Hola,
tengo el grandísimo problema, que de repente he visto que se han eliminado clientes de la web, me he dado cuenta, cuando un cliente me ha notificado que no podía entrar a su cuenta, seguidamente he visto que había muchos otros aspectos, como menús, categorías eliminados. Creé un ticket, y me han comentado que es una tarea cron que está realizando estos cambios en la web. Primero de todo me gustaría resolver este problema, y que no vuelva a ocurrir, aunque haga una restauración a la web a un cierto día para no perder el trabajo realizado, si se restaura todo correctamente, pero como esta tarea cron es antigua al punto de restauración, al día siguiente vuelve a eliminarse todo. He eliminado a todos los administradores y cambiado la contraseña. Me gustaría saber si esto lo ha podido ocasionar algún tipo de virus o parecido, o si se ha hecho manualmente desde algún administrador, si puedo saber qué perfil ha creado estas tareas cron de eliminación de clientes, etc., Muchísimas gracias, me ayudáis muchísimo y es un tema superimportante, pues la web cuando se ejecutan estas tareas o si es que es un virus, deja de ser utilizable. Si esto es un virus que está ocasionando estas tareas cron, como puedo eliminarlo? o esto no es posible? lo que he hecho es instalarme el plugin Wordefence, y al hacer el análisis con este, me ha dado como resultado 178 cosas importantes en "cambios en archivos" muchos son de este tipo: Archivo modificado del núcleo de WordPress: wp-includes/images/media/video.png,
Muchas gracias
Contenido solo visible a usuarios registrados
Hola Joaquín,
Lo primero es revisar donde tienes añadida esta tarea cron que ejecuta estos cambios, para revisarlo accede a tu cuenta de hosting y luego ve al apartado de trabajos cron
Dentro de este revisa las que tienes creada y elimínala
Luego de ello puedes comprobar realizar la restauración del sitio web al punto donde deseas y comprobar no sucede nuevamente este comportamiento en tu sitio web
Verificalo y nos comentas como va todo
Un Saludo
Hola,
muchísimas gracias por la tan rápida respuesta,
dentro del hosting, solo hay dos tareas Cron, que las creó el chico que me llevaba antes la web, estas dos tareas son 1-para actualizar el stock con el mayorista y 2-para actualizar el precio con el mayorista, no hay nada más.
¿Porque las tareas cron solo están en el Hosting? ¿No pueden haberse creado en WordPress? Porque yo pensaba que eran creadas en WordPress. ¿Si son creadas en WordPress, las puede haber creado un virus?
Hola Joaquin,
Los unicos Crons configurados en un sitio son a través del panel de administración, entonces no han realizado estos cambios por medio de un cron. Lo que puedes hacer es instalar este plugin:
https://wordpress.org/plugins/wp-security-audit-log/
Restaura primero tu sitio, luego instala este, el té dirá una vez que se elimine el dato, quien lo ha hecho si un administrador o alguien, igualmente veo que tu sitio esta limpio:
Realiza esto y ya nos comentas.
Un saludo 🖐️
Hola,
quizás lo entendí mal entonces, y no es un cron, pero es una orden programada desde WordPress (¿eso no puede ser un cron también? ¿o los crons solo se programan en el hosting?), cuando cree el segundo ticket, que indiqué el día y la hora justa de los cambios, me contestaron esto:
Hola Joaquín:
Revisando los logs del servidor, vemos que a esas horas solo hay peticiones desde dentro del propio Wordpress:
======================
5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:17 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:23 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:29 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:36 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
======================
Y llamadas a tareas programadas:
======================
5.135.78.246 - - [11/Mar/2023:18:10:25 +0100] "POST /wp-cron.php?doing_wp_cron=1678554625.5614569187164306640625 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554625.5614569187164306640625" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:10:26 +0100] "POST /wp-cron.php?doing_wp_cron=1678554626.6658329963684082031250 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554626.6658329963684082031250" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:10:54 +0100] "POST /wp-cron.php?doing_wp_cron=1678554654.1532189846038818359375 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554654.1532189846038818359375" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:56 +0100] "POST /wp-cron.php?doing_wp_cron=1678554715.9925229549407958984375 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554715.9925229549407958984375" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:13:04 +0100] "POST /wp-cron.php?doing_wp_cron=1678554784.5016860961914062500000 HTTP/1.1" 200 - "https://kimsana.es/wp-cron.php?doing_wp_cron=1678554784.5016860961914062500000" "WordPress/6.0.3; https://kimsana.es "
======================
Esto viene a indicar que esos cambios no se hicieron directamente, sino que se dejaron programados antes para que Wordpress los ejecutara él solo llegado cierto momento. Además eso es consistente con ese "Otro" que mencionas que se ve en los logs de Simple History.
¿cómo puedo entonces resolver y eliminar estas órdenes programadas dentro de WordPress y saber como se han creado o que admin las ha creado?
Hola Joaquin,
Te indicaron esto por que efectivamente hay tareas programadas, pero ya nos comentas que solo las tienes por medio de tu panel y estas estan programadas por un programador previamente contratado por ti. En este caso tendrías que validar con el si estos siguen funcionando bien o se ha filtrado algo alli.
Con respecto a tu duda, algunos plugins crean cron, pero no es el caso si no son para esta función en específico, en este caso tu sitio trabaja con muchos plugins, te diríamos que pruebes desactivarlos pero los necesitas para que trabaje tu sitio, es por esto que te comento que instales este plugin luego de realizar la restauración en caso de que lo necesites y verifiques en este una vez llegue a pasar nuevamente el problema que es lo que elimino dicho usuario si una acción de un usuario o alguna función en específico.
Un saludo 🖐️
Hola,
me indicaron esto (Revisando los logs del servidor, vemos que a esas horas solo hay peticiones desde dentro del propio Wordpress:
======================
5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
5.135.78.246 - - [11/Mar/2023:18:11:17 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es ") etc
porque yo les indique la hora exacta el cual se efectuaron los cambio en la web, donde la "simple history" de Wordpress lo deja registrado, para ver, si asi, con la hora exacta, podía saber de donde procedían los cambios, y me indicasteis, que las peticiones venais del propio Wordpress, ¿esto quiere decir que no son tareas cron creadas en el servidor correcto? ¿si es desde el propio Wordpress, quiere decir que lo ha hecho un plugin o algu admin lo ha dejado configurado de alguna manera correcto?
Con esta info.. de (5.135.78.246 - - [11/Mar/2023:18:11:10 +0100] "POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b HTTP/1.1" 200 - "https://kimsana.es/wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce=687978267b" "WordPress/6.0.3; https://kimsana.es "
) con esta información que vosotros me habéis proveido, ¿no puedo saber que plugin o como se estan efectuando estos cambios?
¿porque esto de wp-admin etc etc, que significa? ¿quién está creando estas órdenes?
Instale el plug-in WP Control para poder ver estos cambios en de taeras Cron, ahora tambien he instalado el que me habeis mencionado, el WP security audit, ¿elimino entonces el plugin WP Control?
Tengo el plugin WP All Import Pro, desactualizado porque la nueva versión me pide una licencia, ¿puede ser que al tener este plugin desactualizado, sea una ventana abierta de vulnerabilidades y que esté entrando por aquí algún tipo de virus que efectúe estos cambios en la web?
por ultimo el plugin Wordefence, me indica este problema como alto: (adjunto captura): Archivo desconocido en el núcleo de WordPress: wp-admin/Varnish.txt
Hola Joaquin.
Las dos tareas programas qu etienes en el panel del hosting lo que hacen es una importación supongo que de Stock, Productos y precios pero no se exactamente si realiza alguna acción más.
Hay plugin que ejecutan el Cron de WordPress para actualizaciones, etc... pero dudo mucho que alguno elimine tanto menús como usuarios.
Ten en cuenta que un Cron se ejecuta cada cierto tiempo, 5 minutos, una hora, un dia.... pero se ejecuta siempre, es decir si fuera un Cron el problema se repetirá diariamente.
"POST /wp-admin/admin-ajax.php?action=as_async_request_queue_runner&nonce
Son peticiones de Admin Ajax se realizan para mejorar la conexión entre el navegador y WordPress plugins como WooCommerce o constructores como Visual Composer lo utilizan pero admin Ajax no elimina datos como usuarios o menús.
No veo qu etengas plugins que puedan afectar a lo que comentas.
¿elimino entonces el plugin WP Control?
Son dos plugins distintos, WP Control tienes un listado de eventos programados y los que se ejecutan
WP activity muestra un listado de usuarios que se conectaron y lo que ejecutó cada usuario
¿puede ser que al tener este plugin desactualizado, sea una ventana abierta de vulnerabilidades y que esté entrando por aquí algún tipo de virus que efectúe estos cambios en la web?
Virus no, hemos escaneado la web no tiene código malicioso pero el no tenerlo actualizado puede ser un problema
Wordefence, me indica este problema como alto:
Nada ese archivo es el de Varnish Cache que veo que lo tienes instalado, puedes ignorar esa advertencia.
En resumen, modifica las contraseñas de todos los usuarios Administrador y comprueba durante un tiempo si ese problema ya no se repite.
Un Saludo
Hola Pepe, muchísimas gracias,
las dos tareas programas que tengo en el panel del hosting ¿cómo podría saber si hacen algo más aparte de la importación de stock y precios?
Tengo un plugin instalado que se llama Akismet, que está conectado a una API mediante una clave, es un plugin de anti-spam por lo que veo, yo no recuerdo haberlo instalado, se puede haber instalado automáticamente con la instalacion de otro plugin como el Wordfence? Puede llevar algun riesgo esta API?
Que tipo de problema puede acarrear un plug-in desactualizado como el WP All Import Pro?
de acuerdo, contraseñas modificadas y voy a revisar estos días que ocurre, de alguna manera pienso, que hoy a la tarde, se va a repetir estas acciones. Vamos a ver, espero que no. Ahora pero, tengo los plug-ins instalados para registrar todo. Un saludo
Hola Joaquin,
Perfecto quedamos a la espera esperamos que no se repita y si se repite ya tienes el plugin de audit log para ver quien o que es lo que esta eliminando los usuarios que nos comentas.
Con respecto a tus otras dudas ya las hemos investigado, no aportan una amenaza, te compartimos el análisis del sitio, si allí no indica virus alguno no implica un problema akismet es desarrollado directamente por el mismo equipo de desarrollo de WordPress y el plugin de wp all import, puedes incluso desactivarlo si no lo estás utilizando no son problema alguno y en tal caso que estos fuesen el problema se viera en el análisis que se realizó del sitio.
Como comentas, es cuestión de esperar un poco para verificar que o quien esta cambiando y eliminando los ajustes.
Un saludo 🖐️
Hola,
se ha vuelto a repetir, ahora se ha cambiado el impuesto de muchos productos de reducido a standard, lo he podido ver en el WP activity log, he hecho las comprobaciones con el mayorista y el CSV original, y no hay dichos cambios. Entonces alguien o algo está ocasionando estos cambios sin permiso. ¿como puedo saber quien o que lo está haciendo y solucionarlo? Mil gracias!
adjunto foto de ejemplo
Hola Joaquín,
En este caso realice un análisis en el sitio web y no veo nada que pueda estar modificando esto, debes revisar si algun plugin que tengas añadido en tu sitio web o algun servicio de webservices, webbhooks o alguna API que tengas configurada en las opciones de WooCommerce.
Es posible que necesites realizas algunas pruebas y desactivar todos los plugins de WooCommerce no requeridos por tu tema, luego es ello ir revisando si surge algun cambio específico en los productos.
De igual forma revisa hacer un monitoreo de cambios en los archivos con este plugin https://es.wordpress.org/plugins/website-file-changes-monitor/, puedes probar lanzas un análisis y revisar los resultados que te regresa
Verifica y nos comentas los resultados.
Un Saludo
Hola! gracias!
vale ya he descargado el Website File Changes Monitor, pero lanzar un analisis con este, debo primero esperar a que se efecten cambio no? porque si no no va a detectar nada?
Hola Joaquin,
Es correcto, también podrías comenzar preguntando al desarrollador de la conexión que llevan el cron que tienes el porqué esta realizando estos cambios tu sitio, parece ser que puede estar afectando por algo del mismo, igualmente espera de nuevo y nos comentas.
Un saludo 🖐️