Cómo proteger tu sitio de WordPress de posibles ataques

  • Autor Autor Krauzer
  • Fecha de inicio Fecha de inicio
Krauzer

Krauzer

Lambda
SEO
wordpress-hacked.jpg



Simplemente he quedado un poco "asustado" al ver esta pequeña nota en el sitio Ayuda WordPress en Español - Tutoriales, Themes, Trucos, Traducciones, Plugins y Actualidad en donde han publicado un video en donde una persona "X" usando la versión BackTrack 5 (Linux) y aplicar un par de comandos han logrado:

- Extraer los usuarios registrados
- Contraseñas de cada usuario

A través de un ataque de fuerza bruta, sólo miren y opinen:

[video=youtube;pRj3G12xFjU]http://www.youtube.com/watch?v=pRj3G12xFjU&feature=player_embedded[/video]

Vía: WordPress hackeado en menos de 2 minutos | Ayuda WordPress
 
Aunque no sé si Backtrack trae esta herramienta (wp-brute.rb, hecha en ruby claro), lo único que hace a simple vista es un ataque de fuerza bruta.
Twitter
 
Ya lo había visto en ayudawordpress y si esta de pensarle, aun que quizá sacar la lista de usuarios es fácil, pero las contraseñas que exponen ahí , son básicas a la hora de crackear algo ... letmein, password, etc..

Para romper una contraseña fuerte pueden tardar semanas o meses, o quizá nunca lo logren, por eso siempre usen passwords fuertes 😛
 
Angel Ortega dijo:
Ya lo había visto en ayudawordpress y si esta de pensarle, aun que quizá sacar la lista de usuarios es fácil, pero las contraseñas que exponen ahí , son básicas a la hora de crackear algo ... letmein, password, etc..

Para romper una contraseña fuerte pueden tardar semanas o meses, o quizá nunca lo logren, por eso siempre usen passwords fuertes 😛
Hacer clic para expandir...

Exacto, en realidad no hackean wordpress. hackean contraseñas que podrian tener usuarios estupidos. nadie va a tener su contraseña de admin tan facil, no?
 
Increíble aunque me sorprendió más que un usuario pusiera de password algo tan sencillo como password.
Aunque me quedo pensando que diccionario o complemento utilizarían para la fuerza bruta porque aún así lo sacan exageradamente rápido, digo, que yo sepa sacar un passw de 4-5 caracteres solo de letras le toma a una compu veloz 5-10 mins.
 
Giezzy dijo:
Increíble aunque me sorprendió más que un usuario pusiera de password algo tan sencillo como password.
Aunque me quedo pensando que diccionario o complemento utilizarían para la fuerza bruta porque aún así lo sacan exageradamente rápido, digo, que yo sepa sacar un passw de 4-5 caracteres solo de letras le toma a una compu veloz 5-10 mins.
Hacer clic para expandir...

Porque usó un diccionario, es decir, un archivo con contraseñas muy comunes.
 
Todo esta en agregar un limite de intentos de login por minuto 😉
 
yo en una ocasión encontré una herramienta online que con sólo seleccionar alguno de los scripts del sitio web permitía tumbar cualquier sitio... sin necesidad de fuerza bruta... pues sí, asusta un poco, pero entendemos que la mayoría de usuarios no se dedican a fastidiar a otros, que los servidores tienen sus propios sistemas de protección, y que wordpress tiene sus propios sistemas de defensa (actualizaciones, Enlace eliminado, cloudflare.com, firewall 2, etc)

lucioruiz dijo:
Todo esta en agregar un limite de intentos de login por minuto 😉
Hacer clic para expandir...

eso cómo se hace?
 
ramonjosegn dijo:
yo en una ocasión encontré una herramienta online que con sólo seleccionar alguno de los scripts del sitio web permitía tumbar cualquier sitio... sin necesidad de fuerza bruta... pues sí, asusta un poco, pero entendemos que la mayoría de usuarios no se dedican a fastidiar a otros, que los servidores tienen sus propios sistemas de protección, y que wordpress tiene sus propios sistemas de defensa (actualizaciones, Enlace eliminado, cloudflare.com, firewall 2, etc)



eso cómo se hace?
Hacer clic para expandir...

Este Plugin te realiza ese trabajo (WordPress › Login LockDown « WordPress Plugins) es bueno mi hermano una vez Banneo su IP porque intento entrar 3 veces con la contraseña incorrecta xD
 
ramonjosegn dijo:
yo en una ocasión encontré una herramienta online que con sólo seleccionar alguno de los scripts del sitio web permitía tumbar cualquier sitio... sin necesidad de fuerza bruta... pues sí, asusta un poco, pero entendemos que la mayoría de usuarios no se dedican a fastidiar a otros, que los servidores tienen sus propios sistemas de protección, y que wordpress tiene sus propios sistemas de defensa (actualizaciones, Enlace eliminado, cloudflare.com, firewall 2, etc)
Hacer clic para expandir...

Tampoco hace falta un programa para eso. Hay webs que tienen centenares de exploits para hackear diferentes SO's, CMS's, sistemas de BBDD, burlar firewalls,... solo hay que estar un "poco" metido en el mundillo porque esas webs (las buenas) no se encuentran buscando en google 😉

En el caso del video es algo que existe hace siglos, los ataques por diccionario no son algo específico de wordpress sino que se usa para todo. Aunque lo mejor es lo que decía antes, encontrar que versión usa y utilizar un exploit específico. Además, de poco sirve blindar wordpress con plugins de defensa cuando se puede hackear wordpress de otras dos formas:
- utilizando fallos de la BBDD, o de ssh, ftp, etc. (esto depende del hosting)
- utilizando fallos de los plugins o de las librerias que utilizan los plugins (esto último no se suele vigilar mucho...)
 
Pos yo ya vi el video... y no parece brute-force, parece ataque de diccionario. Y los passwords que encuentra son palabras de diccionario.

En fuerza bruta pruebas todas las posibles combinaciones de un número dado de caracteres: [a-zA-Z0-9]*8

En un ataque de diccionario, en un entorno controlado, cualquiera obtiene esos resultados en segundos, ¡porque el password está incluído en su wordlist!

O sea chavos.... eso que ven en el video es puro ilusionismo.
 
Sanchez Toledano dijo:
Pos yo ya vi el video... y no parece brute-force, parece ataque de diccionario. Y los passwords que encuentra son palabras de diccionario.

En fuerza bruta pruebas todas las posibles combinaciones de un número dado de caracteres: [a-zA-Z0-9]*8

En un ataque de diccionario, en un entorno controlado, cualquiera obtiene esos resultados en segundos, ¡porque el password está incluído en su wordlist!

O sea chavos.... eso que ven en el video es puro ilusionismo.
Hacer clic para expandir...

Sin contar si el Blog es de el mismo y coloco su contraseña en el diccionario xD
 
Asi es... no hay porqué espantarse un "hackeo" como ese cualquiera puede hacerlo. A como dijo Toledano no es más que un ataque de diccionario, porque Brute Force no es pero ni de chiste.
 
Está muy bueno el plugin Lockdown, no lo conocía. Voy a implementarlo.
 
Pero aquí el punto es que no solo Wordpress puede ser hackeado por fuerza bruta sino la mayoria de los servicios que utilizan clave, especialmente si esta es pequeña,
amigo no te asustes, siempre guarda respaldos y genera una clave dificil... saludos
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

sivar
Cómo proteger mi sitio web de posibles ataques
Respuestas
5
Visitas
355
ramonjosegn
ramonjosegn
C
Cómo proteger mi sitio web contra ataques DDos
Respuestas
3
Visitas
486
lgustavofarro
L
V
Tutorial: Cómo proteger Joomla 3 para protegerlo de posibles ataques de hackers
Respuestas
1
Visitas
2K
johnxp
J
DoctorPC
  • Cerrado
Cómo proteger tu sitio WordPress de hacks
2
Respuestas
22
Visitas
3K
DoctorPC
DoctorPC
cesar02
Ataques DDOS frecuentes: Cómo proteger mi sitio web?
2
Respuestas
30
Visitas
4K
MastX
MastX
Atrás
Arriba