Video: Wordpress es muy vulnerable (hackeando wordpress con 3 herramientas) (Noviembre 2024)
Miles de sitios de WordPress y Joomla están siendo atacados por una gran botnet de contraseñas de fuerza bruta. Los administradores deben asegurarse de tener contraseñas seguras y nombres de usuario únicos para sus instalaciones de WordPress y Joomla.
En los últimos días, los perpetradores han intensificado significativamente los intentos de inicio de sesión basados en diccionarios por fuerza bruta contra los blogs de WordPress y los sitios de Joomla, según informes de CloudFlare, HostGator y varias otras compañías. El ataque busca nombres de cuenta comunes, como "admin", en el sitio e intenta sistemáticamente contraseñas comunes para entrar en el registro.
Los administradores no quieren que alguien interrumpa el acceso a sus sitios, ya que ese atacante podría dañar el sitio o incrustar código malicioso para infectar a otras personas con malware. Sin embargo, la naturaleza organizada del ataque y su operación a gran escala implica objetivos aún más siniestros. Parece probable que los atacantes estén intentando establecerse en el servidor para que puedan encontrar una manera de hacerse cargo de toda la máquina. Los servidores web son generalmente más potentes y tienen un mayor ancho de banda que las computadoras domésticas, lo que los convierte en objetivos atractivos.
"El atacante está utilizando una botnet relativamente débil de PC domésticas para construir una botnet mucho más grande de servidores robustos en preparación para un ataque futuro", escribió Matthew Prince, CEO de CloudFlare, en el blog de la compañía.
La botnet Brobot, que los investigadores creen que estuvo detrás de los ataques masivos de denegación de servicio contra las instituciones financieras de EE. UU. A partir del otoño pasado, está compuesta por servidores web comprometidos. "Estas máquinas más grandes pueden causar mucho más daño en los ataques DDoS porque los servidores tienen conexiones de red grandes y son capaces de generar cantidades significativas de tráfico", dijo Prince.
Cuentas de fuerza bruta
Los atacantes están utilizando tácticas de fuerza bruta para entrar en las cuentas de usuario de los sitios de WordPress y Joomla. Los cinco nombres de usuario principales a los que se dirige son "admin", "test", "administrador", "Admin" y "root". En un ataque de fuerza bruta, los perpetradores prueban sistemáticamente todas las combinaciones posibles hasta que inician sesión con éxito en la cuenta. Es más fácil adivinar y descubrir contraseñas simples, como secuencias de números y palabras de diccionario, y una botnet automatiza todo el proceso. Las cinco contraseñas principales que se intentan en este ataque son "admin", "123456", "111111", "666666" y "12345678".
Si está utilizando un nombre de usuario común o una contraseña común, cámbiela inmediatamente a algo menos obvio.
"Haz esto y estarás por delante del 99 por ciento de los sitios y probablemente nunca tendrás un problema", escribió Matt Mullenweg, creador de WordPress, en su blog.
Aumento del volumen de ataque
Las estadísticas de Sucuri indican que los ataques están aumentando. La compañía bloqueó 678, 519 intentos de inicio de sesión en diciembre, seguido de 1, 252, 308 intentos de inicio de sesión bloqueados en enero, 1, 034, 323 intentos de inicio de sesión en febrero y 950, 389 intentos en marzo, Daniel Cid, CTO de Sucuri, en el blog de la compañía. Sin embargo, en los primeros 10 días de abril, Sucuri ya ha bloqueado 774, 104 intentos de inicio de sesión, dijo Cid. Ese es un salto significativo, pasando de 30 mil a 40 mil ataques por día a aproximadamente 77, 000 por día en promedio, y ha habido días este mes en los que los ataques superaron los 100, 000 por día, dijo Sucuri.
"En estos casos, por el simple hecho de tener un nombre de usuario que no sea administrador / administrador / raíz, automáticamente queda fuera de la ejecución", dijo Cid, antes de agregar, "lo cual es bastante bueno en realidad".
Indicios de una gran botnet
El volumen de ataque es una pista del tamaño de la botnet. HostGator estimó que al menos 90, 000 computadoras están involucradas en este ataque, y CloudFlare cree que se están utilizando "más de decenas de miles de direcciones IP únicas".
Una botnet está formada por computadoras comprometidas que reciben instrucciones de uno o más servidores centralizados de comando y control y ejecutan esos comandos. En su mayor parte, estas computadoras han sido infectadas con algún tipo de malware y el usuario ni siquiera es consciente de que los atacantes controlan las máquinas.
Credenciales sólidas, software actualizado
Los ataques contra los sistemas de gestión de contenido populares no son nuevos, pero el gran volumen y el aumento repentino son preocupantes. En este punto, no hay mucho que los administradores puedan hacer más allá de usar una combinación sólida de nombre de usuario y contraseña y garantizar que el CMS y los complementos asociados estén actualizados.
"Si todavía usa 'admin' como nombre de usuario en su blog, cámbielo, use una contraseña segura, si está en WP.com active la autenticación de dos factores y, por supuesto, asegúrese de estar al día fecha de la última versión de WordPress ", dijo Mullenweg. WordPress 3.0, lanzado hace tres años, permite a los usuarios crear un nombre de usuario personalizado, por lo que no hay razón para tener una contraseña de "administrador" o "Administrador".
