Ataque masivo de fuerza bruta contra miles de WordPress

Cómo prevenir ataques de fuerza bruta wordpress

Noticias recientes del mundo de la seguridad de WordPress es que una botnet de más de 20.000 sitios web WordPress comprometidos está siendo utilizada para atacar a otros sitios web WordPress. Estos sitios web se están arrastrando lentamente a través de la web y comprometiendo otros sitios, luego agregando esos sitios web a sus números de botnet.

Empecemos por decir esto. Probablemente existen redes de bots de WordPress más grandes y complejas. Normalmente, el seguimiento de estas redes de bots masivas es difícil y, según Defiant (propietaria de WordFence):

“Normalmente sería muy difícil rastrear los servidores C2 centrales que están detrás de todo. Tuvimos suerte, sin embargo, de que el atacante cometiera algunos errores en su implementación de los scripts de fuerza bruta”.

La botnet de +20.000 sitios web fue descubierta por investigadores de seguridad de Defiant, que publicaron un informe en WordFence.com. En la actualidad, muchos de los sitios web de esta botnet siguen activos, aunque Defiant está trabajando con las fuerzas de seguridad para ponerles freno.

El atacante está utilizando un grupo de sitios web comprometidos para alistar otros sitios web en la botnet. Al añadir los sitios comprometidos a la botnet, el atacante puede recopilar información, violar datos y seguir incorporando más y más sitios web a su campaña maliciosa. Cualquiera que posea uno de estos sitios web probablemente nunca se daría cuenta de que su sitio web está siendo utilizado para atacar a otros sitios web.

¿Se puede forzar WordPress?

Ser un líder de mercado tan fuerte convierte a WordPress en un objetivo atractivo para los atacantes. Un tipo de ataque popular es la fuerza bruta de contraseñas en sitios web de WordPress. Uno de los métodos que utilizan muchos hackers para acceder a un sitio de WordPress es lanzar un ataque de fuerza bruta.

  ¿Puedes o debes ocultar advertencias y errores de PHP en WordPress?

¿Está WordPress a salvo de los intentos de inicio de sesión por fuerza bruta?

Sí, todos los sistemas son vulnerables a los ataques de fuerza bruta. Debido a la forma en que funcionan, los ataques de fuerza bruta se pueden lanzar contra cualquier sistema con una página de inicio de sesión. Los sitios web de WordPress no son diferentes. La popularidad de WordPress lo convierte en un objetivo para los hackers.

¿Cuál de los siguientes plugins de WordPress ayuda a defenderse de los ataques de fuerza bruta?

iThemes Security le garantiza que puede empezar a proteger su sitio web de ataques de fuerza bruta en menos de diez minutos. Con este plugin, puede personalizar rápidamente su página de inicio de sesión con autenticación de dos factores y requisitos de contraseña.

WordPress ataque github

Aunque el hecho de que el malware se dirija a plugins obsoletos y contraseñas débiles no es particularmente sorprendente, Gramantik afirma que lo que hace interesante el ataque es el hecho de que la carga útil se inyecta a ciegas. Al parecer, PHP plagado de errores está corrompiendo archivos legítimos de WordPress, junto con archivos de temas y plugins que pertenecen al popular sistema de gestión de contenidos.

Los ataques parecen tener como objetivo XMLRPC.php, la misma biblioteca PHP que se utilizó para causar un ataque de denegación de servicio distribuido a gran escala en decenas de miles de sitios de WordPress a principios de este año.

Los ataques utilizan específicamente la función wp.getUsersBlogs de XMLRPC para enviar ataques de adivinación de contraseñas por fuerza bruta. El código publicado por Wesemann en el blog InfoSec Handlers Diary muestra claramente peticiones que intentan adivinar contraseñas (admin, admin123) en una instalación de WordPress atacada.

  Divi 2-5 aún mejor

Weseman continúa señalando que mirar los simples registros del servidor web HTTP no es el mejor indicador de estos ataques, ya que las peticiones son aprobadas por el servidor web y el mensaje XML que el servidor devuelve como carga útil incluye un mensaje anticipado ‘403 – No autorizado’.

Malcare

Muchos administradores de sitios ven cómo los recursos de sus servidores se agotan rápidamente, sus sitios dejan de responder o incluso se bloquean, provocando el bloqueo de los usuarios. El problema es que puede sentirse indefenso mientras los robots de fuerza bruta martillean la página de inicio de sesión, intentando acceder a su wp-admin.

Los ataques de fuerza bruta a WordPress son intentos de obtener acceso no autorizado a su wp-admin probando varias combinaciones de nombres de usuario y contraseñas. Los hackers han desarrollado bots para bombardear continuamente una página de inicio de sesión con credenciales sobre una base de ensayo y error.

A menudo, los bots prueban una serie de contraseñas de un diccionario y, por lo tanto, también se conocen como ataques de diccionario o ataques de adivinación de contraseñas. Los ataques pueden configurarse para que provengan de diferentes direcciones IP, y así eludir las medidas de seguridad básicas. Existen otros tipos de ataques de fuerza bruta, que trataremos más adelante en el artículo.

Experimentar un ataque de fuerza bruta da miedo, especialmente porque parece que no hay nada que puedas hacer para detenerlo. Además, los efectos de un ataque son inmediatamente visibles. La mayoría de los sitios tienen recursos de servidor limitados, que se agotan rápidamente, y a menudo un sitio atacado se bloquea por completo.

Wpforce

El ataque en sí no es sofisticado, según los expertos en seguridad, pero la posibilidad de que el ciberdelincuente detrás de la campaña pueda construir con éxito una gran red de bots es llamativa. Los ataques, identificados por la empresa de alojamiento web CloudFlare la semana pasada, han tenido éxito contra decenas de miles de sitios. El ataque de fuerza bruta utiliza una red de bots y una herramienta automatizada para romper las credenciales de la cuenta y obtener acceso a la cuenta de administrador de WordPress.

  Disfrutar tu sexualidad puede mejorar tu salud

WordPress ha dejado claro que no está emitiendo credenciales de cuenta por defecto, pero un alto porcentaje de individuos sigue utilizando “admin” como nombre de usuario, dijo HD Moore, el creador del popular marco de pruebas de penetración Metasploit y CSO en el proveedor de gestión de vulnerabilidades Rapid7. El uso generalizado de contraseñas débiles hace que el ataque sea fácil de llevar a cabo, dijo Moore.

Los ataques contra instalaciones de WordPress no son nuevos, y los ciberdelincuentes con motivaciones económicas suelen utilizar estas técnicas. Moore y otros expertos en seguridad descartan la fuerza de la red de bots creada por los ataques masivos. En su opinión, es más probable que el ataque sea obra de un individuo que intente llevar a cabo ataques drive-by, fraude por clic u otros ataques estándar con motivación económica.