simplemente eliminar el archivo en este punto sea útil.

También debe consultar /wp-content/uploads/elementor/custom-icons/

Cualquier archivo aquí que no reconozca como algo que cargó probablemente fue colocado allí por un atacante.

Específicamente, busque:

• wpstaff.php
• demostración.html
• Leer Mw.txt
• config.json
• iconos-referencia.html
• selección.json
• fuentes.php

3. Ejecute un análisis de seguridad

Si usa un host de WordPress administrado como WPEngine, WPX Hosting, SiteGround, etc., generalmente podrán hacerlo por usted.

Por lo general, esto es preferible a ejecutar su propio análisis con Wordfence o Sucuri, ya que su host puede tener acceso a los archivos del sistema de análisis que estos complementos no verían de otro modo.

Los populares complementos de seguridad gratuitos de WordPress generalmente pueden detectar un cambio en los archivos principales de WordPress, pero no interprete un resultado de escaneo limpio como una garantía de que su sitio es seguro.

Un Firewall generalmente protege a los suscriptores pagos de dichas herramientas, y existe una mayor probabilidad de que el ataque falle.

5. Visite su sitio

¿Ha visitado su propio sitio últimamente y ha sido redirigido a otro?

Se desconoce exactamente cómo funciona este redireccionamiento malicioso.

Visite su sitio usando estos métodos:

• Usar otros navegadores en modo Privado/Incógnito
• Visite su sitio usando un proxy
• Haga clic en su sitio desde Google o las redes sociales

Si alguno de estos resulta en una redirección a algo que no sea su propio sitio web, probablemente haya sido pirateado.

Si te han pirateado o no estás seguro

Retroceder a una versión anterior

Muchos servidores web ofrecen copias de seguridad de 14 a 30 días. Con suerte, este artículo lo encontrará a tiempo si se ha visto afectado, lo que le permitirá revertir su sitio a una fecha anterior al ataque.

Nota : si sus copias de seguridad están almacenadas en su servidor utilizando algo como Updraft, existe la posibilidad de que también se infecten.

Descubrir cuándo fuiste atacado

De forma predeterminada, WordPress no mostrará las fechas y horas de registro de los usuarios.

Instale un complemento llamado Admin Columns.

En la configuración del complemento, habilite la columna 'Registro' para 'Usuarios'.

Ahora, cuando navegue a la página de 'Usuarios' de WordPress, una nueva columna mostrará la fecha en que se creó el usuario malicioso.

Alternativamente, si tiene los registros de acceso al servidor, puede buscar la entrada "wpstaff.php".

Revierta su sitio a una copia de seguridad creada antes de la fecha y hora del ataque.

Una vez que se restablezca la copia de seguridad, actualice sus complementos lo antes posible para evitar otro ataque.

Luego, verifique nuevamente el usuario y los archivos maliciosos.

Soporte de hospedaje administrado

Si tiene un host administrado como los enumerados anteriormente, hable con su soporte sobre las medidas de seguridad y si ofrecen limpieza de malware.

Hosts como WPX Hosting y WPEngine incluyen esto gratis con todos los paquetes.

Servicio de limpieza

Muchos servicios de eliminación de malware "hechos para usted" ya han informado sobre el problema reciente de Elementor Pro.

Algunos se enumeran aquí, haga su propia investigación ya que no los he probado personalmente, ni estoy afiliado:

• https://www.wordfence.com/wordfence-site-cleanings/
• https://www.getastra.com/website-cleanup-malware-removal
• https://sucuri.net/website-security-platform/help-now/

Reconstruir

Parece una medida drástica, pero si estaba pensando en reconstruir su sitio de todos modos, ahora es una oportunidad perfecta para comenzar desde cero.

De esa manera, estará seguro de que no tiene ningún archivo malicioso al acecho en segundo plano.

Solo asegúrese de usar una cuenta de instalación o alojamiento diferente.

Prevención de un hackeo

Es difícil evitar un ataque cuando no se sabe de antemano qué complementos contienen vulnerabilidades.

Algunos consejos básicos para prevenir futuros ataques:

• Use un host de WordPress administrado: generalmente tienen escaneo y eliminación de malware, y fortalecen sus instalaciones de WP de forma predeterminada (al evitar la ejecución de archivos PHP en carpetas de carga)
• Mantenga actualizados los complementos, los temas y el núcleo de WordPress
• Utilice un complemento de seguridad. Como mínimo, habilite el endurecimiento de Firewall y WordPress. WordFence Premium, Sucuri y WebARX son todas buenas soluciones.
• Ejecute WPScan o verifique WPVulnDB en busca de complementos y temas vulnerables que pueda estar usando.

¿Tu sitio de WordPress fue hackeado?

¿Cómo abordaste el problema?

Háganos saber en los comentarios.