18jun
20

WordPress hackeado en menos de 2 minutos

WordPress hackeado

¿A que asusta el titular?, pues lo peor es que es absolutamente cierto, y sino mira este vídeo para pegar un salto de la silla y comprobar que, con las herramientas adecuadas, cualquiera puede acceder a tu WordPress, extraer los usuarios registrados y, uno a uno, ir extrayendo las contraseñas en un ataque de fuerza bruta … 

¿A que acojona?

Si no quieres que te pase algo así ya sabes … 

  1. Contrata un buen proveedor de hosting especializado en WordPress
  2. Asegura la instalación de WordPress
  3. Mantén actualizado WordPress
  4. Haz copia de seguridad de WordPress, incluso en Dropbox
  5. Usa algún buen plugin de seguridad para WordPress
  6. Limita los intentos de acceso
  7. Contrata Vaultpress
  8. Aplica todas las medidas de seguridad en WordPress que conozcas

Avisado quedas de que no hay nada vulnerable – por si no lo sabías ya – y de que mantener WordPress al día, informándote de las actualizaciones de seguridad, es importante, sobre todo para sitios que afecten a tu negocio o al de un cliente.

Me hizo pasar un mal rato encontrar esto en HowToSpotter

Para saber más:

por en Seguridad, Tutoriales / Trucos, Wordpress.org Actualizaciones, backup, Contraseñas, Dropbox, Seguridad, Vaultpress
  • luis

    Se ve medio debil la contraseña usada.

  • Jose Ant

    Realmente acojonante…

  • byhanzo

    Para empezar decir que tanto la instalación de WordPress como el programa en sí son algo sospechosos.

    Lo que quiero decir con esto es que yo también puedo hacer un programa que simule que estoy atacando a una instalación de WordPress, simplemente que haga que parezca que lo estoy haciendo, de hecho ya he echo varios programas similares, no simulando un ataque a WordPress pero si para otros menesteres.

    Como prueba de ello es que en el vídeo se conecta a una IP privada (la de la red interna de su casa, me imagino que tendrá una instalación de WordPress local) y además no se ve que acceda a ningún directorio ni nada relacionado con WordPress, simplemente se limita a poner “http://192.168.1.109/wordpress” y por arte de magia le salen todos los usuarios de la base de datos (desconozco de que forma lo hace para que sin poner casi nada el programa lo haga sólito, dudoso cuanto menos).

    También decir que las contraseñas son de lo más débiles, similares al ya típico ”1234″. Además de que los ataques de fuerza bruta, que es método que emplea, se pueden hacer contra cualquier cosa o programa, no solo con WordPress. Contra estos ataques la única solución que hay es el tener contraseñas fuertes y seguras, simple y llanamente. O eso o, ya que se trata como en este caso de una aplicación web como lo es WordPress, limitar el número de intentos de acceso (o logins) a nuestro blog. Un buen plugin para esto último sería Login LockDown.

    De todas formas he visto en el blog del usuario que hace el ataque que en un futuro liberará el código del programa, será cuestión de examinarlo para poder confirmar si realmente puede hacer lo que muestra en el video.

    Con esto no digo que lo que hace sea mentira, simplemente lo pongo en duda.

    En definitiva, yo me preocuparía más por prevenir inyecciones SQL o ataques XSS, por ejemplo, que de defenderme de esto ya que los ataques por fuerza bruta son de sobra conocidos y hay mil formas de prevenirlos.

    Saludos!!!

  • byhanzo

    Para empezar decir que tanto la instalación de WordPress como el programa en sí son algo sospechosos.

    Lo que quiero decir con esto es que yo también puedo hacer un programa que simule que estoy atacando a una instalación de WordPress, simplemente que haga que parezca que lo estoy haciendo, de hecho ya he echo varios programas similares, no simulando un ataque a WordPress pero si para otros menesteres.

    Como prueba de ello es que en el vídeo se conecta a una IP privada (la de la red interna de su casa, me imagino que tendrá una instalación de WordPress local) y además no se ve que acceda a ningún directorio ni nada relacionado con WordPress, simplemente se limita a poner “http://192.168.1.109/wordpress” y por arte de magia le salen todos los usuarios de la base de datos (desconozco de que forma lo hace para que sin poner casi nada el programa lo haga sólito, dudoso cuanto menos).

    También decir que las contraseñas son de lo más débiles, similares al ya típico ”1234″. Además de que los ataques de fuerza bruta, que es método que emplea, se pueden hacer contra cualquier cosa o programa, no solo con WordPress. Contra estos ataques la única solución que hay es el tener contraseñas fuertes y seguras, simple y llanamente. O eso o, ya que se trata como en este caso de una aplicación web como lo es WordPress, limitar el número de intentos de acceso (o logins) a nuestro blog. Un buen plugin para esto último sería Login LockDown.

    De todas formas he visto en el blog del usuario que hace el ataque que en un futuro liberará el código del programa, será cuestión de examinarlo para poder confirmar si realmente puede hacer lo que muestra en el video.

    Con esto no digo que lo que hace sea mentira, simplemente lo pongo en duda.

    En definitiva, yo me preocuparía más por prevenir inyecciones SQL o ataques XSS, por ejemplo, que de defenderme de esto ya que los ataques por fuerza bruta son de sobra conocidos y hay mil formas de prevenirlos.

    Saludos!!!

    • http://fernandotellado.com Fernando

      Gracias por la información :)

  • http://skamasle.com Skamasle.

    Ni tan siquiera es un ataque de fuerza bruta, es un ataque de diccionario, si tu contraseña no esta en el diccionario usado no la sacarán nunca…

  • MarcosM

    Lástima que no pones la fuente de la información y del creador del programa. Es de un proyecto de seguridad que buscar ayudar a mejorar la seguridad de las instalaciones de WordPress… pero bueno, obviamente tampoco tiene idea de cómo funciona ni lo probaste, jaja.

    Cada vez peor Fernando.

    Saludos.

    • http://fernandotellado.com Fernando

      Cuando quieras haces tu un blog y nos ilustras. He puesto la fuente de donde he encontrado la noticia y la he compartido, resulta que como esto no lo paga el ayuntamiento hago lo que puedo y cuando puedo y como puedo.

      Espero tus aportaciones … más allá de las críticas

  • Mambo

    Te falto el tip 0, utilizar contraseñas seguras.
    Como se puede ver, es un ataque de diccionario, con una buena contraseña evitas esto.

  • http://www.samuelaguilera.com Samuel

    Coincido con los comentarios anteriores en cuanto a que parece muy dudoso que el vídeo este mostrando realmente un script de ataque. Como ya han comentado se hace sobre una IP de la máquina local, con lo que el script podría estar configurado seguramente para acceder al MySQL de la propia instalación.

    Y desde está también el tema, como dicen, de que lo que muestra el vídeo no es un ataque de fuerza bruta como dice Fernando sino de diccionario y de que las contraseñas usadas son de lo más simples (y algunas típicas como el “letmein”), de ahí que estén en el diccionario. Con contraseñas alfanuméricas y alternando mayúsculas y minúsculas, este tipo de ataque no tendría ningún éxito.Vamos, que suena bastante a pufo :-)

    La verdad Fernando, sin ánimo de ofender, este otro de esos artículos innecesariamente alarmistas que de vez en cuando nos regalas ;-)

  • http://www.facebook.com/mundocaco Carlos Martín

    Sin ánimo de menospreciar a Fernando que ha sido en ocaciones mi bilblia wordpress en español, decir que aunque tan solo ver el fondo rojo y el rolito de ‘miedito’ que tiene el video automáticamente me puse en duda, más allá del supuesto ataque.

    Personalmente a este post le hubiera dado otro giro para, si tengo dudas al respecto o tengo sorpresa sobre el video, compartir, aprender e intercambiar info, desde luego Fernando lleva tiempo haciendo una gran labor, pero como humanos que somos no tenemos la verdad absoluta y podemos tener alguna equivocación.

    Fernando sigue adelante, me gusta tu labor informativa.

  • http://www.facebook.com/mundocaco Carlos Martín

    Sin ánimo de menospreciar a Fernando que ha sido en ocaciones mi bilblia wordpress en español, decir que aunque tan solo ver el fondo rojo y el rolito de ‘miedito’ que tiene el video automáticamente me puse en duda, más allá del supuesto ataque.

    Personalmente a este post le hubiera dado otro giro para, si tengo dudas al respecto o tengo sorpresa sobre el video, compartir, aprender e intercambiar info, desde luego Fernando lleva tiempo haciendo una gran labor, pero como humanos que somos no tenemos la verdad absoluta y podemos tener alguna equivocación.

    Fernando sigue adelante, me gusta tu labor informativa.

  • ejner69

    Mis dudas respecto al post:
    1) Las contraseñas son demasiado fáciles.
    2) Al usuario “admin” no es capaz de extraer la contraseña. No es infalible y considerando lo demasiado fácil de las otras contraseñas, me atrevería a decir que con un par de simbolos no alfa-numericos asesinas al script.
    3) La conexión parece demasiado transparente. Demasiado diría yo.

    De cualquier forma, se aprecia que lo hayas compartido, ya que a más de alguno le servirá de lección y protegerá más su instalación.

  • byhanzo

    Por cierto, creo que Fernando ha echo bien en informarnos sobre esto. Yo, si no hubiera sido por él no me hubiera enterado de esto y no podríamos ahora estar debatiendo qué nos parece el “supuesto” ataque.

    Verdad es que este tipo de entradas a veces puede ser un tanto alarmistas pero en mi opinión Fernando solo la publicó para informarnos y ha echo bien en exponerlo y compartirlo con los demás para también poder verlo y examinarlo, además de para ponernos en alerta, ya que aunque este ataque fuera falso hay muchas y variadas maneras de atacar un blog y siempre tenemos que estar en alerta.

    En definitiva, no entiendo tanta critica hacia Fernando. Prefiero estar informado de todo antes de que se suprima información solo por el echo de que a alguien le parezca irrelevante o, como en este caso, alarmista.

    Saludos!!!

    • http://fernandotellado.com Fernando

      Si que es verdad que ahora en frío me quedó un pelín alarmista, pero es que no eran horas, y soy muy influenciable XD

  • http://victoredier.com Víctor Edier

    Si la aplicación es real o falsa no importa, creo que lo que debemos extraer de este artículo no es una vulnerabilidad específica, es el hecho que como administradores WP, esta en configurar la aplicación para evitar este tipo de ataques que son en un 90% culpa de la interfaz monitor-silla.

  • http://victoredier.com Víctor Edier

    Si la aplicación es real o falsa no importa, creo que lo que debemos extraer de este artículo no es una vulnerabilidad específica, es el hecho que como administradores WP, esta en configurar la aplicación para evitar este tipo de ataques que son en un 90% culpa de la interfaz monitor-silla.

  • http://www.serviweb.es posicionar web

    Realmente acojonante! Tengo 5 sitios en wordpress y realmente no había reparado en lo fácil que puede ser hackear un sitio con wordpress. Voy a tomar todas las precauciones del caso y seguir los consejos que apuntaís en este artículo, muchas gracias.

  • http://twitter.com/Mr_Rockmantico Mr_Rockmantico

    A esto habría que añadir el cambio continuo de nombre de login y contraseña para que sea dificil de identificar no? :S

  • Ale7381

    A mi me hicieron esto borraron mi usuario y cambiaron la pagina principal.