WordPress: El objetivo más atacado por los ciberdelicuentes
Como continuación al grandísimo artículo publicado hace unos días por José Ramón 🐝 López, donde nos explicaba qué hacía él cuando diseñaba un sitio web con WordPress para sus clientes, para conseguir hacer sus web más seguras, me permito escribir este "anexo", donde "veréis" un poco más de cerca un ataque real, realizado hace algunas semanas.
WordPress es el gestor de contenidos (CMS en inglés) con más presencia en el mercado, y por tanto es el CMS con más webs, siendo además el más utilizado por particulares y PYMES principalmente, y muchas grandes empresas también por supuesto, lo que lo convierte en el objetivo más desado por los ciberdelicuentes, siendo utilizado para realizar otros ataques, y lógicamente tambien para el robo de información privilegiada y credenciales de acceso a bancos y organismos oficiales, entre otros muchos, de las webs comprometidas.
De esto se deduce, que WordPress es probablemente el sitio más atacado diariamente en todo el mundo.
Pero, ¿cómo lo hacen? (esto no es "Discovery Channel", pero intentaré haceros un breve esbozo).
A medida que pasan los años crecen las tecnologías utilizadas por los desarrolladores de software para construir o mejorar sus creaciones. Pero a su vez, crecen las vulnerabilidades que tienen estas tecnologías y los ciberdelincuentes sacan provecho de esto para llevar a cabo sus ataques.
Gran cantidad de usuarios que desarrollan sitios web utilizan aplicaciones conocidas como sistemas de gestión de contenidos (CMS, en inglés). Entre los más conocidos podríamos nombrar a Blogger, Drupal, Joomla y WordPress, este último quizá el más usado y, por tanto, el más atacado también. Esto no quiere decir que WordPress sea más vulnerable o inseguro a la hora de elegir un CMS; de hecho, muchos de los puntos débiles en esta plataforma resultan ser los complementos que se instalan en ella.
¿Cuál es el impacto de un sitio comprometido?
Desde cualquier punto de vista un sitio comprometido tiene un impacto negativo. Por el lado del dueño o desarrollador es una cuestión grave, ya que un atacante lograría el acceso total a los archivos y datos, y podría abusar del hosting para alojar malware y/o phishing. Una vez que el atacante comienza a propagar estas amenazas, el sitio seguramente comience a ser bloqueado o catalogado como malicioso, e ingresará a una lista negra compuesta por sitios con mala reputación. Sin dudas, esto sería muy dañino para el negocio en el que esté involucrado, el cual estaría perdiendo tanto dinero como visitas.
Un caso real
Hace unos días se empezaron a recibir falsos correos del Poder Judicial de Chile, notificando al receptor que posee deudas debido a una supuesta infracción de tráfico; como consecuencia, se invita al usuario a acceder a un enlace para ver la imagen del momento de la infracción. En el detalle del enlace podemos observar que el sitio de donde se descarga la amenaza es un WordPress que en algún momento fue comprometido (o que sigue estándolo todavía).
Resulta un beneficio para los atacantes que estos sistemas tengan grietas de seguridad, ya que se evitan el trabajo de contratar un hosting y que los investigadores puedan dar con él.
Después de descargar la amenaza, se observa de que se trata de un JavaScript malicioso. Analizando el archivo también se puede apreciar que el script tiene como fin descargar dos archivos, un ejecutable (EXE) y un comprimido (ZIP). No se puede obviar que estos dos nuevos archivos iban a provenir de otro sitio web que también contiene WordPress implementado.
Como podéis ver, resulta un objetivo fácil para los ciberdelincuentes atacar este tipo de CMS y obtener alguna ventaja de ellos. En este caso real lograron algún tipo de acceso a través de una vulnerabilidad, que les permitió alojar archivos en el servidor web.
Al obtener los dos archivos que el JavaScript intenta descargar, confirmamos de que se trata de un ejecutable y un comprimido. Analizando el primero observamos que es un archivo 7-Zip, un software para comprimir y descomprimir archivos. Si volvemos a observar el JavaScript, vemos que en la línea 38 se encuentra la password que protege al ZIP, y en la línea 40 el comando con los argumentos y parámetros para descomprimirlo.
Tal como se ve en la siguiente captura, obtuvimos un ejecutable, detectado como Win32/Spy.Banker por el antivirus, y que tal y como su código describe, es un malware encargado de robar credenciales bancarias.
Conclusión
Existen muchos y variados casos como el que acabamos de ver, porque sigue habiendo malas implementaciones; además, no hay un consentimiento sobre la seguridad de la información en las aplicaciones que utilizamos, ya sea para ocio, o para nuestro negocio. Por tales motivos, es crucial que nos mantengamos actualizados e informados (en la medida de lo posible), respecto a las amenazas y vulnerabilidades que podrían afectarnos, para luego tomar las precauciones necesarias e instalar los parches de seguridad.
Algunas de las recomendaciones que podemos mencionar a la hora de contar con WordPress, que son habitualmente las mismas para casi todo, son:
- Actualizar WordPress, complementos y temas.
Referencias:
http://www.elladodelmal.com/2016/02/hackear-un-wordpress-con-network-packet.html
https://www.lifestylealcuadrado.com/seguridad-en-wordpress/
https://ayudawp.com/ataque-masivo-de-fuerza-bruta-contra-wordpress-estas-preparado/
https://raiolanetworks.es/blog/los-5-mejores-plugins-de-seguridad-para-wordpress/
https://www.ciudadano2cero.com/guia-seguridad-wordpress/
http://www.elladodelmal.com/2013/12/fortificar-wordpress-frente-ataques-de.html
http://inetweb.es/4-tipos-de-ataques-que-sufre-wordpress/
http://memoriasdeunsysadmin.info/wordpress-y-los-ataques-xmlrpc/
https://codex.wordpress.org/FAQ_My_site_was_hacked
Artículos de Fran 🐝 Brizzolis
Ver blogHola abejas, estos días me costaba bastante encontrar un tema sobre el que escribir, y que no me hic ...
¡Hola abejas! · Como habréis podido observar, estoy más ausente que de costumbre últimamente, y os q ...
La seguridad de la información está cada día entrando, poco a poco en la pequeña y mediana empresa. ...
Puede que te interesen estos puestos de trabajo
-
Desarrollador/a en Wordpress
Encontrado en: Talent ES C2 - hace 1 hora
neozink Asturias, EspañaRequisitos · Experiencia en entorno Wordpress y CMS comerciales. · Conocimiento de PHP, HTML, JS y CSS. · Desarrollo de temas y plugin a medida con Wordpress. · Capacidad de adaptar diseños a formato responsive. · Experiencia en entorno Divi. · Se valorará positivamente · Experi ...
-
Crear un nuevo sitio web de un comercio electrónico con pagos con plataforma wordpress
Encontrado en: Cronoshare ES C2 - hace 6 días
Cronoshare Martorell (Barcelona), EspañaHola, querría presupuesto para web wordpress para dropshipping en aliexpress y posterior posicionamiento y promoción¿Qué se solicita realizar? · Crear un nuevo sitio web · ¿Qué tipo de sitio web tiene / le gustaría tener? · Comercio electrónico con pagos · Plataforma de sitio web ...
-
Desarrollador/a de Wordpress
Encontrado en: beBee Professionals - hace 2 días
Aplicar directamente
beBee Professionals Palma de Mallorca, España Desarrolladores FreelancebeBee Professionals está buscando un/a Desarrollador/a de Wordpress para unirse a su equipo en Palma de Mallorca. Estamos buscando a alguien con una pasión por la tecnología y la creatividad para ayudarnos a construir y mantener nuestras plataformas de Wordpress. · Como Desarroll ...
Comentarios
Fran 🐝 Brizzolis
hace 7 años #2
Gracias es lo que intento como buenamente creo que debo hacerlo... Pero por aqui hay gente en la sombra que sabe mucho mas que yo... Te lo puefo asegurar.
Fran 🐝 Brizzolis
hace 7 años #1
El aprendizaje es siempre del alumno... Y de su voluntad... Yo no pretendo enseñar pero si compartir todo aquello que considero cierto y bueno...