Reventando WordPress con Toni Escamilla
enero 29, 2016
0

Si el 25% de sitios en Internet que existen en la actualidad está creado y gestionado con WordPress eso lo convierte en el CMS más usado del mundo y por tanto en una golosina perfecta para los ciberdelincuentes que buscan las mil y una formas de acceder a estos sitios webs para hacer de las suyas. Lo hacen a través de las múltiples vulnerabilidades que se conocen día sí, día también ya sea en el propio sistema, en plugins o themes ya que una gran cantidad de usuarios, sea por dejadez o desconocimiento, no actualizan a las nuevas versiones más robustas o no adoptan las medidas necesarias de seguridad y fortificación de su sitio web para impedir el acceso facilitando así la entrada de personas con malas intenciones y que su WordPress sea hackeado.

Aunque existen muchas técnicas para vulnerar instalaciones, sean de WordPress o cualquier otro sistema de gestión de contenidos, una de las más comunes y usadas son los ataques por fuerza bruta. Estos ataques consisten en el uso de robots informatizados o bots que tratan de conectar con el sitio probando diferentes combinaciones de usuarios y contraseñas en un corto periodo de tiempo provocando con ello dos cosas: el intento de entrar y con suerte conseguirlo y sobrecargar el servidor que aloja el sitio web por la cantidad de peticiones al mismo que hace cada uno de esos bots. Para intentar entrar prueban una a una decenas, cientos, miles de combinaciones usando para ello bibliotecas con claves reales que se mueven por la red y en el mercado negro y que no son tan complicadas de conseguir. Así que ojo con tu contraseña, olvida el admin y el 12345 encarecidamente.

Si cualquiera de nosotros usamos una de esas contraseñas que se encuentran en alguna de las bibliotecas que circulan por ahí, puede ser tan solo cuestión de tiempo que nuestro sitio web caiga en las manos de esos ciberdelincuentes perdiendo así el control total del mismo o que se le inyecte un virus, se cambien las entradas/páginas y sus enlaces para apuntar a campañas de black SEO o que pasemos a formar parte de una botnet que no es más que el conjunto de esos bots que se ejecutan de forma autónoma y automática para hacer el mal a más y más instalaciones o para cualquier otro tipo de ataque informático que tengan previsto pasando nuestra propia instalación a formar parte de esta lista de atacantes sin saberlo. Así que los dos consejos básicos e imprescindibles de seguridad son: una contraseña fuerte y robusta que combine letras en mayúsculas y minúsculas, números y caracteres especiales y en segundo lugar mantener completamente actualizado el sitio web y estos consejos sirven para todo el mundo, independientemente de que se use WordPress o el resto de gestores de contenidos ya sea Joomla! Drupal, PrestaShop y demás.

Aunque esto es solo una muestra de los muchos ataques que puede sufrir un WordPress ya que hay una larga lista de peligros que forman parte de la cara B de Internet. Por este motivo es necesario saber que no hay mejor defensa que conocer los sistemas de ataque para poder protegernos mejor. Bajo esta filosofía Toni Escamilla (@toespar), estudiante de Ingeniería informática de la UPV, dinamizador de Hack&Beers Valencia, co-organizador de TechfestUPV, ofreció una charla en la comunidad WordPress Valencia bajo el título de "Reventando WordPress" cuyo vídeo y podcast está ya disponible en mi canal de ciberseguridad Palabra de hacker.

¿Cómo se ataca un WordPress?

La charla de Toni Escamilla es de tipo educativo y está estructurada con un carácter práctico para conocer los principales tipos de ataque que puede sufrir un WordPress desde el punto de vista del atacante y saber identificar así dichos peligros. La exposición está dividida en cuatro partes: 

  • Recopilación de información: activa y pasiva.
  • Técnicas de ataque al usuario: fuerza bruta, sniffing, keylogger, SQLi, XSS... 
  • Ataque al servidor.
  • Escenario semi-real con el planteamiento de tres hipotéticos asaltos: a un WordPress estándar, a un WordPress armario y a un WordPress previsor.

Notas: plugins nombrados en la charla Latch, Wordfence y SiteGuard WP Plugin.

 

Reventando WordPress charla de Toni Escamilla. Ring de boxeo tres ataques a un WordPress

 

¿Te ha gustado? Déjame abajo tu comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad de la web. Acepto expresamente los términos y condiciones y consiento el tratamiento de mis datos personales.

Información básica sobre Protección de datos.

Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Soy licenciada en Periodismo especializada en TICs, ciberseguridad, YouTube, redes sociales y contenidos online. Cuento con un máster en Community Management y siempre estoy en continuo aprendizaje. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Como formadora imparto talleres y doy charlas sobre seguridad digital, TICs, redes sociales, YouTube, LinkedIn, marca personal, empleo 2.0, alfabetización digital, marketing de contenidos... Dime qué necesitas y lo doy todo. ¡Conectemos en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario pero antes debes atender a esta información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar y moderar los comentarios realizados en la web. Legitimación: Contar con tu consentimiento expreso. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y suprimir tus datos tal y como puedes ver detalladamente en la Política de privacidad de esta web así como en el aviso legal. ¡Gracias!

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.