¿Como se pueden eliminar definitivamente entradas RSS Feed?

Toooooony

Lanero Reconocido
13 Jun 2005
2,781
Saludos,

Debido a que tuve un problema con un sitio al que se le inyecto un codigo malioso que hizo que se crearan nuevas entradas rss. Son seis, quisiera saber como eliminarlas de wordpress.

Las urls son algo asi:


Gracias por la ayuda.

Tiene backup de la página? lo mejor sería limpiar todo y volver a instalar.

No es solo eliminar las entradas sino la infección completa. Ese "malware" se replica y camufla entre tantos archivos cómo sea posible.

De lo contrario le sugiero:

- copiar sus temas, db y carpeta de uploads (tomar nota de los plugins instalados, etc. especial cuidado con los plugins pagos, pueden requerir acciones previas antes de desinstalarlos)
- reinstalar wordpress limpio y volver a pegar lo copiado. (aún no instalar plugins)
- instalar https://www.wordfence.com/ en su versión gratuita es muy útil. Hacer el scan y ahí le va a detectar código malicioso.

Con Wordfence hay que tener cuidado porque hay archivos "sueltos" (del hack) que son facilmente identificables y se pueden eliminar (ejemplo, archivos PHP en la instalación de Wordpress que se saben no hacen parte de Wordress o archivos de Malware claramente identificados). PERO generalmente también hay archivos propios de los temas y/o plugins que han sido infectados (archivos que sí pertenecen a su página/wordpress pero ahora tienen código malicioso)

Los infectados serán archivos de PHP y JS generalmente, pero también hay casos de imágenes y todo tipo de archivos. Wordfence le mostrará una advertencia, si accede a borrarlos, puede estar mochando temas y plugins y queda más jodido. Ahí lo que hay que hacer es ubicar esos archivos infectados manualmente abrirlos y eliminar el código del hackeo. Por lo general se encuentra al final de su archivo ejmplo:

...ultima línea de código
}

$function(var(xyzdadsdsdsdda{{{sdsjdksd}}})....

^una vaina así. (en archivos JS). Algo parecido en PHP.

Cómo precaución, para todos los archivos JS, puede añadirles // al final

...ultima línea de código
} //


Con eso, si llegase a ser "infectado" el código que sea inyectado quedará cómo comentario. No es infalible pero es algo muy sencillo y útil. Eso sí, el problema es hacerlo en absolutamente todos los JS del sitio que puede ser un número considerable.

De vuelta a Wordfence, tiene bastantes opciones para prevenir hackeos, tiene opciones de hardening (para prevenir acceso a ciertas carpetas), bloqueos de IP, notificaciones por email, etc etc... El único "problema". Hay gente que lo considera un lastre para la carga de la página y/o el hosting. (que es pesado, añade una carga adicional a las visitas de la página, etc) Dependiendo de la capacidad de su hosting y el tamaño de la página el escaneo puede colgarse y hay que repetirlo un par de veces, etc. En mi opinión, lo vale. Y si no, también hay plugins parecidos a considerar.

Entre otras cosas, con Wordfence u otro plugin, activar 2FA.

Tony.
 
  • Me encanta
Reacciones: CarlosImb

CarlosImb

Lanero Reconocido
3 Oct 2005
2,382
Tiene backup de la página? lo mejor sería limpiar todo y volver a instalar.

No es solo eliminar las entradas sino la infección completa. Ese "malware" se replica y camufla entre tantos archivos cómo sea posible.

De lo contrario le sugiero:

- copiar sus temas, db y carpeta de uploads (tomar nota de los plugins instalados, etc. especial cuidado con los plugins pagos, pueden requerir acciones previas antes de desinstalarlos)
- reinstalar wordpress limpio y volver a pegar lo copiado. (aún no instalar plugins)
- instalar https://www.wordfence.com/ en su versión gratuita es muy útil. Hacer el scan y ahí le va a detectar código malicioso.

Con Wordfence hay que tener cuidado porque hay archivos "sueltos" (del hack) que son facilmente identificables y se pueden eliminar (ejemplo, archivos PHP en la instalación de Wordpress que se saben no hacen parte de Wordress o archivos de Malware claramente identificados). PERO generalmente también hay archivos propios de los temas y/o plugins que han sido infectados (archivos que sí pertenecen a su página/wordpress pero ahora tienen código malicioso)

Los infectados serán archivos de PHP y JS generalmente, pero también hay casos de imágenes y todo tipo de archivos. Wordfence le mostrará una advertencia, si accede a borrarlos, puede estar mochando temas y plugins y queda más jodido. Ahí lo que hay que hacer es ubicar esos archivos infectados manualmente abrirlos y eliminar el código del hackeo. Por lo general se encuentra al final de su archivo ejmplo:

...ultima línea de código
}

$function(var(xyzdadsdsdsdda{{{sdsjdksd}}})....

^una vaina así. (en archivos JS). Algo parecido en PHP.

Cómo precaución, para todos los archivos JS, puede añadirles // al final

...ultima línea de código
} //


Con eso, si llegase a ser "infectado" el código que sea inyectado quedará cómo comentario. No es infalible pero es algo muy sencillo y útil. Eso sí, el problema es hacerlo en absolutamente todos los JS del sitio que puede ser un número considerable.

De vuelta a Wordfence, tiene bastantes opciones para prevenir hackeos, tiene opciones de hardening (para prevenir acceso a ciertas carpetas), bloqueos de IP, notificaciones por email, etc etc... El único "problema". Hay gente que lo considera un lastre para la carga de la página y/o el hosting. (que es pesado, añade una carga adicional a las visitas de la página, etc) Dependiendo de la capacidad de su hosting y el tamaño de la página el escaneo puede colgarse y hay que repetirlo un par de veces, etc. En mi opinión, lo vale. Y si no, también hay plugins parecidos a considerar.

Entre otras cosas, con Wordfence u otro plugin, activar 2FA.

Tony.
Compañero, gracias por su tiempo y la respuesta tan generosa.

Ya he hecho escaneo con la wordfence y de hecho con otras herramientas he realizado el proceso de detectar si existe malware o virus. Sin embargo todos dicen que esta limpio, incluso las propias entradas.

Voy igual a hacer nuevamente el proceso.

Estoy sospechando de un plugin que nos hizo un desarrollador. Es un conocido mio de hace 15 años y sé que no es algo adrede pero me imagino que tal vez tiene alguna puerta abierta. Igual lo escanee y tampoco se detecto nada.

Es un trabajo paso a paso y por ahora tambien quiero blindar al sitio. Lo del 2FA voy a investigar.

Saludos y nuevamente muchas gracias por la ayuda.
 
  • Me gusta
Reacciones: Toooooony

Los últimos temas