WordPress Seguridad: tu sitio también es interesante para los hackers

Tobias Schüring Última actualización 23.01.2020
5 min.
Ataques de hackers a WordPress : tu sitio  también es interesante para los hackers

El28,4% de los mayores sitios web del mundo funcionan con WordPress . Esta alta distribución hace que los sitios WP sean un objetivo popular para los hackers. Especialmente los operadores de sitios pequeños suelen pensar que están a salvo, porque ¿quién iba a hackear un blog con poco alcance o sin datos sensibles? Hoy le mostraré por qué esto es una falacia peligrosa cuando se trata de la seguridad de WordPress .

WordPress es particularmente interesante para los atacantes porque muchos sitios lo utilizan. Para muchas formas de ataque, lo importante no es la "calidad" de los objetivos hackeados, sino simplemente poder infiltrarse automáticamente en el mayor número de sitios posible. El ejemplo de la vulnerabilidad que se explota de forma sistemática es el siguiente agujero de seguridad en WordPress 4.7.1. A continuación, se desfiguraron innumerables páginas en la página de inicio con el aviso "hackeado por".

La empresa de seguridad Sucuri había encontrado la vulnerabilidad y la comunicó a WordPress . Y aunque el problema se solucionó en WordPress 4.7.2, millones de sitios fueron hackeados en los llamados ataques de defacement después de que se conociera el exploit. millones de sitios fueron hackeados en los llamados ataques de desfiguración..

Este ejemplo muestra que realmente cada WordPress -sitio es interesante para los atacantes. Porque los ataques se ejecutan en la mayoría de los casos de forma completamente automática. Hoy te mostraré cómo puede ser un ataque de este tipo, cuál es el objetivo de los hackers y qué consecuencias puede tener para ti y para las páginas de tu una vez que tu sitio haya sido hackeada con éxito.

Los hackers quieren capturar tus sitios WordPress

Como ya he dicho, la mayoría de las veces no se trata de lo grande que es el sitio o de lo que hay que conseguir. Se trata simplemente de un ataque automatizado a un gran número de sitios web que no han tapado ciertos agujeros de seguridad. Una vez que el sitio está infectado, puede ser utilizado indebidamente para enviar spam, por ejemplo, o distribuye malware -es decir, software malicioso- a los visitantes del sitio.

De este modo, los hackers crean una red de proveedores de malware o una botnet de la que luego pueden abusar para realizar ataqueBrute Force s DDoS o . Por lo tanto, el individuo sitio a menudo sólo es interesante como parte de un conjunto mayor. Y cuantos más sitios secuestre o infecte un atacante, más valiosa será su maquinaria de malware.

Aumenta el número de agresiones en WordPress

El número de ataques a sitios web va en aumento. Según Google, en 2016 Un 32% más de sitios fueron hackeados Uno de los tipos de ataque más comunes eran los llamadosBrute Force . Aquí, la gente intenta introducir la combinación correcta de nombre de usuario y contraseña simplemente adivinando. O los atacantes ya tienen listas de contraseñas, que prueban.

Así lo subrayan también las cifras del proveedor de seguridad Wordfence. Durante meses, el Estadounidenses han visto un aumento constante de estos ataques en WordPress .

Ataques de piratas informáticos WordPress : Brute Force y ataques complejos a los sitios WordPress  de diciembre de 2016 a enero de 2017.
A diferencia de los ataques complejos, el número de ataques Brute Force aumenta constantemente. Esto se debe a que estos últimos no dependen de la existencia de vulnerabilidades de seguridad específicas.

Reach es la capital de los hackers

Esto se puede ilustrar muy bien con el ejemplo de una red de bots. Una botnet es una red de sitios web secuestrados (que también pueden ser dispositivos finales o routers habilitados para Internet) que se utiliza, por ejemplo, para lanzar ataques DDoS contra sitios web o servidores. Los elementos de la red de bots se activan y bombardean el objetivo a la orden con tantas peticiones que el sitio se colapsa o el servidor se sobrecarga.

Cuantos más sitios web pueda incluir un pirata informático en su red de bots, más poderosa y, por tanto, más valiosa se vuelve. Sin embargo, esto también significa que el secuestro de las instalaciones de WordPress es a menudo sólo el primer paso para los hackers. El segundo paso es crear algo que pueda ser monetizado.

Los tres Is: Informar, identificar, infiltrar

A grandes rasgos, los hacks no específicos de WordPress pueden dividirse en tres fases:

Ataques de hackers WordPress : 3 fases de un ataque prototípico a WP
Una vez que un atacante conoce una vulnerabilidad, comienza el verdadero trabajo: debe escribir un programa que pueda averiguar si la vulnerabilidad existe y luego explotarla automáticamente.

Fase 1: Obtener información

En el primer paso, el atacante busca conocimientos sobre vulnerabilidades conocidas o desconocidas en WordPress . Esto puede hacerse, por ejemplo, a través de plataformas como la Base de datos de vulnerabilidad WPScan es posible.

Con los ataques de desfiguración que mencioné al principio del post, simplemente mirando WordPress .org habría sido suficiente.

Fase 2: Identificar los vectores de ataque

Ahora un atacante sabe por dónde empezar y debe escribir un script en la fase 2 que le permita escoger esas páginas de la masa de páginas que tienen la vulnerabilidad. En el caso de los ataques de defacement en WordPress 4.7. y 4.7.1, esto fue fácilmente posible leyendo la versión WordPress .

Fase 3: Ataques automatizados

Una vez encontrado, el atacante puede -de nuevo de forma automatizada- hackear el sitio y realizar los cambios (no) deseados. Algunos ejemplos típicos son:

  • Robo de datos: Un atacante intenta robar datos sensibles de tus sitio o de los visitantes de tus sitio . Pueden ser direcciones de correo electrónico o datos bancarios, pero en principio cualquier cosa que pueda venderse o reutilizarse es interesante. Por ejemplo, un hacker puede colocar un formulario falso en tus sitio que robe todos los datos introducidos. Y esto en un entorno de total confianza y además encriptado con SSL.
  • Secuestro sitio: Un atacante puede integrar tu WordPress -sitio en una botnet. De este modo, el hacker se asegura el control de tu sitio y puede, por ejemplo, realizar con él ataques DoS o DDoS a la orden.
  • Inyectar código malicioso: El código malicioso se coloca en tus sitio . De este modo, un atacante puede, por ejemplo, abusar de los espacios publicitarios de tu para sus propios fines o colocar formularios en tus sitio que roben los datos personales de los usuarios de tus .

En la mayoría de los casos, los hacks de WordPress cuestan tiempo y dinero.

Los costes de los hackers de WordPress y las consecuencias exactas, directas o indirectas, de un ataque no se pueden enunciar en términos generales. Sin embargo, los operadores de sitios web hackeados deben estar siempre preparados para estas tres consecuencias:

1) Costes de recuperación

Cada día se producen millones de ataques a los sitios WordPress . Solo el fabricante de Plugin Wordfence midió una media de 35 millones de ataques deBrute Force y 4,8 millones de ataques de exploits en abril de 2017. diario. En otras palabras: no hay seguridad absoluta. Sólo puede mantener la probabilidad de ser hackeado lo más baja posible y crear los mecanismos adecuados que le permitan restaurar rápidamente tu sitio en caso de que ocurra lo peor.

En el mejor de los casos, tienes una copia de seguridad de sitio y puedes simplemente restaurarla. Si las copias de seguridad también están infectadas o no es posible una restauración, la cosa se complica. Luego hay que gastar tiempo y dinero para eliminar el malware manualmente.

2) Pérdida de volumen de negocio

Dependiendo del tipo de código malicioso que se haya inyectado y del tiempo que haya que mantener tu sitio , también puede incurrir en costes en forma de pérdida de ingresos por publicidad y ventas.

3) Pérdida de confianza

Google lo ve todo: Un sitio hackeado suele contener código malicioso que propaga malware. Si Google detecta esto - y usted no hace nada al respecto - tu sitio termina en una lista negra. Cuando se accede al sitio web, el visitante verá un aviso de seguridad que le advierte de la existencia de malware o phishing. Esto también puede llevar a que tu sufra la posición en el ranking de los motores de búsqueda (SERP) y usted pierda un alcance significativo.

Conclusión: los ataques a las páginas WordPress son bastante normales

Por supuesto, este artículo no pretende incitar a un pánico infundado. Sin embargo, lo que debería dejar claro es: El hecho de que tenga un "pequeño" sitio no significa que no deba abordar activamente la cuestión de la seguridad del sitio web.

Por ejemplo, es importante saber que la mayoría de las vulnerabilidades pueden eliminarse mediante actualizaciones periódicas. Y que un certificado SSL tu sitio no protege contra los ataques de los hackers.

Al principio, mencioné que el gran tamaño de WordPress como CMS hace que cualquier sitio sea un objetivo potencial. Pero este tamaño también conlleva una ventaja decisiva: una comunidad mundial de voluntarios y los empleados de las empresas de WordPress trabajan sin descanso para que WordPress sea más seguro. Y así, tarde o temprano, hay una solución adecuada para cada vulnerabilidad y para cada problema.

Como administrador de sistemas, Tobias vigila nuestra infraestructura y encuentra cada tornillo para optimizar el rendimiento de nuestros servidores. Debido a sus incansables esfuerzos, a menudo se le puede encontrar por la noche en Slack.

Artículos relacionados

Comentarios sobre este artículo

Escribe un comentario

Tu dirección de correo electrónico no se publicará. Los campos obligatorios están marcados con *.