Cómo reparar el malware de puerta trasera wp-vcd en WordPress functions.php

Cómo reparar el malware  de puerta trasera wp-vcd en WordPress functions.php | QuéCódigo.com
Hace poco nos encontramos con la sorpresa de que uno de nuestros clientes fue infectado con un Malware en WordPress generando una puerta trasera a un sitio web que arrastraba todos los datos de acceso, nosotros siempre preocupados con la seguridad de nuestros clientes analizamos periódicamente el sitio en busca de alguna anormalidad.

En este caso en el desarrollo de uno de nuestros plugins, por haber descargado un complemento que nos mandaron para analizar (Sin saber la procedencia del mismo), este contenía este código malicioso lo cual infecto nuestro plugin y themes del sitio de prueba que pronto fue llevado a producción.

¿Pero como sabemos si un sitio esta infectado?



Esto es muy fácil, gracias a que WordPress es un elemento de código abierto hay muchas herramientas que pueden comparar los archivos de nuestro sitio con los del repositorio oficial, dando así con el código el cual no pertenece a nuestro sitio.

Una de estas herramientas es: Defender Security
Imagen Externa
Es una herramienta muy potente en su versión Free que nos permitirá hacer un escaneo del sitio y sus archivos como lo muestra la imagen, ojo este solo escanea elementos que se encuentran en el repositorio oficial de WordPress

¿Como eliminamos este Malware?



Una vez que hallamos detectado que nuestro sitio tiene un código malicioso con Defender el nos da la opción de restaurar el código original de la core de WordPress, esto lo haremos más adelante.
Nota: Recuerda hacer un backup diario así tienes mayor facilidad de prevenir estos ataques.

De caso contrario puedes seguir estos pasos:
- Entra en tu cPanel o administrador de tu Hosting.
- Haz una copia de seguridad de tu base de datos y de la carpeta upload sin que tenga archivos .php
- Elimina plugins de dudosa referencia, recientemente activados o Nulled desde FTP.
Nota: (Ojo, deja solo los necesarios y de repositorios oficiales), ya que el ataque puede venir de alguno de ellos.
- Analizamos nuestros archivos con Defender Security
Imagen Externa
- Descargar Advanced Database Cleaner
Imagen Externa
- Una vez hallamos descargado y instalado Advanced Database Cleaner nos iremos a Herramientas->WP DB Cleaner
- Ir a la pestaña Options, y vamos a eliminar las opciones relacionadas con los cron.
Imagen Externa
- Ir a la pestaña Cron Jobs, buscar todo lo relacionado con "wp_vcd" NOTA: no en todos aparece.
Imagen Externa
- Una vez realizado esto nos vamos a Defender y restauramos los archivos originales.
- Ahora todo theme y plugin Premium que tengamos, lo descargamos nuevamente y los volvemos a instalar.

¿Que hago si esto no funciona y sigue mostrándome error el Defender?


- Volvemos a hacer todo el procedimiento anterior con Advanced Database Cleaner, una vez hecho esto no vallamos a recargar o hacer alguna otra opción en nuestro sitio.
- Ahora elimina todos los archivos de WordPress desde FTP, excepto

PHPwp-config.php, wp-content/uploads/, wp-content/plugins/


- Abrimos el archivo wp-config.php y vamos a desactivar el Cron.
PHP
define('DISABLE_WP_CRON', true);

-Subimos de nuevo toda la Core de WordPress, Themes y plugins
- Analizar de nuevo el sitio para comprobar ficheros. (Ya no debería aparecer el archivo)
- Actualizar traducciones de la Core.
- Actualizar traducciones de los plugins y temas.
- Puedes activar de nuevo el Cron.

Fuentes relacionadas y ejemplos de los códigos:

https://es.wordpress.org/support/topic/como-eliminar-malware-go-oclasrv-com-por-completo/#post-75265
https://max-webs.com/en/how-delete-virus-_request-action-isset-_request-password/
https://www.getastra.com/blog/911/how-to-fix-wp-vcd-backdoor-hack-in-wordpress-functions-php/
https://wordpress.stackexchange.com/questions/281611/what-is-this-code-in-my-themes-functions-php-if-isset-requestaction
admin usuario de Qué Código
Edinson Tique ADMIN

Estudiante de Ingeniería en Sistemas de Información, pro-activo y amante a la tecnología.
Los ordenadores han estado mucho tiempo en mi vida, desde pequeño empece aprendiendo manejo y mantenimiento de computadores, cuando obtuve acceso al Internet siempre quise saber como funcionaba y que era una página web, así que me dedique a aprender todo lo que pueda de programación enfocada a la web, ese aprendizaje y lectura de documentación fueron mis juegos desde los 11 años, actualmente cuento con conocimientos en Electrónica y programación en Arduino, Servidores, PHP, JavaScript, CSS y HTML...

Qué Código
Qué Código