Tengo 5 instancias con Google Cloud, todas ejecutando WordPress de bitnami. A las 11 a.m. de hoy, todos los sitios web son inaccesibles... eso es extraño porque no modifiqué nada y de repente, no un sitio web, sino todos los sitios web cayeron al mismo tiempo. Intenté detener y reiniciar las instancias, nada funcionó... Aún se puede acceder a SSH y FTP. Creo una nueva instancia con WordPress nuevo, está funcionando. ¿Alguna idea de qué pasó con él?
**Caso resuelto. Malware encontrado en el directorio de complementos. Lea mi respuesta a continuación para obtener más información.
Respuesta1
Descubrí que el problema no se debe al servidor de Google Cloud. Después de horas de investigación, encontré un archivo de complemento de malware dentro de mi carpeta de complementos de WordPress. Después de cambiarle el nombre, todos mis sitios web están funcionando. No sé cómo llegó este complemento a mi directorio de WordPress. Los detalles del malware son los siguientes: Nombre del complemento: Código personalizado Descripción: muestra códigos de anuncios personalizados con muchas opciones. Autor: Alberto Uozumi Versión: 1.0
Se oculta del menú de complementos, por lo que no puede desactivarlo ni eliminarlo en WordPress. No es un complemento de tipo carpeta en el directorio de complementos. Aparece como "ccode.php" en el directorio.
Creo que este malware lleva mucho tiempo en mi directorio de WordPress. Después de verificar el código, observo que secretamente atraerá anuncios a los nuevos visitantes de su sitio web. Esta función está oculta si inició sesión o es administrador. Tengo clientes que se quejan conmigo temprano, pero no veo ninguna ventana emergente por mi parte, así que simplemente los ignoré. No esperaba que esto sucediera.
Este malware también tiene su función de actualización automática. Creo que se actualiza solo a las 11 a. m. de hoy, pero se encuentra con un error de codificación o un problema de compatibilidad. Por lo tanto, todos mis sitios web estaban caídos al mismo tiempo. También tiene una línea de código para ocultar el mensaje de error causado por el complemento, por lo tanto, no recibí ningún mensaje de error.
Espero que mi hallazgo pueda ser útil para la comunidad.
Respuesta2
Es probable que esto se deba al uso de una plantilla o complemento anulado. He visto exactamente lo mismo en algunos sitios que mantengo con complementos anulados. Siempre verifique primero el archivo error.log, ya que esto señalará el error inmediatamente. Si no puede localizar el complemento comprometido, puede hacer que un trabajo CRON lo eliminewp-content/plugins/ccode.phparchivo cada hora o borre el contenido del archivo y conviértalo en solo lectura.
editar: También creó un archivo en la misma carpeta llamadoadmin_ips.txtque utiliza.