¿Cómo están atacando mi sitio de WordPress?

¿Cómo están atacando mi sitio de WordPress? Este es otro módulo más de seguridad para wordpress, donde seguimos entendiendo los fundamentos para blindar nuestros sitios web, la lógica detrás de las medidas preventivas y las posibles consecuencias de no evitar este tipo de incidencias.
Normalmente hay dos etapas de un ataque en cualquier sitio web de destino. El primero es el reconocimiento, donde el robot o atacante humano está recopilando información sobre su sitio web. La segunda es la explotación, donde la información recopilada se utiliza para intentar obtener acceso al sitio web.

Reconocimiento (o ‘reconocimiento’)

Durante esta fase de recopilación de información, un atacante querrá aprender información útil sobre su sitio web que les permita saber qué vulnerabilidades pueden existir y que pueden explotar. Las dos cosas más importantes que quieren aprender es qué tipo de software está ejecutando su sitio web y cuáles son las versiones de ese software.

La razón por la que esto es útil es que hay muchas bases de datos disponibles en la Red que enumeran las versiones de software y las vulnerabilidades asociadas con cada una. Por ejemplo, si un pirata informático puede determinar que está ejecutando WordPress y que la versión de WordPress que está usando es 4.2.2, entonces saben que su sitio web tiene una vulnerabilidad crítica de scripts entre sitios que pueden explotar. Si ven que está ejecutando una versión más nueva, pueden ahorrar tiempo simplemente sin intentar explotar esa vulnerabilidad. También evitan la detección al no explotar las vulnerabilidades que no existen en su servidor.

Los piratas informáticos desean recopilar la mayor cantidad de información posible sobre su sitio web antes de intentar piratear, pero saber qué software está ejecutando y qué versión tiene de cada pieza de software es extremadamente valioso. Por esta razón, una de las cosas que hará un pirata informático al atacar un sitio web de WordPress es «enumerar» sus temas y complementos. Esto les da una lista de sus temas y complementos de WordPress junto con versiones para cada uno. De esta lista, pueden rápidamente hacer una referencia cruzada de su lista de exploits y determinar si vale la pena probar un exploit en uno de sus temas o complementos.

Al atacar un sitio de WordPress, también es útil saber qué otras instalaciones de WordPress tiene un sitio web. Es posible que haya realizado una copia de seguridad «perezosa» de su sitio simplemente haciendo una copia de todo su directorio de WordPress en un subdirectorio. Esto es accesible desde la web y cuando lo hace, por lo general no mantiene los archivos en el directorio de copia de seguridad. Esos archivos aún son ejecutables desde la web y pueden ser pirateados de la misma manera que cualquier instalación de WordPress está dirigida. Puede tener otros sitios de WordPress ejecutándose en subdirectorios que también son objetivos. Como parte del reconocimiento, un pirata informático intentará encontrar todas las instalaciones de WordPress en su sitio web.

Los sitios web de WordPress a menudo albergan software adicional como phpmyadmin que ayuda con la administración de la base de datos. Estas otras aplicaciones también son excelentes objetivos, especialmente si no se mantienen actualizadas con las últimas correcciones de seguridad. Por este motivo, un atacante intentará encontrar todos los demás programas que se estén ejecutando en su sitio, incluidos los números de versión.

Importante a tener en cuenta: saber qué software ejecuta su sitio web y su versión es extremadamente valioso para un atacante porque le proporciona una lista de objetivos para explotar. Hay servicios, incluido Wordfence, que pueden ayudar a ocultar su versión de software y que pueden ralentizar a un atacante. Sin embargo, el simple hecho de ocultar sus versiones de software se conoce como ‘seguridad a través de la oscuridad’, y no se debe confiar únicamente en él para proteger su sitio. La mejor manera de mantener seguro su sitio web es asegurarse de que no está ejecutando software vulnerable al ejecutar un sitio web bien mantenido.

Explotación

La explotación es el acto de hackear un sitio web. Cuando considera que hay grandes bases de datos de vulnerabilidades enumeradas por tipo de software y versión disponible en línea, y que éstas contienen detalles técnicos completos sobre cómo explotar una vulnerabilidad, la explotación parece ser la parte fácil de atacar un sitio. Encontrar sitios para atacar e identificar software vulnerable en el sitio que se puede explotar, la fase de reconocimiento, es la mayor parte del trabajo.

Cuando un sitio de WordPress es atacado, hay varios puntos de entrada principales o ‘vectores’ de ataque que se utilizan:

  • Su página de inicio de sesión: esta es la forma más común de ataque dirigido a WordPress. Aquí es donde tienen lugar la mayoría de los ataques de adivinación de contraseñas o ataques de «fuerza bruta». Los atacantes tienen robots automatizados que intentan adivinar la contraseña de su sitio web al intentar iniciar sesión en su página de inicio de sesión de WordPress repetidamente.
  • Código PHP en su sitio: esta es la segunda forma más común de ataque dirigido a WordPress. Los atacantes intentarán explotar las vulnerabilidades en el código PHP que se ejecuta en su sitio de WordPress. Esto incluye el código en el núcleo de WordPress, sus temas, sus complementos y cualquier otra aplicación que esté ejecutando. La forma en que se explota el código PHP es amplia y variada.
  • Escalamiento de privilegios: otro vector popular que un atacante podría usar es obtener acceso a su sitio usando una cuenta de usuario normal sin acceso privilegiado. Si tiene el registro habilitado en su sitio web, simplemente pueden registrarse para obtener una cuenta. La escalada de privilegios implica el uso del acceso otorgado por esa cuenta y una falla de software para obtener un mayor nivel de acceso como ‘admin’.
  • Aplicaciones web antiguas o no mantenidas: es posible que esté haciendo un gran trabajo al mantener su sitio web de WordPress seguro y, en este caso, un atacante buscará otras aplicaciones web antiguas y no mantenidas en su sitio web que sean vulnerables. Si pueden obtener acceso a través de estas aplicaciones, pueden modificar sus archivos de WordPress e infectar su sitio web, a pesar de que usted haya mantenido a WordPress seguro.
  • Servicio XMLRPC: este servicio puede permitir a un atacante realizar ataques de adivinación de contraseñas. Ha tenido otras vulnerabilidades en el pasado que permiten a los atacantes dirigirse a otros sitios web a través de su sitio. Sin embargo, es importante no deshabilitar este servicio o puede perder una funcionalidad importante del sitio.
  • Acceso a través de archivos temporales: al editar archivos en su sitio web con herramientas como ‘vim’, se pueden crear archivos temporales que contengan información de inicio de sesión confidencial. Por ejemplo, editar el archivo ‘wp-config.php’ puede crear un archivo temporal que contenga las credenciales de inicio de sesión de su base de datos que sea pública. Los atacantes buscan estos archivos con la esperanza de encontrar información sensible que les ayude a obtener acceso.
  • Archivos de configuración del repositorio de código fuente: las herramientas de control de fuente ‘git’ y ‘Subversion’ crean directorios y archivos que pueden contener información confidencial. Si deja estos archivos de acceso público, un atacante puede usar los datos de los archivos y directorios para obtener acceso a su sitio o para ayudarlo con el reconocimiento. También ha habido casos en los que el propietario de un sitio web almacenará su código fuente en GitHub u otro repositorio de acceso público y esta es una mina de oro para los atacantes que buscan información confidencial para ayudar con el reconocimiento o la explotación.
  • Ataques a través de alojamiento compartido: la mayoría de los planes de alojamiento de sitios web de bajo costo colocan sitios web en entornos compartidos. La seguridad en estos entornos varía y entre los servidores web de buena reputación es generalmente bueno. Sin embargo, puede estar en un entorno compartido donde es posible crear permisos en los archivos de su sitio web que le dan a otra persona en la misma máquina el acceso de ‘lectura’ o ‘lectura y escritura’ a esos archivos. Si esto ocurre y alguien que tiene acceso a su entorno compartido es malicioso, puede usar los permisos de «lectura» para leer archivos como su archivo ‘wp-config.php’ y obtener acceso a su base de datos y a todos sus datos de miembro. Pueden usar permisos de «escritura» para colocar códigos o archivos maliciosos en su sitio web, que luego se ejecutarán y les dará acceso completo a su sitio y sus datos.
  • Ataques a través del servidor web y el sistema operativo: sus permisos de archivo y código PHP pueden ser seguros, pero su propio servidor web puede tener vulnerabilidades que pueden ser explotadas, como la vulnerabilidad Heartbleed. También puede tener vulnerabilidades en el sistema operativo que aloja su servidor web y su sitio web, como la vulnerabilidad de ShellShock. En un entorno de alojamiento compartido o administrado, generalmente es responsabilidad de su proveedor de alojamiento mantener estos sistemas parcheados. Por lo general, usted no tiene acceso a parches ellos mismos. Sin embargo, si está ejecutando un sitio web auto hospedado en un proveedor como A2-Hosting, entonces es su responsabilidad y además de mantener todo su código PHP y aplicaciones web, debe asegurarse de que su sistema operativo y todos sus servicios sean seguros.

Importante a tener en cuenta: la cantidad de formas en que un atacante puede obtener acceso a su sitio web puede parecer abrumadora. No dejes que sea. Para ejecutar un sitio web seguro, asegúrese de conocer cada versión de cada software y servicio que se ejecuta en su sitio web. Luego, asegúrese de que no haya vulnerabilidades conocidas en su software y servicios manteniendo su sitio en buen estado y al día con las alertas y actualizaciones de seguridad más recientes.

Leer también: ¿Por qué están atacando mi sitio de WordPress? ; ¿Quién está atacando mi sitio de WordPress? ; Seguridad en wordpress, como prevenir ataques

This post is also available in: Español