Como evitar que nuestro wodpress envie correos de spam

Si estas notando o te han notificado que desde tu correo se están enviando muchos correos de spam y tienes instalado un wordpress como página web, seguramente la seguridad de este, esté comprometida. Vamos a ver unos sencillos pasos para que los spamers dejen de utilizar nuestra pagina web en wordpress para el envio masivo de correos.

El primer paso es identificar el problema:

Para esto nos conectaremos por consola (ssh), -Si no dispones de acceso por ssh o no sabes hacerlo, saltate este paso ya que no es imprescindible seguirlo, pero si nos ayuda a ver y a eliminar la cola de envios de correos que seguramente sea ya de muchos miles- a nuestra web y ejecutaremos los siguientes comandos:

postsuper -p

Esto nos mostrará por consola una lista, seguramente bastante grande, de correos que estan en la cola de envios, si queremos eliminarlos todos basta con ejecutar el siguiente comando:

postsuper -d ALL

Y desaparecerán todos, pero si el problema persiste en pocos minutos volveremos a tener muchos correos pendientes de envio y por mucho que sigamos eliminando la lista seguirá incrementandose.

Segundo paso, identificar el archivo problematico:

Ahora que sabemos seguro que están utilizando nuestra página web en wordpress para spamear vamos a localizar el archivo problematico, y os preguntareis porque un archivo y no seguir centrados en el servidor de correo electronico, pues muy simple, el sistema que se utiliza es introducir un archivo «php» en nuestra instalación a través de algún fallo en worpdress o en alguno de los plugins que tengamos instalados, este archivo es al que ellos llaman desde fuera (casi siempre otro servidor infectado) para que este realice una serie de envios de correo electronico, ahora vamos a localizar ese o esos archivos.

Tenemos dos opciones de hacerlo, una por consola visualizando los útimos o mas recurrentes accesos a nuestra web en el archivo access.log, para ello ejecutariamos el siguiente comando, OJO dentro de la carpeta donde este el log en cuestión:

tail -20 access_log

Esto nos mostrará las últimas 20 lineas de el archivo log y podremos ver cual es la o las urls mas visitadas que casi seguro será el archivo que están ejecutando los spamers. Otra posibilidad de hacer esto mismo es desde el mismo panel de wodpress instalando algún plugin que nos diga las url mas visitadas, en mi caso suelo instalar es el de wordfence secure, que aparte de securizar nuestro worpdress en muchos aspectos nos muestra un listado de las paginas vistas ultimamente, etc.

wordfence

Una vez localizado o localizados los archivos comprometidos pasaremos a inutilizarlos, si estamos conectados por consola solo tenemos que irnos hasta la carpeta donde este el archivo y renombrarlo con el siguiente comando:

mv archivocomprometido.php archivocomprometido_no.php

Y si no tenemos acceso por consola lo tendremos que hacer por ftp simplemente pinchando doble click lento sobre el y cambiandole el nombre.

Si quereís podeís abrir el archivo para ver el contenido, aunque ya os adelanto que será un poco de codigo en php que además estará encriptado para que no se pueda ver nada.

Una vez detenido todo lo mas recomendable sería cambiar la contraseña de acceso a wordpress y actualizar todos los plugins, en el caso de que el plugin comprometido no tenga mas actualizaciones y este abandonado por los autores lo mas recomendable seria cambiarlo por otro ya que si no lo hacemos en breve nuestra instalacion se verá otra vez comprometida.

 

Actualización 03-09-2016

Para saber si nuestro servidor está comprometido, podemos utilizar la herramienta:

http://www.mail-tester.com/

La cual aparte de informarnos si tenemos mal configurado nuestro servidor de correo, nos indicará si estamos en alguna de las listas negras de envio de spam, que es lo que seguramente ocurrirá si nuestro wordpress esta enviando correos masivos.

Además podemos utilizar el comando:

lsof -i | grep smtp

El cual nos listará todos los programas o archivos que estén enviando correos en este momento, eliminando de la lista los que sean nuestro servidor de correo instalado obtendremos los archivos o programas que están enviando correos masivos desde nuestra maquina.

1 comentario en «Como evitar que nuestro wodpress envie correos de spam»

Deja un comentario