¿Cómo acabaron páginas de phishing en mi sitio?

Casi siempre un plugin vulnerable, un formulario de subida sin protección o credenciales robadas. Los atacantes escanean la web continuamente buscando WordPress vulnerables para usarlos como hosting desechable.

¿Tengo un problema con Google o mi hosting?

Puede ser. Google Safe Browsing marca dominios que alojan kits de phishing y la mayoría de los proveedores suspenden la cuenta ante una queja. Enviamos reconsideración y proporcionamos una explicación escrita para su hosting.

¿Lo sabrán mis visitantes?

No — el kit está en subpáginas, no en su portada. Los visitantes reales de su sitio real no lo ven. Los servicios anti-phishing pueden añadir avisos a las URL afectadas, que retiramos como parte de la limpieza.

¿Cómo evito que esto vuelva a ocurrir?

The report names the exact vector and lists the specific changes you need to make. I can also handle them for you.

// PHARMA HACK · WORDPRESS · LIMPIADO

WordPress phishing page removal.

Su dominio se está usando para alojar páginas de login falsas de Microsoft, Google o bancos. Eliminamos el kit de phishing, cerramos la entrada y enviamos los informes de abuso. Tarifa única 279 $.

Iniciar limpieza → Cómo acaban las páginas de phishing en su sitio

§ 01 — MECANISMO

Su dominio parece legítimo. Por eso le eligieron.

Una instalación de WordPress comprometida con SSL real y dominio antiguo es la plataforma perfecta para una página de phishing. El atacante sube un kit de login falso — normalmente a wp-content/uploads/ — y envía enlaces a miles de víctimas. Sus visitantes solo ven la URL extraña después de teclear la contraseña.

Retirar el kit es la parte fácil. La difícil es encontrar la backdoor que lo subió, porque esa misma backdoor subirá otro en dos días. Hacemos ambas cosas.

// find — archivos sospechosos subidos recientemente

01 find wp-content/uploads/ \\
02     -type f \( -name '*.html' -o -name '*.php' \) \\
03     -mtime -30
04
05 // HTML or PHP files in /uploads/ created in the last
06 // 30 days are almost always either kits or backdoors.

§ 02 — QUÉ ELIMINAMOS

Kit de phishing fuera. Backdoor cerrada.

[ TRIAGE DE PLUGINS ]

Sistema de archivos escaneado en busca de archivos que no deberían estar ahí: HTML y PHP en uploads, archivos que imitan páginas de login conocidas, subdirectorios desconocidos.
[ KIT DE PHISHING ]

Cada archivo del kit eliminado. Recursos estáticos, formularios falsos, endpoints de exfiltración — fuera.
[ BACKDOORS ]

La backdoor PHP que subió el kit se encuentra y se elimina para que no se pueda colocar la siguiente tanda.
[ ENDURECIMIENTO ]

Ejecución PHP desactivada en uploads. Comprobaciones de subida auditadas. Permisos endurecidos.
[ INFORME ]

Informes de abuso enviados al hosting del endpoint de exfiltración y a los registradores de cualquier marca suplantada.
[ INFORME ]

Informe forense en lenguaje claro, lista de marcas atacadas, qué recogía el kit, qué hicimos al respecto.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →