Si el 25% de sitios en Internet que existen en la actualidad está creado y gestionado con WordPress eso lo convierte en el CMS más usado del mundo y por tanto en una golosina perfecta para los ciberdelincuentes que buscan las mil y una formas de acceder a estos sitios webs para hacer de las suyas.
Lo hacen a través de las múltiples vulnerabilidades que se conocen día sí, día también ya sea en el propio sistema, en plugins o themes ya que una gran cantidad de usuarios, sea por dejadez o desconocimiento, no actualizan a las nuevas versiones más robustas o no adoptan las medidas necesarias de seguridad y fortificación de su sitio web para impedir el acceso facilitando así la entrada de personas con malas intenciones y que su WordPress sea hackeado.
Aunque existen muchas técnicas para vulnerar instalaciones, sean de WordPress o cualquier otro sistema de gestión de contenidos, una de las más comunes y usadas son los ataques por fuerza bruta. Estos ataques consisten en el uso de robots informatizados o bots que tratan de conectar con el sitio probando diferentes combinaciones de usuarios y contraseñas en un corto periodo de tiempo provocando con ello dos cosas: el intento de entrar y con suerte conseguirlo y sobrecargar el servidor que aloja el sitio web por la cantidad de peticiones al mismo que hace cada uno de esos bots.
Para intentar entrar prueban una a una decenas, cientos, miles de combinaciones usando para ello bibliotecas con claves reales que se mueven por la red y en el mercado negro y que no son tan complicadas de conseguir. Así que ojo con tu contraseña, olvida el admin y el 12345 encarecidamente.
Si cualquiera de nosotros usamos una de esas contraseñas que se encuentran en alguna de las bibliotecas que circulan por ahí, puede ser tan solo cuestión de tiempo que nuestro sitio web caiga en las manos de esos ciberdelincuentes perdiendo así el control total del mismo o que se le inyecte un virus, se cambien las entradas/páginas y sus enlaces para apuntar a campañas de black SE.
Pero también puede pasar que pasemos a formar parte de una botnet que no es más que el conjunto de esos bots que se ejecutan de forma autónoma y automática para hacer el mal a más y más instalaciones o para cualquier otro tipo de ataque informático que tengan previsto pasando nuestra propia instalación a formar parte de esta lista de atacantes sin saberlo.
Así que los dos consejos básicos e imprescindibles de seguridad son: una contraseña fuerte y robusta que combine letras en mayúsculas y minúsculas, números y caracteres especiales y en segundo lugar mantener completamente actualizado el sitio web y estos consejos sirven para todo el mundo, independientemente de que se use WordPress o el resto de gestores de contenidos ya sea Joomla! Drupal, PrestaShop y demás.
Aunque esto es solo una muestra de los muchos ataques que puede sufrir un WordPress ya que hay una larga lista de peligros que forman parte de la cara B de Internet. Por este motivo es necesario saber que no hay mejor defensa que conocer los sistemas de ataque para poder protegernos mejor. Bajo esta filosofía Toni Escamilla (@toespar), estudiante de Ingeniería informática de la UPV, dinamizador de Hack&Beers Valencia, co-organizador de TechfestUPV, ofreció una charla en la comunidad WordPress Valencia bajo el título de ‘Reventando WordPress‘ cuyo vídeo y podcast está ya disponible en mi canal de ciberseguridad Palabra de hacker.
¿Cómo se ataca un WordPress?
La charla de Toni Escamilla es de tipo educativo y está estructurada con un carácter práctico para conocer los principales tipos de ataque que puede sufrir un WordPress desde el punto de vista del atacante y saber identificar así dichos peligros. La exposición está dividida en cuatro partes:
- Recopilación de información: activa y pasiva.
- Técnicas de ataque al usuario: fuerza bruta, sniffing, keylogger, SQLi, XSS…
- Ataque al servidor.
- Escenario semi-real con el planteamiento de tres hipotéticos asaltos: a un WordPress estándar, a un WordPress armario y a un WordPress previsor.
Notas: plugins nombrados en la charla Latch, Wordfence y SiteGuard WP Plugin.
Si te ha gustado puedes dejarme abajo un comentario y compartir la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!
Vídeo
Podcast
Periodista y formadora especializada en ciberseguridad de tú a tú y competencias digitales. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker. Autora del libro «Ciberseguridad de tú a tú. Lo que tienes que conocer para sentirte más seguro» de la editorial 0xWord. Si quieres adquirir un ejemplar del libro y que te lo envíe firmado, escríbeme.
Me defino curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación y amante del social media. Soy la profesional que te puede ayudar a mejorar tu seguridad digital, tu identidad digital y tus competencias digitales así que ¡lánzame un reto!