Reventando WordPress con Toni Escamilla
enero 29, 2016
0

Si el 25% de sitios en Internet que existen en la actualidad está creado y gestionado con WordPress eso lo convierte en el CMS más usado del mundo y por tanto en una golosina perfecta para los ciberdelincuentes que buscan las mil y una formas de acceder a estos sitios webs para hacer de las suyas. Lo hacen a través de las múltiples vulnerabilidades que se conocen día sí, día también ya sea en el propio sistema, en plugins o themes ya que una gran cantidad de usuarios, sea por dejadez o desconocimiento, no actualizan a las nuevas versiones más robustas o no adoptan las medidas necesarias de seguridad y fortificación de su sitio web para impedir el acceso facilitando así la entrada de personas con malas intenciones y que su WordPress sea hackeado. 

Aunque existen muchas técnicas para vulnerar instalaciones, sean de WordPress o cualquier otro sistema de gestión de contenidos, una de las más comunes y usadas son los ataques por fuerza bruta. Estos ataques consisten en el uso de robots informatizados o bots que tratan de conectar con el sitio probando diferentes combinaciones de usuarios y contraseñas en un corto periodo de tiempo provocando con ello dos cosas: el intento de entrar y con suerte conseguirlo y sobrecargar el servidor que aloja el sitio web por la cantidad de peticiones al mismo que hace cada uno de esos bots. Para intentar entrar prueban una a una decenas, cientos, miles de combinaciones usando para ello bibliotecas con claves reales que se mueven por la red y en el mercado negro y que no son tan complicadas de conseguir. Así que ojo con tu contraseña, olvida el admin y el 12345 encarecidamente.

Si cualquiera de nosotros usamos una de esas contraseñas que se encuentran en alguna de las bibliotecas que circulan por ahí, puede ser tan solo cuestión de tiempo que nuestro sitio web caiga en las manos de esos ciberdelincuentes perdiendo así el control total del mismo o que se le inyecte un virus, se cambien las entradas/páginas y sus enlaces para apuntar a campañas de black SEO o que pasemos a formar parte de una botnet que no es más que el conjunto de esos bots que se ejecutan de forma autónoma y automática para hacer el mal a más y más instalaciones o para cualquier otro tipo de ataque informático que tengan previsto pasando nuestra propia instalación a formar parte de esta lista de atacantes sin saberlo. Así que los dos consejos básicos e imprescindibles de seguridad son: una contraseña fuerte y robusta que combine letras en mayúsculas y minúsculas, números y caracteres especiales y en segundo lugar mantener completamente actualizado el sitio web y estos consejos sirven para todo el mundo, independientemente de que se use WordPress o el resto de gestores de contenidos ya sea Joomla! Drupal, PrestaShop y demás.

Aunque esto es solo una muestra de los muchos ataques que puede sufrir un WordPress ya que hay una larga lista de peligros que forman parte de la cara B de Internet. Por este motivo es necesario saber que no hay mejor defensa que conocer los sistemas de ataque para poder protegernos mejor. Bajo esta filosofía Toni Escamilla (@toespar), estudiante de Ingeniería informática de la UPV, dinamizador de Hack&Beers Valencia, co-organizador de TechfestUPV y creador de Hackinfo, ofreció una charla en la comunidad WordPress Valencia bajo el título de "Reventando WordPress" cuyo vídeo y podcast está ya disponible en mi canal de ciberseguridad Palabra de hacker

 

¿Cómo se ataca un WordPress?

La charla de Toni Escamilla es de tipo educativo y está estructurada con un carácter práctico para conocer los principales tipos de ataque que puede sufrir un WordPress desde el punto de vista del atacante y saber identificar así dichos peligros. La exposición está dividida en cuatro partes: 

  • Recopilación de información: activa y pasiva.
  • Técnicas de ataque al usuario: fuerza bruta, sniffing, keylogger, SQLi, XSS... 
  • Ataque al servidor.
  • Escenario semi-real con el planteamiento de tres hipotéticos asaltos: a un WordPress estándar, a un WordPress armario y a un WordPress previsor.

Notas: plugins nombrados en la charla Latch, Wordfence y SiteGuard WP Plugin.

 

Reventando WordPress charla de Toni Escamilla. Ring de boxeo tres ataques a un WordPress

 

¿Te ha gustado? Déjame abajo tu comentario y comparte la entrada, el vídeo o el podcast para que otros también puedan disfrutarlo. ¡Gracias!

Vídeo

Podcast

¿Te unes al conocimiento innovador para recibir mis novedades por newsletter?

Nombre

Correo electrónico

He leído la Política de Privacidad y acepto expresamente los términos y condiciones.

AVISO LEGAL - PRIVACIDAD - COOKIES

¿Te gustaría seguir el blog por correo electrónico?

Si deseas recibir notificaciones al instante de las nuevas entradas en tu correo, aquí puedes hacerlo. Al hacer clic en el botón "Seguir" declaras expresamente que has leído y aceptas la Política de Privacidad y el Aviso legal de mi web.

Yolanda Corral
Licenciada en Periodismo, especializada en televisión, YouTube, redes sociales y contenidos online con un ojo puesto en la seguridad digital. Máster en Community Management y redes sociales en la empresa. Fundadora de las jornadas de Seguridad Informática PaellaCON y dinamizadora de Hack&Beers Valencia. Fundadora del canal divulgativo HangoutNEO y del canal especializado en ciberseguridad Palabra de hacker.

Curiosa por naturaleza, apasionada de la comunicación, abanderada de la educación, la transformación digital y la seguridad digital, amante del social media y coleccionista de momentos. Puedo ayudarte a conectarte a ti o a tu negocio con el mundo a través de la combinación YouTube y los medios sociales = YoComunico/Comunicamos y trabajar contigo como formadora y presentadora de eventos presenciales y online. Mi nick digital es yocomu. ¡Búscame en las redes!
Yolanda Corral on GoogleYolanda Corral on InstagramYolanda Corral on LinkedinYolanda Corral on TwitterYolanda Corral on Youtube

Déjame un comentario. ¡Gracias!