¿Cómo proteger tu WordPress de TrafficTrade?

Según acaba de trasladar Mark Maunder (CEO/Fundador de Wordfence), desde Wordfence han percibido un aumento significativo en el número de sitios web afectados por malware ‘TrafficTrade‘. Este malware llega a una web con WordPress a través del código javascript que un atacante introduce en el contenido de la web una vez que lo han infectado. A continuación, los visitantes son redirigidos a sitios web que instalan complementos de navegador maliciosos o sirven publicidad de spam.

¿Cómo infecta TrafficTrade un sitio web?

Por el momento, el Equipo de Seguridad de Wordfence, ha visto dos formas de infección para incluir dicho códido en la web víctima:

  1. El primero es, infectar la web dejando el script searchreplacedb2.php. Este es un vector de infección relativamente poco frecuente pero si quieres profundizar en este primer vector de ataque, entra aquí.
  2. El segundo método y mucho más común, es aprovechar esta vulnerabilidad del tema “Newspaper” de WordPress. Esta vulnerabilidad permite inyectar código malicioso en la tabla “wp_options” de WordPress, que redirecciona su tráfico a sitios web maliciosos o campañas publicitarias. Según el Equipo de Seguridad de Wordfence, hay varios temas más que están basados en Newspaper y que sufren esta misma vulnerabilidad.

Desde Wordfence se lanzó una regla de firewall para los clientes Premium hace unos 40 días, lo que impide que estos atacantes exploten el tema de Newspaper. Incluso si tuvieras un tema vulnerable, estarías protegido. Hace unos 10 días, esa regla se puso a disposición de los clientes no Premium también. El 96% de los ataques se produjeron a través del 2º método de ataque, es decir, a través de la vulnerabilidad del tema Newspaper, mientras que sólo el 4% de los ataques vinieron de la mano del script searchreplacedb2.php.

¿Como ha aumentado el ataque de The TrafficTrade.life?

El dominio traffictrade.life se registró el 3 de julio y está protegido por WhoisGuard, una compañía panameña que proporciona servicios de anonimato de registro de dominio.

traffictrade

Desde Wordfence empezaron a ver los ataques que intentaban eliminar el malware con una redirección maliciosa alojada en traffictrade.life a partir del 10 de julio. El número total de ataques por día osciló entre sólo 1 por día hasta 630. Pero fue la semana pasada, cuando los ataques se incrementaron hasta llegar a los 15.000 ataques por día intentando eliminar el redireccionamiento malintencionado traffictrade.life.

De hecho, en Google Trends, se vio un aumento considerable de la palabra “traffictrade” debido a las numerosas consultas de los websmasters de webs infectadas. Las consultas se ha disparado hoy día 8 de Agosto.

Trafficlife en Google Trends

Consultas de Trafficlife en la última semana en Google Trends

Pero, ¿qué es lo que hace el código una vez infectado?

Una vez que se ha infectado con TrafficTrade, se inyecta Javascript en su sitio que se carga desde el dominio TrafficTrade.life. Acto seguido, redirecciona a tus visitantes a un dominio ‘trafficreceiver‘ que luego redirecciona a cualquier campaña que estén ejecutando los malotes. En el caso de la prueba realizada por Wordfence, se redirige a un sitio que desea instalar un complemento de Chrome, probablemente malicioso pero puede ser cualquier acción que estén ejecutando. 

Imagínate si la web infectada es la de un cliente tuyo o tu propia web en la que tengas un ecommerce. No sólo perderás clientes sino que además tendrás una reputación negativa al haber provocado que vayan a una web no solicitada, o lo que es peor, que se infecten con algún complemento o código malicioso.

¿Qué hacer para protegerte?

Debido a que esta infección está tan extendida, desde Wordfence han liberado una detección adicional en el escaneo de malware de Wordfence para detectar una nueva variante de TrafficTrade. Como se han analizado modificaciones en la tabla wp_options de web afectadas, es muy recomendable hacer un escaneo con Wordfence lo antes posible ya que detectará este código ahora.

Esta nueva función está disponible de forma inmediata para los clientes Premium y no Premium de Wordfence en la nueva versión 6.3.16 que se ha lanzado hoy. Simplemente instala Wordfence (si aún no lo tienes) o actualice a 6.3.16 y ejecute un escaneo.

Ahora, y de cara a compartir esta info con amigos o colegas de profesión, puedes compartir esta url y así iremos haciendo llegar esta importante información que, si no te ha afectado ahora, puede afectarte a corto plazo.

Saludos!!

3 Respuestas
  • Raul
    agosto 8, 2017

    Artículo muy interesante!! Tengo un amigo que tenía este problema en su web y ya está manos a la obra para solucionarlo, después de leer el artículo.

    Saludos y gracias.

¿Qué opinas?

Tu dirección de correo electrónico no será publicada.