Curso de seguridad y hacking – Parte 6 – Hackear wordpress por fuerza bruta

Published:

Después de un tiempo de espera y a pedido de mucha gente, esta nueva parte del curso de seguridad y hacking.

En esta ocación vamos a examinar vulnerabilidades en una plataforma muy conocida, wordpress.

wordpresshack

Nuestro objetivo será detectar usuarios, claves y plugins de un determinado sitio con wordpress, pero no vamos a atacar ningún dominio, lo vamos a probar con backtrack 5.1 y nuestro objetivo será un Debian preparado como webserver.

La herramienta que usaremos será WPSCAN, desarrollada en ruby y de código abierto.  Sirve para comprobar si existen vulnerabilidades en nuestro sitio y así poder mitigar cualquier ataque. Vamos a ver como funciona en este pequeño video utilizando el metodo de fuerza bruta y un diccionario (diccionario=archivo de texto plano con muchas claves).

Contramedidas:

Si bien existen muchas formas vamos a ver algunas simples.

1- Eliminar usuario admin que se instala por defecto.

2- Incorporar el plugin Limit Login Attempts el cual permite bloquear una dirección IP que intenta loguearse más de 4 veces sin exito. Esto bloquea la IP de alguien que este usando el metodo de fuerza bruta.

3- Plugin Secure WordPress Plugin nos va a ayudar a bloquear algunas funciones que estan por defecto y segurizar nuestra web.

4- Otro plugin WordPress Security Scan, nos va a ayudar a identificar fallas de configuración y posibles huecos que pueda tener nuestro site, y tomar medidas para no ser hackeado.

5- Crear un archivo .htaccess en el directorio raíz de nuestro sitio para permitir accesos y mejorar la seguridad. (este archivo lo veremos en detalle más adelante).

6- Utilización de contraseñas seguras.

7- Tener siempre las últimas actualizaciones del sistema y plugins.

8- Los plugins deben ser de autores conocidos y no de dudosa procedencia.

9- Eliminar los plugins innecesarios.

10- Creo que lo más importante es siempre tener un backup tanto de la base como de las imágenes y demás recursos que tengas en tu sitio, y hacer una prueba cada determinado tiempo y comprobar que el backup se esta realizando bien.

Si tenes alguna otra medida compartila. Para descargar diccionarios para hacer fuerza bruta visita http://www.skullsecurity.org/wiki/index.php/Passwords

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles

Ads Blocker Image Powered by Code Help Pro

Se detecto un bloqueador de publicidad!!!

Nuestro contenido es 100% gratuito, por favor colabora con nosotros, permite la publicidad y disfruta del contenido.