Desinfectar web hackeada por el plugin Yuzo related
El plugin Yuzo Related Posts, que está instalado en más de 60,000 sitios web, se eliminó del directorio de plugins de WordPress.org el 30 de marzo de 2019 después de que una vulnerabilidad no parcheada fuera divulgada públicamente e irresponsablemente por un investigador de seguridad ese mismo día. Hoy 10 de abril de 2019 esta vulnerabilidad esta siendo explotada masivamente, seguramente con un script que rastrea los sitios vulnerables y si es vulnerable inyecta un codigo javascript que contiene publicidad
Este es el código desofuscado, pero los atacantes lo están inyectando a través de un eval(String.fromCharCode
¿Como desinfecto mi web?
Lo primero que debes hacer es eliminar el plugin de tu WordPress
Después para remover el código lo que tienes que hacer es insertar este código SQL para eliminar la tabla donde está el javascript ofuscado, que es lo que hace que tu web cargue la publicidad
El creador del plugin ya ha corregido las vulnerabilidades y el equipo de plugins de WordPress ya está revisando la nueva versión.
El creador ha publicado un link con la nueva versión (que podéis descargar aquí)
Lo recomendable es esperar a que el equipo de plugins de WordPress lo revise y mantener el plugin alejado de nuestro WordPress, en las próximas horas o días estará de vuelta en el repositorio
Bonus: Si te gusta la seguridad o quieres probar esta vulnerabilidad, aquí tienes información para hacer una prueba de concepto 🙂
