Avisos
Vaciar todo

Se eliminan menus, categorias, apartados, clientes, fotos.. automaticamente, (tarea cron)  

 
Joaquín
 Joaquín
Usuario activo

Hola,

tengo el grandísimo problema, que de repente he visto que se han eliminado clientes de la web, me he dado cuenta, cuando un cliente me ha notificado que no podía entrar a su cuenta, seguidamente he visto que había muchos otros aspectos, como menús, categorías eliminados. Creé un ticket, y me han comentado que es una tarea cron que está realizando estos cambios en la web. Primero de todo me gustaría resolver este problema, y que no vuelva a ocurrir, aunque haga una restauración a la web a un cierto día para no perder el trabajo realizado, si se restaura todo correctamente, pero como esta tarea cron es antigua al punto de restauración, al día siguiente vuelve a eliminarse todo. He eliminado a todos los administradores y cambiado la contraseña. Me gustaría saber si esto lo ha podido ocasionar algún tipo de virus o parecido, o si se ha hecho manualmente desde algún administrador, si puedo saber qué perfil ha creado estas tareas cron de eliminación de clientes, etc., Muchísimas gracias, me ayudáis muchísimo y es un tema superimportante, pues la web cuando se ejecutan estas tareas o si es que es un virus, deja de ser utilizable. Si esto es un virus que está ocasionando estas tareas cron, como puedo eliminarlo? o esto no es posible? lo que he hecho es instalarme el plugin Wordefence, y al hacer el análisis con este, me ha dado como resultado 178 cosas importantes en "cambios en archivos" muchos son de  este tipo: Archivo modificado del núcleo de WordPress: wp-includes/images/media/video.png,

Muchas gracias

Contenido solo visible a usuarios registrados

Citar
Respondido : 14/03/2023 7:22 pm
Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Joaquín, 

Lo primero es revisar donde tienes añadida esta tarea cron que ejecuta estos cambios, para revisarlo accede a tu cuenta de hosting y luego ve al apartado de trabajos cron

image

Dentro de este revisa las que tienes creada y elimínala 

image

Luego de ello puedes comprobar realizar la restauración del sitio web al punto donde deseas y comprobar no sucede nuevamente este comportamiento en tu sitio web

Verificalo y nos comentas como va todo

Un Saludo 

ResponderCitar
Respondido : 14/03/2023 7:28 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Joaquín
 Joaquín
Usuario activo

Hola,

muchísimas gracias por la tan rápida respuesta,

dentro del hosting, solo hay dos tareas Cron, que las creó el chico que me llevaba antes la web, estas dos tareas son 1-para actualizar el stock con el mayorista y 2-para actualizar el precio con el mayorista, no hay nada más.

ResponderCitar
Respondido : 14/03/2023 7:49 pm
Joaquín
 Joaquín
Usuario activo

¿Porque las tareas cron solo están en el Hosting? ¿No pueden haberse creado en WordPress? Porque yo pensaba que eran creadas en WordPress. ¿Si son creadas en WordPress, las puede haber creado un virus?

ResponderCitar
Respondido : 14/03/2023 7:58 pm

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Joaquin,

Los unicos Crons configurados en un sitio son a través del panel de administración, entonces no han realizado estos cambios por medio de un cron. Lo que puedes hacer es instalar este plugin:

https://wordpress.org/plugins/wp-security-audit-log/

Restaura primero tu sitio, luego instala este, el té dirá una vez que se elimine el dato, quien lo ha hecho si un administrador o alguien, igualmente veo que tu sitio esta limpio:

https://www.virustotal.com/gui/url/122132dc151cce42cd81c86d68d1145f3841677c3502907e6196bd435f09a0a4?nocache=1

image

Realiza esto y ya nos comentas.

Un saludo 🖐️ 

ResponderCitar
Respondido : 14/03/2023 8:07 pm
Joaquín
 Joaquín
Usuario activo

Hola,

quizás lo entendí mal entonces, y no es un cron, pero es una orden programada desde WordPress (¿eso no puede ser un cron también? ¿o los crons solo se programan en el hosting?), cuando cree el segundo ticket, que indiqué el día y la hora justa de los cambios, me contestaron esto: 

 

Hola Joaquín:

Revisando los logs del servidor, vemos que a esas horas solo hay peticiones desde dentro del propio Wordpress:

======================
5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:17 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:23 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:29 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:36 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
======================

Y llamadas a tareas programadas:
======================
5.135.78.246 - - [11/Mar/2023:18:10:25 +0100] "POST /wp-cron.php?doing_wp_cron=1678554625.5614569187164306640625 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554625.5614569187164306640625" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:10:26 +0100] "POST /wp-cron.php?doing_wp_cron=1678554626.6658329963684082031250 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554626.6658329963684082031250" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:10:54 +0100] "POST /wp-cron.php?doing_wp_cron=1678554654.1532189846038818359375 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554654.1532189846038818359375" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:56 +0100] "POST /wp-cron.php?doing_wp_cron=1678554715.9925229549407958984375 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554715.9925229549407958984375" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:13:04 +0100] "POST /wp-cron.php?doing_wp_cron=1678554784.5016860961914062500000 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554784.5016860961914062500000" "WordPress/6.0.3; https://kimsana.es "
======================

Esto viene a indicar que esos cambios no se hicieron directamente, sino que se dejaron programados antes para que Wordpress los ejecutara él solo llegado cierto momento. Además eso es consistente con ese "Otro" que mencionas que se ve en los logs de Simple History.

 

¿cómo puedo entonces resolver y eliminar estas órdenes programadas dentro de WordPress y saber como se han creado o que admin las ha creado?

ResponderCitar
Respondido : 14/03/2023 8:57 pm

Cursos Gratuitos WordPress

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Joaquin,

Te indicaron esto por que efectivamente hay tareas programadas, pero ya nos comentas que solo las tienes por medio de tu panel y estas estan programadas por un programador previamente contratado por ti. En este caso tendrías que validar con el si estos siguen funcionando bien o se ha filtrado algo alli.

Con respecto a tu duda, algunos plugins crean cron, pero no es el caso si no son para esta función en específico, en este caso tu sitio trabaja con muchos plugins, te diríamos que pruebes desactivarlos pero los necesitas para que trabaje tu sitio, es por esto que te comento que instales este plugin luego de realizar la restauración en caso de que lo necesites y verifiques en este una vez llegue a pasar nuevamente el problema que es lo que elimino dicho usuario si una acción de un usuario o alguna función en específico.

Un saludo 🖐️ 

ResponderCitar
Respondido : 14/03/2023 9:02 pm
Joaquín
 Joaquín
Usuario activo

Hola,

me indicaron esto (Revisando los logs del servidor, vemos que a esas horas solo hay peticiones desde dentro del propio Wordpress:

======================
5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:17 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es ") etc

porque yo les indique la hora exacta el cual se efectuaron los cambio en la web, donde la "simple history" de Wordpress lo deja registrado, para ver, si asi, con la hora exacta, podía saber de donde procedían los cambios, y me indicasteis, que las peticiones venais del propio Wordpress, ¿esto quiere decir que no son tareas cron creadas en el servidor correcto? ¿si es desde el propio Wordpress, quiere decir que lo ha hecho un plugin o algu admin lo ha dejado configurado de alguna manera correcto?

Con esta info.. de (5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
) con esta información que vosotros me habéis proveido, ¿no puedo saber que plugin o como se estan efectuando estos cambios?

¿porque esto de wp-admin etc etc, que significa? ¿quién está creando estas órdenes?

Instale el plug-in WP Control para poder ver estos cambios en de taeras Cron, ahora tambien he instalado el que me habeis mencionado, el WP security audit, ¿elimino entonces el plugin WP Control?

Tengo el plugin WP All Import Pro, desactualizado porque la nueva versión me pide una licencia, ¿puede ser que al tener este plugin desactualizado, sea una ventana abierta de vulnerabilidades y que esté entrando por aquí algún tipo de virus que efectúe estos cambios en la web?

por ultimo el plugin Wordefence, me indica este problema como alto: (adjunto captura): Archivo desconocido en el núcleo de WordPress: wp-admin/Varnish.txt

Tipo: Archivo. ¿Debo actuar sobre este archivo y borrarlo? Mil gracias
Captura de pantalla (485)
ResponderCitar
Respondido : 15/03/2023 12:31 pm

Gestor de Contraseñas - VPN Conexión Segura - Gestor 2FA (Segundo Factor de Autenticación

Pepe
 Pepe
Soporte CMS Webempresa Admin

Hola Joaquin.

Las dos tareas programas qu etienes en el panel del hosting lo que hacen es una importación supongo que de Stock, Productos y precios pero no se exactamente si realiza alguna acción más.

Hay plugin que ejecutan el Cron de WordPress para actualizaciones, etc... pero dudo mucho que alguno elimine tanto menús como usuarios.

Ten en cuenta que un Cron se ejecuta cada cierto tiempo, 5 minutos, una hora, un dia.... pero se ejecuta siempre, es decir si fuera un Cron el problema se repetirá diariamente.

 

"POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce

Son peticiones de Admin Ajax se realizan para mejorar la conexión entre el navegador y WordPress plugins como WooCommerce o constructores como Visual Composer lo utilizan pero admin Ajax no elimina datos como usuarios o menús.

 

No veo qu etengas plugins que puedan afectar a lo que comentas.

 

 ¿elimino entonces el plugin WP Control?

Son dos plugins distintos, WP Control tienes un listado de eventos programados y los que se ejecutan

WP activity muestra un listado de usuarios que se conectaron y lo que ejecutó cada usuario 

 ¿puede ser que al tener este plugin desactualizado, sea una ventana abierta de vulnerabilidades y que esté entrando por aquí algún tipo de virus que efectúe estos cambios en la web?

Virus no, hemos escaneado la web  no tiene código malicioso pero el no tenerlo actualizado puede ser un problema 

Wordefence, me indica este problema como alto:

Nada ese archivo es el de Varnish Cache que veo que lo tienes instalado, puedes ignorar esa advertencia.

 

En resumen, modifica las contraseñas de todos los usuarios Administrador y comprueba durante un tiempo si ese problema ya no se repite.

 

Un Saludo

 

ResponderCitar
Respondido : 15/03/2023 1:14 pm
Joaquín
 Joaquín
Usuario activo

Hola Pepe, muchísimas gracias,

las dos tareas programas que tengo en el panel del hosting ¿cómo podría saber si hacen algo más aparte de la importación de stock y precios?

Tengo un plugin instalado que se llama Akismet, que está conectado a una API mediante una clave, es un plugin de anti-spam por lo que veo, yo no recuerdo haberlo instalado, se puede haber instalado automáticamente con la instalacion de otro plugin como el Wordfence? Puede llevar algun riesgo esta API?

Que tipo de problema puede acarrear un plug-in desactualizado como el WP All Import Pro?

 

de acuerdo, contraseñas modificadas y voy a revisar estos días que ocurre, de alguna manera pienso, que hoy a la tarde, se va a repetir estas acciones. Vamos a ver, espero que no. Ahora pero, tengo los plug-ins instalados para registrar todo. Un saludo

 

 

 

ResponderCitar
Respondido : 15/03/2023 5:04 pm

wpdoctor-revisa-la-salud-de-tu-wordpress

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Joaquin,

Perfecto quedamos a la espera esperamos que no se repita y si se repite ya tienes el plugin de audit log para ver quien o que es lo que esta eliminando los usuarios que nos comentas.

Con respecto a tus otras dudas ya las hemos investigado, no aportan una amenaza, te compartimos el análisis del sitio, si allí no indica virus alguno no implica un problema akismet es desarrollado directamente por el mismo equipo de desarrollo de WordPress y el plugin de wp all import, puedes incluso desactivarlo si no lo estás utilizando no son problema alguno y en tal caso que estos fuesen el problema se viera en el análisis que se realizó del sitio.

Como comentas, es cuestión de esperar un poco para verificar que o quien esta cambiando y eliminando los ajustes.

Un saludo 🖐️ 

ResponderCitar
Respondido : 15/03/2023 5:13 pm
Joaquín me gusta
Joaquín
 Joaquín
Usuario activo

Hola,

se ha vuelto a repetir, ahora se ha cambiado el impuesto de muchos productos de reducido a standard, lo he podido ver en el WP activity log, he hecho las comprobaciones con el mayorista y el CSV original, y no  hay dichos cambios. Entonces alguien o algo está ocasionando estos cambios sin permiso. ¿como puedo saber quien o que lo está haciendo y solucionarlo? Mil gracias!

adjunto foto de ejemplo

Captura de pantalla (503)

 

 

ResponderCitar
Respondido : 17/03/2023 6:41 pm

optimiza-automaticamente-todas-las-imagenes-de-tu-wordpress

Karen Rios
 Karen Rios
Soporte CMS Webempresa Moderator

Hola Joaquín, 

En este caso realice un análisis en el sitio web y no veo nada que pueda estar modificando esto, debes revisar si algun plugin que tengas añadido en tu sitio web o algun servicio de webservices, webbhooks o alguna API que tengas configurada en las opciones de WooCommerce. 

Es posible que necesites realizas algunas pruebas y desactivar todos los plugins de WooCommerce no requeridos por tu tema, luego es ello ir revisando si surge algun cambio específico en los productos. 

De igual forma revisa hacer un monitoreo de cambios en los archivos con este plugin  https://es.wordpress.org/plugins/website-file-changes-monitor/, puedes probar lanzas un análisis y revisar los resultados que te regresa 

image

Verifica y nos comentas los resultados. 

Un Saludo

 

ResponderCitar
Respondido : 17/03/2023 7:18 pm
Joaquín
 Joaquín
Usuario activo

Hola! gracias!

vale ya he descargado el Website File Changes Monitor, pero lanzar un analisis con este, debo primero esperar a que se efecten cambio no? porque si no no va a detectar nada?

ResponderCitar
Respondido : 17/03/2023 7:37 pm

Argenis
 Argenis
Soporte CMS Webempresa Moderator

Hola Joaquin,

Es correcto, también podrías comenzar preguntando al desarrollador de la conexión que llevan el cron que tienes el porqué esta realizando estos cambios tu sitio, parece ser que puede estar afectando por algo del mismo, igualmente espera de nuevo y nos comentas.

Un saludo 🖐️ 

ResponderCitar
Respondido : 17/03/2023 7:57 pm