WordPress hackeado en menos de 2 minutos

WordPress hackeado

¿A que asusta el titular?, pues lo peor es que es absolutamente cierto, y sino mira este vídeo para pegar un salto de la silla y comprobar que, con las herramientas adecuadas, cualquiera puede acceder a tu WordPress, extraer los usuarios registrados y, uno a uno, ir extrayendo las contraseñas en un ataque de fuerza bruta … 

¿A que acojona?

Si no quieres que te pase algo así ya sabes … 

  1. Contrata un buen proveedor de hosting especializado en WordPress
  2. Asegura la instalación de WordPress
  3. Mantén actualizado WordPress
  4. Haz copia de seguridad de WordPress, incluso en Dropbox
  5. Usa algún buen plugin de seguridad para WordPress
  6. Limita los intentos de acceso
  7. Contrata Vaultpress
  8. Aplica todas las medidas de seguridad en WordPress que conozcas

Avisado quedas de que no hay nada vulnerable – por si no lo sabías ya – y de que mantener WordPress al día, informándote de las actualizaciones de seguridad, es importante, sobre todo para sitios que afecten a tu negocio o al de un cliente.

Me hizo pasar un mal rato encontrar esto en HowToSpotter

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(3 votos, promedio: 3.7)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

36 comentarios en “WordPress hackeado en menos de 2 minutos”

    1. Joseph Jauregui

      la verdad es que los ataques de fuerza bruta dependen mucho del tipo de contraseña 🙂 por tanto eso de 2 minutos para hackear dependerá 100% de la complejidad de la contraseña utilizada.

  1. Para empezar decir que tanto la instalación de WordPress como el programa en sí son algo sospechosos.

    Lo que quiero decir con esto es que yo también puedo hacer un programa que simule que estoy atacando a una instalación de WordPress, simplemente que haga que parezca que lo estoy haciendo, de hecho ya he echo varios programas similares, no simulando un ataque a WordPress pero si para otros menesteres.

    Como prueba de ello es que en el vídeo se conecta a una IP privada (la de la red interna de su casa, me imagino que tendrá una instalación de WordPress local) y además no se ve que acceda a ningún directorio ni nada relacionado con WordPress, simplemente se limita a poner "http://192.168.1.109/wordpress" y por arte de magia le salen todos los usuarios de la base de datos (desconozco de que forma lo hace para que sin poner casi nada el programa lo haga sólito, dudoso cuanto menos).

    También decir que las contraseñas son de lo más débiles, similares al ya típico "1234". Además de que los ataques de fuerza bruta, que es método que emplea, se pueden hacer contra cualquier cosa o programa, no solo con WordPress. Contra estos ataques la única solución que hay es el tener contraseñas fuertes y seguras, simple y llanamente. O eso o, ya que se trata como en este caso de una aplicación web como lo es WordPress, limitar el número de intentos de acceso (o logins) a nuestro blog. Un buen plugin para esto último sería Login LockDown.

    De todas formas he visto en el blog del usuario que hace el ataque que en un futuro liberará el código del programa, será cuestión de examinarlo para poder confirmar si realmente puede hacer lo que muestra en el video.

    Con esto no digo que lo que hace sea mentira, simplemente lo pongo en duda.

    En definitiva, yo me preocuparía más por prevenir inyecciones SQL o ataques XSS, por ejemplo, que de defenderme de esto ya que los ataques por fuerza bruta son de sobra conocidos y hay mil formas de prevenirlos.

    Saludos!!!

    1. eso no es un programa se llama backtrack y es un linux con muchas herramientas de hacking, y te aseguro que puede hackear wordpress como también conexiones wifi, paginas web de cualquier índole redes privadas, computadoras, etc etc… es una verdadera maravilla ese linux por supuesto que hay que saber usarlo si no no sirve de nada.

    2. correcto ademas con backtrack 5 r2 puedes sacar contraseñas wep para wifi un poquitin mas tardado que en el video y esto si es bastante facil asi que no creo que el video sea mucha verdad pero en el caso de wpa-psk para wifi se utilizan diccionarios con los cuales haciendo calculos de peso y lectura puedes tardar mas de 300 años con una clave de 8 digitos (jodido no?) asi que la fuerza bruta es solo si dispones de mucho tiempo y descendencia dispuesta a seguir con tu labor, mil veces mas eficiente y creible un ataque por inyeccion SQL en el caso de la web.

    3. MasterHack538

      Mira men, por si no lo sabes no es ningun programita, es un SO llamado, Back Track el cual quiere funciones muy diferentes a cualquier otro, ya que cuenta con fuerza bruta, para hackear redes wifi, webs, cuentas y mucho mas, si no sabes utilizar Back TRack, te pido que te limites a ver el video y evitar comentarios que solo confunden a kienes no saben bien del tema, Word Press es hackeable, aun yo lo he hecho, ademas no solo lcon back track si no con cualquier otro programa creados por mi. Asi que no es un prgramita programado para que salga todo eso. (MASTER HACK 538) WE ARE ANONYMOUS

      1. MasterSantiago736

        Cuanto hacker suelto por internet, que miedo… y nada mas y nada menos hemos ido a topar con el maestro… por favor, MasterHack538 deleitaaanos con tus haaazañas pppor favvor!! (me tiemblan hasta los dedos)

        Por cierto, Back Track es unico? ningun otro SO tiene aplicaciones o scripts que permitan sacar contraseñas wifi? escaneres de vulnerabilidades? o cualquier otro?… Ahhh no!!, es verdad, que tu creas heramientas unicas…

        Tu afirmacion me hace pensar que no sabes instalar aplicaciones en linux… mira te explico, en sistemas basados en Red Hat: yum install Windows8, y en Debian: apt-get install Windows8. Y si quieres puedes instalar office, solo tienes que cambiar la palabra Windows8 por Office2017 (IMPORTANTE: que no se te olviden las mayusculas, que sino, no funciona).

        Cuando quieras te doy la direccion de mi blog, o cualquiera de mis paginas.

        Por cierto, eso de 538 en tu nombre a que viene?, a que hay 537 mas como tu??? porque estamos listos…

    4. Con backtrack y sus herramientas tiras cualquier blog o web que desees, pero con Kali, que es la evolución de backtrack formateo a la víctima, le robo los pin de la tarjeta de crédito y le abro un agujero al flotador del aljibe. Si determinados elementos son capaces de hackear el pentágono, es de chiste dudar de la posibilidad de hackear un mísero blog de wordpress con la basura de seguridad que ofrece.

  2. Para empezar decir que tanto la instalación de WordPress como el programa en sí son algo sospechosos.

    Lo que quiero decir con esto es que yo también puedo hacer un programa que simule que estoy atacando a una instalación de WordPress, simplemente que haga que parezca que lo estoy haciendo, de hecho ya he echo varios programas similares, no simulando un ataque a WordPress pero si para otros menesteres.

    Como prueba de ello es que en el vídeo se conecta a una IP privada (la de la red interna de su casa, me imagino que tendrá una instalación de WordPress local) y además no se ve que acceda a ningún directorio ni nada relacionado con WordPress, simplemente se limita a poner «http://192.168.1.109/wordpress» y por arte de magia le salen todos los usuarios de la base de datos (desconozco de que forma lo hace para que sin poner casi nada el programa lo haga sólito, dudoso cuanto menos).

    También decir que las contraseñas son de lo más débiles, similares al ya típico «1234». Además de que los ataques de fuerza bruta, que es método que emplea, se pueden hacer contra cualquier cosa o programa, no solo con WordPress. Contra estos ataques la única solución que hay es el tener contraseñas fuertes y seguras, simple y llanamente. O eso o, ya que se trata como en este caso de una aplicación web como lo es WordPress, limitar el número de intentos de acceso (o logins) a nuestro blog. Un buen plugin para esto último sería Login LockDown.

    De todas formas he visto en el blog del usuario que hace el ataque que en un futuro liberará el código del programa, será cuestión de examinarlo para poder confirmar si realmente puede hacer lo que muestra en el video.

    Con esto no digo que lo que hace sea mentira, simplemente lo pongo en duda.

    En definitiva, yo me preocuparía más por prevenir inyecciones SQL o ataques XSS, por ejemplo, que de defenderme de esto ya que los ataques por fuerza bruta son de sobra conocidos y hay mil formas de prevenirlos.

    Saludos!!!

  3. Lástima que no pones la fuente de la información y del creador del programa. Es de un proyecto de seguridad que buscar ayudar a mejorar la seguridad de las instalaciones de WordPress… pero bueno, obviamente tampoco tiene idea de cómo funciona ni lo probaste, jaja.

    Cada vez peor Fernando.

    Saludos.

    1. Cuando quieras haces tu un blog y nos ilustras. He puesto la fuente de donde he encontrado la noticia y la he compartido, resulta que como esto no lo paga el ayuntamiento hago lo que puedo y cuando puedo y como puedo.

      Espero tus aportaciones … más allá de las críticas

  4. Te falto el tip 0, utilizar contraseñas seguras.
    Como se puede ver, es un ataque de diccionario, con una buena contraseña evitas esto.

  5. Coincido con los comentarios anteriores en cuanto a que parece muy dudoso que el vídeo este mostrando realmente un script de ataque. Como ya han comentado se hace sobre una IP de la máquina local, con lo que el script podría estar configurado seguramente para acceder al MySQL de la propia instalación.

    Y desde está también el tema, como dicen, de que lo que muestra el vídeo no es un ataque de fuerza bruta como dice Fernando sino de diccionario y de que las contraseñas usadas son de lo más simples (y algunas típicas como el "letmein"), de ahí que estén en el diccionario. Con contraseñas alfanuméricas y alternando mayúsculas y minúsculas, este tipo de ataque no tendría ningún éxito.Vamos, que suena bastante a pufo 🙂

    La verdad Fernando, sin ánimo de ofender, este otro de esos artículos innecesariamente alarmistas que de vez en cuando nos regalas 😉

  6. Carlos Martín

    Sin ánimo de menospreciar a Fernando que ha sido en ocaciones mi bilblia wordpress en español, decir que aunque tan solo ver el fondo rojo y el rolito de ‘miedito’ que tiene el video automáticamente me puse en duda, más allá del supuesto ataque.

    Personalmente a este post le hubiera dado otro giro para, si tengo dudas al respecto o tengo sorpresa sobre el video, compartir, aprender e intercambiar info, desde luego Fernando lleva tiempo haciendo una gran labor, pero como humanos que somos no tenemos la verdad absoluta y podemos tener alguna equivocación.

    Fernando sigue adelante, me gusta tu labor informativa.

  7. Carlos Martín

    Sin ánimo de menospreciar a Fernando que ha sido en ocaciones mi bilblia wordpress en español, decir que aunque tan solo ver el fondo rojo y el rolito de 'miedito' que tiene el video automáticamente me puse en duda, más allá del supuesto ataque.

    Personalmente a este post le hubiera dado otro giro para, si tengo dudas al respecto o tengo sorpresa sobre el video, compartir, aprender e intercambiar info, desde luego Fernando lleva tiempo haciendo una gran labor, pero como humanos que somos no tenemos la verdad absoluta y podemos tener alguna equivocación.

    Fernando sigue adelante, me gusta tu labor informativa.

  8. Mis dudas respecto al post:
    1) Las contraseñas son demasiado fáciles.
    2) Al usuario "admin" no es capaz de extraer la contraseña. No es infalible y considerando lo demasiado fácil de las otras contraseñas, me atrevería a decir que con un par de simbolos no alfa-numericos asesinas al script.
    3) La conexión parece demasiado transparente. Demasiado diría yo.

    De cualquier forma, se aprecia que lo hayas compartido, ya que a más de alguno le servirá de lección y protegerá más su instalación.

  9. Por cierto, creo que Fernando ha echo bien en informarnos sobre esto. Yo, si no hubiera sido por él no me hubiera enterado de esto y no podríamos ahora estar debatiendo qué nos parece el "supuesto" ataque.

    Verdad es que este tipo de entradas a veces puede ser un tanto alarmistas pero en mi opinión Fernando solo la publicó para informarnos y ha echo bien en exponerlo y compartirlo con los demás para también poder verlo y examinarlo, además de para ponernos en alerta, ya que aunque este ataque fuera falso hay muchas y variadas maneras de atacar un blog y siempre tenemos que estar en alerta.

    En definitiva, no entiendo tanta critica hacia Fernando. Prefiero estar informado de todo antes de que se suprima información solo por el echo de que a alguien le parezca irrelevante o, como en este caso, alarmista.

    Saludos!!!

  10. Si la aplicación es real o falsa no importa, creo que lo que debemos extraer de este artículo no es una vulnerabilidad específica, es el hecho que como administradores WP, esta en configurar la aplicación para evitar este tipo de ataques que son en un 90% culpa de la interfaz monitor-silla.

  11. Si la aplicación es real o falsa no importa, creo que lo que debemos extraer de este artículo no es una vulnerabilidad específica, es el hecho que como administradores WP, esta en configurar la aplicación para evitar este tipo de ataques que son en un 90% culpa de la interfaz monitor-silla.

  12. posicionar web

    Realmente acojonante! Tengo 5 sitios en wordpress y realmente no había reparado en lo fácil que puede ser hackear un sitio con wordpress. Voy a tomar todas las precauciones del caso y seguir los consejos que apuntaís en este artículo, muchas gracias.

  13. Fernando Zorrilla

    Antes que nada felicito a Fernando por el sitio, suelo revisar periódicamente las novedades y nunca comenté nada en el. Un muy buen trabajo, y le doy incluso más énfasis por ser en español, el único sitio que leo novedades en este idioma.

    Convengo que la noticia fue alarmista pero se puede sacar bastante en limpio:

    -Sitio de referencia: http://www.ethicalhack3r.co.uk (alguien preguntó y está en el video) que ya que estamos usa WP 3.1.3  (como saber? shhh, fijense en readme.html)

    -Los ataques de fuerza bruta se contrarrestan con el plugin Login Lockdown como bien mencionaron arriba. (byhanzo). Asi que abrir los ojos con esto (un recordatorio para mi tambien, ejem)

    -Mas que fuerza bruta, se necesitaria un algoritmo fuerza bruta+heuristica. Te quiero ver un diccionario de fuerza bruta en varios lenguajes (ingles, español, francés…) En ese caso habria que tener mas bien bruta fuerza 🙂

    -Tambien como ya mencionaron, el video muestra pruebas locales, usando un script en ruby (que podria ser perl o lo que venga) que sin tirar abajo la intencion del desarrollador, es bastante simple de construir. Los tiempos se disparan en situaciones reales.

    -La tendencia que he observado es evitar atacar a WordPress sino a los plugins que suelen tener desarrollos con algunos puntos débiles.

    Si quieren estar al tanto revisen http://www.exploit-db.com y http://securityvulns.ru/ por wordpress

    Nando

    1. Lo de saber el versión que tiene también puedes saberlo viendo el código fuente de la página (clic derecho -> Ver código fuente de página) y en el header te pone la versión que tiene o también accediendo a www.ethicalhack3r.co.uk/wp-admin/upgrade.php.

      No entiendo como todavía la gente sigue sin borrar este archivo y el install.php de sus WordPress, hasta aquí en AyudaWordpress los tienen sin borrar… Y con un poco de conocimientos se les puede sacar rendimiento.

      Por cierto, la segunda página de exploits que mencionas no la conocía pero la primera (www.exploit-db.com) la recomiendo encarecidamente. Ya han sacado varios agujeros de seguridad de WordPress últimamente.

      Y no es por nada pero en mi anterior comentario alertaba que nos convenía más el protegernos de inyecciones SQL y de ataques XSS y ahora estoy viendo en Exploit-DB dos vulnerabilidades mediante XSS…

      Saludos!!!

  14. uhm la verdad estaba viendo el programa gadget show de nat geo y bueno , para extraer una contrase;a bastante fuerte con caracteres alfanuméricos y demás duraba bastante tiempo hasta miles de a;os , pero ahora bien con algunos plugin , una buena contrase;a , proteger tu usario en la base de datos , creo que seria suficiente

  15. la verdad muy buen video, y muy interesantes las recomendaciones para prevenir estos ataques.. la distribución de Backtrack es la mejor en auditorías de seguridad, y para el fulano que cree abajo que es una aplicación se nota mucho su basta «experiencia» porque la aplicación utilizada esta dentro de la lista de exploits que tiene backtrack, esta distribución es capaz de hacer DoS, dDos, arp spoofing, dns spoofing entre otras, claro que la web que esta usando como ejemplo esta dentro de la red local, y también es muy cierto que los pass y usuarios usados son muy fáciles, pero en realidad muuuchos de los usuarios ni siquiera cambian el nombre del admin para administrar su sitio con eso ya se tiene la mitad del camino recorrido..

    por lo pronto puedo decir que este es un buen artículo para todo aquel que le despertó la intriga de proteger su sitio en wordpress. y por lo pronto Fernando no hagas caso a comentarios estúpidos como que «vas de mal en peor o cosas así», la verdad es fácil criticar pero es más fácil mandar a volar a toda la gente que no aporta absolutamente nada bueno.

    Saludos desde Guatemala.

  16. una basura, passwd de admin nunca fue sacada por el wordlist y las que si fueron sacadas, son bastante debiles y fuera de lo común del usuario.
    Callampa tu ethical hack.

  17. Por eso prefiero Blogger en cuánto seguridad no hay forma de que violen o penetren ( no forma tan fácil) mi sitio en BLogger aunque es más profesional WP montarloo en un hosting propio corre sus riesgos en cambio hackear blogger es hackear a Google…. 😉

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido