Después de un tiempo de espera y a pedido de mucha gente, esta nueva parte del curso de seguridad y hacking.
En esta ocación vamos a examinar vulnerabilidades en una plataforma muy conocida, wordpress.
Nuestro objetivo será detectar usuarios, claves y plugins de un determinado sitio con wordpress, pero no vamos a atacar ningún dominio, lo vamos a probar con backtrack 5.1 y nuestro objetivo será un Debian preparado como webserver.
La herramienta que usaremos será WPSCAN, desarrollada en ruby y de código abierto. Sirve para comprobar si existen vulnerabilidades en nuestro sitio y así poder mitigar cualquier ataque. Vamos a ver como funciona en este pequeño video utilizando el metodo de fuerza bruta y un diccionario (diccionario=archivo de texto plano con muchas claves).
–
Contramedidas:
Si bien existen muchas formas vamos a ver algunas simples.
1- Eliminar usuario admin que se instala por defecto.
2- Incorporar el plugin Limit Login Attempts el cual permite bloquear una dirección IP que intenta loguearse más de 4 veces sin exito. Esto bloquea la IP de alguien que este usando el metodo de fuerza bruta.
3- Plugin Secure WordPress Plugin nos va a ayudar a bloquear algunas funciones que estan por defecto y segurizar nuestra web.
4- Otro plugin WordPress Security Scan, nos va a ayudar a identificar fallas de configuración y posibles huecos que pueda tener nuestro site, y tomar medidas para no ser hackeado.
5- Crear un archivo .htaccess en el directorio raíz de nuestro sitio para permitir accesos y mejorar la seguridad. (este archivo lo veremos en detalle más adelante).
6- Utilización de contraseñas seguras.
7- Tener siempre las últimas actualizaciones del sistema y plugins.
8- Los plugins deben ser de autores conocidos y no de dudosa procedencia.
9- Eliminar los plugins innecesarios.
10- Creo que lo más importante es siempre tener un backup tanto de la base como de las imágenes y demás recursos que tengas en tu sitio, y hacer una prueba cada determinado tiempo y comprobar que el backup se esta realizando bien.
Si tenes alguna otra medida compartila. Para descargar diccionarios para hacer fuerza bruta visita http://www.skullsecurity.org/wiki/index.php/Passwords
¿Existe alguna version de WPSCAN para windows o algun programa similar pero que funcione en windows?
Nahuel para windows no conozco herramientas de este tipo, lo ideal es usar un backtrack para hacer auditorías o un linux que es mucho más versátil. Saludo
Hola amigo, muy buen aporte me parecio interesante, hice todo lo que decia el video, instale las gemas necesarias para ruby , ingreso el comando y me pone esto:
[+] Enumerating usernames…
We found the following 1 username/s:
usuario1
[+] Starting the password brute forcer
/home/juanuser/Escritorio/wpscan/lib/bruter.rb:41:in `brute’: undefined method `disable_memoization’ for # (NoMethodError)
from ./wpscan.rb:369:in `’
juanuser@juanuser-MS-7641:~/Escritorio/wp
alguna idea?
Saludos !!
Tene en cuenta que no siempre vas a poder obtener resultados positivos, porque si el objetivo tiene seguridad no va a dejar que pruebes varias veces, para que veas como funciona podes probar hacerte una virtual, en publicaciones anteriores mostramos como hacerlo e instalar wordpress. Saludo
Buenísimo en una semana daré una exposición de «Cracking Wireless Key» y no me conocía este método para wordpress tenía otros conocimientos igual, te los puedo pasar para que vayas dando y mejorando los aportes. Gracias es un gran trabajo la investigación que llevas, saludos desde México, Chiapas.
Si dale si te animas mandame un tutorial tuyo, estaría muy bueno que alguien me ayude con este tema. Saludos
Gracias por el tuto, pero me quedo una consulta donde consigo esos diccionarios porfavor espero tu respuesta
Mira por aquí: http://www.skullsecurity.org/wiki/index.php/Passwords
Amigo un en especial para wordpress de esa lista ?
Gracias por tu respuesta.
Proba rockyou.txt ese tiene bastantes para probar.
Primeramente agradecerte por este excelene post, bueno segui todos los pasos pero al final me dio este resultado noce que ise mal !! porfavor espero tu ayuda
/root/Desktop/wpscan-1.0/lib/discover.rb:138:in `theme_name’: uninitialized constant Discover::Typhoeus (NameError)
from ./wpscan.rb:245:in `’
Hola Jhon, seguiste los pasos al pié de la letra, le diste permiso de ejecución al archivo wpscan. Y por último instala ruby ya que este programa esta hecho en ese lenguaje y tal vez requiera una librería del mismo. Saludo
Disculpa donde puedo conseguir los diccionarios de claves?
Podes descargar diccionarios en http://www.skullsecurity.org/wiki/index.php/Passwords.
Saludos
Muy bueno y entendible, lo he probado y me funciono a maravillas 🙂
Que buen curso, muy bien explicado para alguien como yo que nunca había visto algo así, sigan así gran apote. Saludos de Colombia.