Después de un tiempo de espera y a pedido de mucha gente, esta nueva parte del curso de seguridad y hacking.

En esta ocación vamos a examinar vulnerabilidades en una plataforma muy conocida, wordpress.

wordpresshack

Nuestro objetivo será detectar usuarios, claves y plugins de un determinado sitio con wordpress, pero no vamos a atacar ningún dominio, lo vamos a probar con backtrack 5.1 y nuestro objetivo será un Debian preparado como webserver.

La herramienta que usaremos será WPSCAN, desarrollada en ruby y de código abierto.  Sirve para comprobar si existen vulnerabilidades en nuestro sitio y así poder mitigar cualquier ataque. Vamos a ver como funciona en este pequeño video utilizando el metodo de fuerza bruta y un diccionario (diccionario=archivo de texto plano con muchas claves).

Contramedidas:

Si bien existen muchas formas vamos a ver algunas simples.

1- Eliminar usuario admin que se instala por defecto.

2- Incorporar el plugin Limit Login Attempts el cual permite bloquear una dirección IP que intenta loguearse más de 4 veces sin exito. Esto bloquea la IP de alguien que este usando el metodo de fuerza bruta.

3- Plugin Secure WordPress Plugin nos va a ayudar a bloquear algunas funciones que estan por defecto y segurizar nuestra web.

4- Otro plugin WordPress Security Scan, nos va a ayudar a identificar fallas de configuración y posibles huecos que pueda tener nuestro site, y tomar medidas para no ser hackeado.

5- Crear un archivo .htaccess en el directorio raíz de nuestro sitio para permitir accesos y mejorar la seguridad. (este archivo lo veremos en detalle más adelante).

6- Utilización de contraseñas seguras.

7- Tener siempre las últimas actualizaciones del sistema y plugins.

8- Los plugins deben ser de autores conocidos y no de dudosa procedencia.

9- Eliminar los plugins innecesarios.

10- Creo que lo más importante es siempre tener un backup tanto de la base como de las imágenes y demás recursos que tengas en tu sitio, y hacer una prueba cada determinado tiempo y comprobar que el backup se esta realizando bien.

Si tenes alguna otra medida compartila. Para descargar diccionarios para hacer fuerza bruta visita http://www.skullsecurity.org/wiki/index.php/Passwords

16 Comentarios

  1. Hola amigo, muy buen aporte me parecio interesante, hice todo lo que decia el video, instale las gemas necesarias para ruby , ingreso el comando y me pone esto:

    [+] Enumerating usernames…

    We found the following 1 username/s:

    usuario1

    [+] Starting the password brute forcer

    /home/juanuser/Escritorio/wpscan/lib/bruter.rb:41:in `brute’: undefined method `disable_memoization’ for # (NoMethodError)
    from ./wpscan.rb:369:in `’
    juanuser@juanuser-MS-7641:~/Escritorio/wp

    alguna idea?

    Saludos !!

    • Tene en cuenta que no siempre vas a poder obtener resultados positivos, porque si el objetivo tiene seguridad no va a dejar que pruebes varias veces, para que veas como funciona podes probar hacerte una virtual, en publicaciones anteriores mostramos como hacerlo e instalar wordpress. Saludo

  2. Buenísimo en una semana daré una exposición de “Cracking Wireless Key” y no me conocía este método para wordpress tenía otros conocimientos igual, te los puedo pasar para que vayas dando y mejorando los aportes. Gracias es un gran trabajo la investigación que llevas, saludos desde México, Chiapas.

  3. Primeramente agradecerte por este excelene post, bueno segui todos los pasos pero al final me dio este resultado noce que ise mal !! porfavor espero tu ayuda

    /root/Desktop/wpscan-1.0/lib/discover.rb:138:in `theme_name’: uninitialized constant Discover::Typhoeus (NameError)
    from ./wpscan.rb:245:in `’

  4. Que buen curso, muy bien explicado para alguien como yo que nunca había visto algo así, sigan así gran apote. Saludos de Colombia.

Deja un comentario