Reventando WordPress charla de Toni Escamilla en WordPress Valencia.

Reventando WordPress con Toni Escamilla

Si el 25% de sitios en Internet que existen en la actualidad está creado y gestionado con WordPress eso lo convierte en el CMS más usado del mundo y por tanto en una golosina perfecta para los ciberdelincuentes que buscan las mil y una formas de acceder a estos sitios webs para hacer de las suyas.

Lo hacen a través de las múltiples vulnerabilidades que se conocen día sí, día también ya sea en el propio sistema, en plugins o themes ya que una gran cantidad de usuarios, sea por dejadez o desconocimiento, no actualizan a las nuevas versiones más robustas o no adoptan las medidas necesarias de seguridad y fortificación de su sitio web para impedir el acceso facilitando así la entrada de personas con malas intenciones y que su WordPress sea hackeado.

Aunque existen muchas técnicas para vulnerar instalaciones, sean de WordPress o cualquier otro sistema de gestión de contenidos, una de las más comunes y usadas son los ataques por fuerza bruta. Estos ataques consisten en el uso de robots informatizados o bots que tratan de conectar con el sitio probando diferentes combinaciones de usuarios y contraseñas en un corto periodo de tiempo provocando con ello dos cosas: el intento de entrar y con suerte conseguirlo y sobrecargar el servidor que aloja el sitio web por la cantidad de peticiones al mismo que hace cada uno de esos bots.

Para intentar entrar prueban una a una decenas, cientos, miles de combinaciones usando para ello bibliotecas con claves reales que se mueven por la red y en el mercado negro y que no son tan complicadas de conseguir. Así que ojo con tu contraseña, olvida el admin y el 12345 encarecidamente.

Si cualquiera de nosotros usamos una de esas contraseñas que se encuentran en alguna de las bibliotecas que circulan por ahí, puede ser tan solo cuestión de tiempo que nuestro sitio web caiga en las manos de esos ciberdelincuentes perdiendo así el control total del mismo o que se le inyecte un virus, se cambien las entradas/páginas y sus enlaces para apuntar a campañas de black SE.

Pero también puede pasar que pasemos a formar parte de una botnet que no es más que el conjunto de esos bots que se ejecutan de forma autónoma y automática para hacer el mal a más y más instalaciones o para cualquier otro tipo de ataque informático que tengan previsto pasando nuestra propia instalación a formar parte de esta lista de atacantes sin saberlo.

Así que los dos consejos básicos e imprescindibles de seguridad son: una contraseña fuerte y robusta que combine letras en mayúsculas y minúsculas, números y caracteres especiales y en segundo lugar mantener completamente actualizado el sitio web y estos consejos sirven para todo el mundo, independientemente de que se use WordPress o el resto de gestores de contenidos ya sea Joomla! Drupal, PrestaShop y demás.

Aunque esto es solo una muestra de los muchos ataques que puede sufrir un WordPress ya que hay una larga lista de peligros que forman parte de la cara B de Internet. Por este motivo es necesario saber que no hay mejor defensa que conocer los sistemas de ataque para poder protegernos mejor. Bajo esta filosofía Toni Escamilla (@toespar), estudiante de Ingeniería informática de la UPV, dinamizador de Hack&Beers Valencia, co-organizador de TechfestUPV, ofreció una charla en la comunidad WordPress Valencia bajo el título de ‘Reventando WordPress‘ cuyo vídeo y podcast está ya disponible en mi canal de ciberseguridad Palabra de hacker.

¿Cómo se ataca un WordPress?

La charla de Toni Escamilla es de tipo educativo y está estructurada con un carácter práctico para conocer los principales tipos de ataque que puede sufrir un WordPress desde el punto de vista del atacante y saber identificar así dichos peligros. La exposición está dividida en cuatro partes: 

  • Recopilación de información: activa y pasiva.
  • Técnicas de ataque al usuario: fuerza bruta, sniffing, keylogger, SQLi, XSS… 
  • Ataque al servidor.
  • Escenario semi-real con el planteamiento de tres hipotéticos asaltos: a un WordPress estándar, a un WordPress armario y a un WordPress previsor.

Notas: plugins nombrados en la charla Latch, Wordfence y SiteGuard WP Plugin.

Reventando WordPress charla de Toni Escamilla. Ring de boxeo tres ataques a un WordPress

Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

    ¿Quieres recibir todas las novedades por newsletter?

    Nombre

    Correo electrónico


    Información básica sobre Protección de datos. Responsable del tratamiento de datos: Yolanda Corral. Finalidad: Gestionar las suscripciones a la web para estar informados de nuevas publicaciones y novedades. Legitimación: Contar con el consentimiento expreso del interesado. Destinatarios: Yolanda Corral como encargada del tratamiento de datos, adoptando las necesarias medidas de seguridad y confidencialidad. Los datos que me facilites estarán ubicados en los servidores de Raiola Networks, ubicados en la UE cuyo nivel de protección son adecuados según la Comisión de la UE. Derechos: Tienes derecho de información, a acceder, rectificar, limitar y cancelar tus datos tal y como puedes ver detalladamente en la política de privacidad de esta web así como en el aviso legal.

    AVISO LEGAL - PRIVACIDAD - COOKIES

    { «@context»: «https://schema.org», «@type»: «VideoObject», «name»: «Reventando WordPress», «@id»: «https://www.yolandacorral.com/reventando-wordpress-con-toni-escamilla/#videoobject», «datePublished»: «2016-01-29», «description»: «Reventando WordPress desde el punto de vista del atacante porque no hay mejor defensa que conocer los sistemas de ataque para poder proteger mejor una web. Una charla de Toni Escamilla ofrecida en la comunidad WordPress Valencia para hacer páginas web mucho más seguras.», «thumbnailUrl»: «https://www.yolandacorral.com/wp-content/uploads/Reventando-WordPress-charla-Toni-Escamilla-WordPress-Valencia-canal-Palabra-de-hacker.jpg», «uploadDate»: «2016-01-29», «duration»: «PT1H29M45S», «publisher»: { «@type»: «Organization», «name»: «Palabra de hacker by Yolanda Corral», «logo»: { «@type»: «ImageObject», «url»: «https://www.yolandacorral.com/wp-content/uploads/Logo-Palabra-de-hacker-ciberseguridad-de-tu-a-tu.png», «width»: 60, «height»: 60 } }, «embedUrl»: «https://youtu.be/PTahbWzrouM» }

    ¡Deja tu comentario! Tu correo electrónico no será publicado.

    Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.