Etiqueta: phishing

  • Redirecciones a páginas japonesas: rastrea el origen del phishing en tu WordPress

    Redirecciones a páginas japonesas: rastrea el origen del phishing en tu WordPress

    Redirecciones a páginas japonesas en WordPress: cómo identificar y eliminar este ataque de phishing

    En mi experiencia analizando sitios WordPress comprometidos, las redirecciones a páginas japonesas son uno de los indicadores más claros de infección por malware. Lo que encuentro constantemente es que los propietarios no se dan cuenta hasta que Google ha penalizado su sitio o los usuarios reportan comportamientos extraños. Hoy te enseño cómo detectar este ataque, rastrear su origen y eliminarlo de raíz.

    ¿Qué son las redirecciones a páginas japonesas y por qué ocurren?

    Las redirecciones a dominios japoneses (típicamente .jp, pero también subdominios comprometidos con características tipográficamente similares) son un vector de ataque especializado en phishing y distribución de malware. El atacante inyecta código en tu WordPress que redirige a visitantes específicos —generalmente por geolocalización o user-agent— hacia páginas fraudulentas.

    ¿Por qué Japón? Porque ese mercado tiene alto valor para estafadores de tarjetas de crédito y bots que compran dominios baratos en .jp para alojar malware. Cuando analizo un sitio con este problema, encuentro que el 80% de las veces la redirección está condicionada: solo afecta a ciertos países, navegadores o dispositivos móviles, lo que explica por qué el propietario no la ve al revisar su propio sitio.

    Cómo rastrear el origen: los lugares donde se esconde este malware

    Lo primero que hago es ejecutar comandos en WP-CLI para buscar patrones de redirección. El malware típicamente se inyecta en estos lugares:

    • wp-config.php modificado: Código malicioso antes de la línea «require_once» o en constantes defectuosas
    • Funciones.php del tema activo: Lógica de redirección condicional que los editores visuales no siempre muestran
    • Plugins comprometidos o nulled: Temas y plugins descargados de fuentes no oficiales suelen incluir backdoors
    • Archivos .htaccess manipulados: Reglas de reescritura que redirigen según geolocalización
    • Webshells en carpeta /uploads: Archivos PHP ocultos con nombres que parecen imágenes
    • Inyecciones en la base de datos: Opciones de WordPress modificadas (siteurl, home, etc.)
    • Headers manipulados en wp-load.php: Redirecciones JavaScript insertadas antes de cualquier output

    Cuando ejecuto búsquedas recursivas con grep, busco patrones como «location.href», «wp_redirect», «header(«, combinados con dominios japoneses o variables que revelen lógica condicional por geolocalización.

    Paso 1: Verificar redirecciones con herramientas online

    Antes de entrar en terminal, prueba esto de forma segura desde tu navegador:

    • Abre Sucuri SiteCheck e introduce tu dominio. Detectará redirecciones conocidas y alertas de malware
    • Usa Google Search Console y revisa «Seguridad» → «Problemas de seguridad». Google es muy preciso identificando este tipo de ataques
    • Comprueba con VirusTotal: sube tu URL y obtén análisis de 70+ antivirus simultáneamente

    Estos análisis externos son cruciales porque el atacante frecuentemente deshabilita redirecciones si detecta que eres administrador (verificando cookies de admin, IP, user-agent).

    Paso 2: Acceso SSH y búsqueda manual en archivos críticos

    Si tienes acceso SSH (que recomiendo siempre para WordPress en producción), ejecuta estos comandos:

    Buscar redirecciones en PHP:

    grep -r "location.href|wp_redirect|header(.*jp|japan" /home/tudominio/public_html/ --include="*.php" 2>/dev/null

    Buscar código ofuscado (base64, rot13):

    grep -r "base64_decode|eval|preg_replace|assert" /home/tudominio/public_html/wp-content/ --include="*.php" | head -20

    Listar archivos PHP recientes en uploads:

    find /home/tudominio/public_html/wp-content/uploads/ -name "*.php" -o -name "*.jpg.php" -mtime -30

    Cualquier archivo .php en la carpeta uploads es sospechoso por defecto. Los atacantes lo saben, así que lo disfrazan como imagen (.jpg.php, .png.php).

    Paso 3: Revisar la base de datos de WordPress

    Conéctate vía phpMyAdmin o línea de comandos MySQL y ejecuta:

    Buscar opciones modificadas:

    SELECT option_name, option_value FROM wp_options WHERE option_value LIKE '%jp%' OR option_value LIKE '%redirect%';

    Buscar código en posts y postmeta:

    SELECT ID, post_content FROM wp_posts WHERE post_content LIKE '%location.href%' OR post_content LIKE '%eval%';

    Las opciones de WordPress que encontramos comprometidas suelen ser «home», «siteurl» o custom options creadas por plugins maliciosos. Allí se inyecta lógica condicional de redirección.

    Paso 4: Analizar el tráfico y logs de acceso

    Los logs del servidor web revelan el patrón de ataque. En Apache:

    tail -500 /var/log/apache2/access_log | grep -i ".jp|japan|redirect" | cut -d' ' -f1,7,9 | sort | uniq -c

    Busca peticiones GET a archivos PHP sospechosos, especialmente con User-Agents genéricos (curl, wget) que indican bots de ataque. Las redirecciones exitosas generan códigos 301 o 302; anótalos.

    Paso 5: Inspeccionar plugins y temas desactualizados

    Lo que recomiendo siempre es ejecutar un listado de versiones de plugins:

    wp plugin list --field=name,version,status

    Cualquier plugin inactivo pero presente es un riesgo. Los atacantes frecuentemente dejan plugins desactivados para mantener acceso si eliminas el activo. Revisa también los temas:

    wp theme list

    Temas descargados de sitios «nulled» (ilegales) como ThemeForest alternativas incluyen malware integrado. He encontrado inyecciones de redirección en functions.php de temas que el propietario no recuerda haber modificado nunca.

    Eliminación segura: el proceso paso a paso

    Paso A: Aislamiento del sitio

    Antes de limpiar, toma una copia de seguridad completa (base de datos + archivos). Luego, deshabilita todos los plugins excepto uno de seguridad como Wordfence:

    wp plugin deactivate --all

    Desactiva también el tema actual y activa uno seguro de WordPress.org:

    wp theme activate twentytwentyfour

    Esto aísla la infección. Si las redirecciones persisten, el malware está en núcleo o base de datos.

    Paso B: Limpieza de archivos

    Elimina todos los plugins sospechosos. Para cada uno:

    wp plugin delete nombre-plugin --allow-root

    Descarga la última versión limpia de WordPress.org, y reemplaza solo los archivos del núcleo (wp-admin/, wp-includes/, index.php, etc.), preservando wp-content/:

    rsync -avz --exclude='wp-content' --delete wordpress/ /ruta/publica/

    Elimina cualquier archivo .php sospechoso en uploads:

    find /ruta/publica/wp-content/uploads -name "*.php" -delete

    Paso C: Limpieza de base de datos

    Revisa y corrige opciones comprometidas:

    wp option update home 'https://tudominio.es'
    wp option update siteurl 'https://tudominio.es'

    Busca y elimina custom options maliciosas (creadas por plugins de ataque):

    wp option delete opcion_sospechosa

    Limpia la caché de WordPress:

    wp cache flush

    Paso D: Cambiar credenciales y revisar accesos

    Modifica contraseña del admin, de FTP/SSH y de base de datos:

    wp user update 1 --prompt=user_pass

    Revisa los usuarios de WordPress para detectar cuentas backdoor creadas por el atacante:

    wp user list --field=ID,user_login,user_email

    Elimina usuarios sospechosos (especialmente «admin» si no es el tuyo, o cuentas genéricas).

    Cómo prevenir futuras redirecciones a Japón

    Hardening inmediato:

    • Deshabilita la edición de archivos en el panel: añade a wp-config.php: define('DISALLOW_FILE_EDIT', true);
    • Protege wp-config.php con regla .htaccess: <Files wp-config.php> deny from all </Files>
    • Cambia el prefijo de tablas (si es aún wp_): requiere migración pero aumenta seguridad
    • Limita intentos de login de /wp-login.php a 5 por IP/hora usando Wordfence o ModSecurity

    Actualizaciones y plugins:

    • Activa actualizaciones automáticas en wp-config.php: define('AUTOMATIC_UPDATER_DISABLED', false);
    • Solo descarga temas y plugins de WordPress.org o de distribuidores licenciados
    • Elimina cualquier plugin inactivo que no uses
    • Actualiza PHP a versión soportada (mínimo 7.4, recomiendo 8.2+)

    Monitoreo continuo:

    • Instala Wordfence y activa alertas de logins, cambios de archivos y malware
    • Revisa Google Search Console cada semana buscando «Problemas de seguridad»
    • Ejecuta scans de seguridad mensuales con MalCare o Sucuri
    • Mantén logs de acceso (mínimo 90 días) para auditorías

    ¿Cuándo llamar a un experto?

    Si después de estos pasos las redirecciones persisten, el malware está enraizado en el servidor o la base de datos está masivamente comprometida. En mi experiencia, esto requiere herramientas forenses avanzadas y análisis binario que solo un profesional en ciberseguridad puede realizar. La limpieza incorrecta deja backdoors que vuelven a infectar en 48 horas.

    Si necesitas ayuda profesional en eliminar redirecciones a Japón, auditar tu WordPress completamente o implementar hardening real, contacta con nuestro equipo de especialistas en ciberseguridad web. Realizamos análisis forense, limpiezas garantizadas y protección permanente para WordPress y PrestaShop.