Esta semana nos ha tocado lidiar con un problema que tenia una empresa con su web creada en WordPress, la cual al visitarla con el Google Chrome devolvía el mensaje: “The ‘HoeflerText’ font wasn’t found” y amablemente nos daba la opción de descargarnos un ejecutable que nos resolvería el problema, obviamente lo que iba a hacer realmente es meternos un malware por toda la escuadra, eso si el aspecto del aviso con el logotipo de Google podría despistar a mas de uno.
Para el pobre desgraciado que caiga en en la trampa aquí y lo instale os dejamos un enlace para poder solventarlo:
http://www.solucionavirus.com/2017/01/eliminar-hoeflertext-font-wasnt-found.html
Aunque no estaría mal recordaros que eso con GNU/Linux se hubiese quedado en una simple anécdota, os habríais descargado el ejecutable y listo 😉
Pero el problema que teníamos entre manos era solucionar el origen, en este caso un wordpress con un problema de seguridad que estaba siendo usado para infectar maquinas.
Echando un vistazo al código fuente generado esto es lo que aparecía:
Como veis un array con montón de números el cual mas tarde recorría para crear un bonito efecto matrix de fondo de pantalla y cargar un banner con el aviso de descarga. Le hemos seguido la pista y hemos podido comprobar que la web cargaba un fichero “fonts.js” de una dirección muy rara y que obviamente ahí estaba el problema.
Ahora tocaba buscar la forma de deshacernos del código que carga ese fichero. En nuestro caso la plantilla estaba desactualizada y contenía un fichero “skypeCheck.js” con código malicioso. Ha sido borrar el fichero ya que en nuestro caso no necesitamos que la plantilla tenga ninguna funcionalidad con Skype y asunto medio resuelto porque que el fichero “font.js” no llegaba a cargarse (devolvía un 404) pero el código con el array seguía inyectándose.
Tras buscar como locos, seguir diversas pistas y comparar ficheros originales de wordpress con los del la web afectada al final hemos dado por fin con el dichoso fichero que estaba causando todo este tema: “default-filters.php” situado dentro del directorio “wp-includes“.
Esta es la sorpresa final que nos hemos encontrado:
Borrando la función “blue_bointon_ubergeek_hv1()” asunto resuelto. O si lo preferís para estar mas seguro os podéis bajar la versión que tengáis instalada de wordpress del repositorio (mirar en el readme.html de la raíz) y sustituir el fichero corrupto por el original.
Esta ha sido nuestra aventura con este error, es posible que en otro caso la situación no sea la misma y esta solución no sirva pero si ha alguien le ayuda o le da alguna idea bienvenido sea.
Conclusión: Procurar tener el wordpress actualizado, no usar plugins que no se vayan a utilizar y tener siempre una copia de seguridad tanto de la web como de la base de datos.
Recordar que desde Irekisoft podemos ayudaros a solventar este tipo de errores, manteneros el wordpress actualizado y asesoraros en vuestro proyecto.