Como todos saben, WordPress es un CMS que vive actualizándose constantemente, cuando no lo actualizamos, corremos riesgos de que alguien pueda entrar y manipular el sitio a su gusto. El día de ayer me llamó un cliente con que su sitio web hecho en wordpress, redireccionaba a otra URL. En este caso su sitio web redirecciona a http://gualdacatas.com

 

Me pasé un buen rato googleando y no encontré nada al respecto, es por ello que me puse a investigar un poco más el comportamiento del sitio.
Revisando el FTP, me topé con carpetas que no tenían nada que ver con WordPress

 

 

Obviamente el sitio había sido infectado y tenía un script que redireccionaba a otro sitio.
El paso siguiente fue borrar todos esos directorios, para ver si así podía evitar la redirección, pero no funcionó. Es por ello que acudí al depurador de Firefox.

Algo a aclarar, es que esta redirección solo se realizaba 1 sola vez, por lo que para volver a ver esta anomalía, debía limpiar caché o entrar con la navegación privada.

Al inspeccionar el comportamiento de la página, me topé con esto:

 

Me pareció muy raro… estaba todo en hexadecimal… decidí pasar todo a ASCII para saber de que se trataba

 

 

Como se puede ver en la imagen, era un script que ejecutaba la URL: http://keit.staticweb.tk/z5z4vQ
Al entrar a esa URL me topé con lo siguiente:

 

Que es justamente a la web que me estaba redireccionando… Teniendo esto, ya tenía más herramientas para Googlear. Y me topé con que “keit.staticweb.tk” es un falso plugin de WordPress llamado _bb_press que redirecciona a otros sitios, como pornográficos, entre otros…

Ahora viene la parte divertida… Encontrar y romper esa redirección.

Al tratarse de un Plugin falso, simplemente fui directo al directorio de plugins que está en wp-content/plugins y me encontré con uno llamado press_test515215 por razones obvias, supe que era ese.

 

 

Al entrar a la carpeta de ese plugin, había un archivo llamado press_test515215.php en su interior incluía a otro archivo más

Al abrir este Segundo archivo me topé con esto:

 

Y ahí lo tienen! Esa era la redirección que estaba haciendo el WordPress. Solucionarlo fue fácil. Solo basta con borrar el plugin y el sitio dejará de redireccionar.

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">