Theme Change Detection
ID de alerta: theme_changes
MITRE ATT&CK: T1072 – Software Deployment Tools
Severidad / Criticidad
Sección titulada «Severidad / Criticidad»| Nivel | Condición |
|---|---|
| Baja | Actualización de un tema existente |
| Media | Eliminación de un tema |
| Alta | Instalación de un tema nuevo o cambio del tema activo |
¿Por qué se considera maliciosa?
Sección titulada «¿Por qué se considera maliciosa?»- Temas nulled o pirata: suelen incluir backdoors y malware oculto.
- Cambio de tema activo: puede alterar la funcionalidad o comprometer la seguridad del sitio.
- Código malicioso en
functions.php: ejecución automática al cargar el tema. - Defacement: modificación completa de la apariencia del sitio.
- Exfiltración de datos: temas que exponen información sensible a dominios externos.
¿Cuándo salta la alerta?
Sección titulada «¿Cuándo salta la alerta?»- Cambio de tema: hook
switch_theme. - Instalación:
upgrader_process_completecontype=theme. - Actualización:
upgrader_process_completeconaction=update. - Eliminación: hook
deleted_theme. - Parent theme check: detección de cambios en child themes.
Indicadores Técnicos (IOCs)
Sección titulada «Indicadores Técnicos (IOCs)»| Tipo | Patrón / Ejemplo | Descripción |
|---|---|---|
file_pattern | @ini_set('display_errors', 0); | Código característico de temas nulled |
file_pattern | $GLOBALS['_876'] = base64_decode | Código ofuscado malicioso |
network | wp_remote_get('http://suspicious-domain.com') | Comunicación con dominios externos |
file_pattern | theme_temp_setup function hook | Hook sospechoso en functions.php |
Falsos positivos comunes
Sección titulada «Falsos positivos comunes»- Cambios de diseño planificados o mantenimiento.
- Pruebas de temas en entornos de staging.
- Actualizaciones automáticas legítimas.
- Creación o modificación de child themes.
Pasos de investigación
Sección titulada «Pasos de investigación»-
Verificar legitimidad del tema: fuente oficial, licencia y versión.
-
Analizar el código en busca de llamadas externas:
Ventana de terminal grep -r "http://" wp-content/themes/[theme-name] -
Buscar ofuscación o ejecución sospechosa:
Ventana de terminal grep -r "base64_decode\|eval\|gzinflate" wp-content/themes/[theme-name] -
Comparar con la versión original del tema y validar checksums.
Mitigaciones recomendadas
Sección titulada «Mitigaciones recomendadas»=== “Inmediatas”
!!! danger "" - Revertir al tema anterior si se detecta comportamiento sospechoso. - Escanear el tema con herramientas de seguridad o antimalware. - Validar integridad de todos los archivos del tema activo. - Realizar un backup completo antes de cualquier modificación.=== “Preventivas”
!!! tip "" - Instalar únicamente temas de fuentes confiables y verificadas. - Evitar el uso de temas nulled o piratas. - Probar todos los cambios en un entorno de staging antes de producción. - Monitorizar modificaciones en `functions.php` y archivos del tema. - Usar child themes para personalizaciones seguras y trazables.Referencias
Sección titulada «Referencias»- Theme Security Guidelines – WordPress.org
- ThemeForest Malicious Code Check