fbpx

10 razones principales por las que los sitios de WordPress son pirateados (y como prevenirlas)

Primero, no es solo WordPress. Todos los sitios web en Internet son vulnerables a los intentos de piratería.

La razón por la que los sitios de WordPress son un objetivo común es porque WordPress es el creador de sitios web más popular del mundo. Representa más del 31% de todos los sitios web, lo que significa cientos de millones de sitios web en todo el mundo.

Los piratas informáticos tienen diferentes tipos de motivos para piratear un sitio web. Algunos son principiantes que recién están aprendiendo a explotar sitios menos seguros.

Algunos piratas informáticos tienen intenciones maliciosas, como distribuir malware, usar un sitio para atacar otros sitios web o enviar spam a Internet.

Dicho esto, echemos un vistazo a algunas de las principales causas de que los sitios de WordPress sean pirateados y cómo evitar que su sitio web sea pirateado.

1. Uso de contraseñas débiles

Using weak passwords

Las contraseñas son las llaves de su sitio de WordPress. Debe asegurarse de que está utilizando una contraseña única y segura para cada una de las siguientes cuentas, ya que todas pueden proporcionar a un hacker acceso completo a su sitio web.

  • Su cuenta de administrador de WordPress
  • La cuenta del panel de control de su web hosting
  • Las cuentas FTP
  • Las bases de datos MySql utilizadas por su sitio WordPress
  • Las casillas de email

Todas estas cuentas están protegidas por contraseñas. El uso de contraseñas débiles facilita que los piratas informáticos descifren las contraseñas utilizando algunas herramientas básicas de piratería.

2. Acceso desprotegido al administrador de WordPress (directorio wp-admin)

El área de administración de WordPress le da acceso a un usuario para realizar diferentes acciones en su sitio de WordPress. También es el área más comúnmente atacada de un sitio de WordPress.

Dejarlo desprotegido permite a los piratas informáticos probar diferentes enfoques para descifrar su sitio web. Puede dificultarles la tarea agregando capas de autenticación a su directorio de administración de WordPress.

Primero debe proteger con contraseña su área de administración de WordPress. Esto agrega una capa de seguridad adicional, y cualquier persona que intente acceder al administrador de WordPress deberá proporcionar una contraseña adicional.

Si ejecuta un sitio de WordPress de varios autores o usuarios múltiples, puede aplicar contraseñas seguras para todos los usuarios de su sitio. También puede agregar autenticación de dos factores para que sea aún más difícil para los piratas informáticos ingresar a su área de administración de WordPress.

3. Permisos de archivo incorrectos

File permissions

Los permisos de archivo son un conjunto de reglas utilizadas por su servidor web. Estos permisos ayudan a su servidor web a controlar el acceso a los archivos de su sitio. Los permisos de archivo incorrectos pueden dar acceso a un pirata informático para escribir y cambiar estos archivos.

Todos sus archivos de WordPress deben tener un valor de 644 como permiso de archivo. Todas las carpetas en su sitio de WordPress deben tener 755 como permiso de archivo.

4. No actualizar WordPress

Algunos usuarios de WordPress tienen miedo de actualizar sus sitios de WordPress. Temen que hacerlo rompa su sitio web.

Cada nueva versión de WordPress corrige errores y vulnerabilidades de seguridad. Si no está actualizando WordPress, entonces está dejando su sitio vulnerable intencionalmente.

Si tiene miedo de que una actualización rompa su sitio web, puede crear una copia de seguridad completa de WordPress antes de ejecutar una actualización. De esta manera, si algo no funciona, puede volver fácilmente a la versión anterior.

5. No actualizar los complementos o el tema

Al igual que el software principal de WordPress, la actualización de su tema y complementos es igualmente importante. El uso de un complemento o tema desactualizado puede hacer que su sitio sea vulnerable.

Las fallas de seguridad y los errores a menudo se descubren en los complementos y temas de WordPress. Por lo general, los autores de temas y complementos los arreglan rápidamente. Sin embargo, si un usuario no actualiza su tema o complemento, no hay nada que pueda hacer al respecto.

Asegúrese de mantener actualizados su tema y complementos de WordPress.

6. Uso de FTP simple en lugar de SFTP/SSH

SFTP instead of FTP

Las cuentas FTP se utilizan para cargar archivos en su servidor web mediante un cliente FTP. La mayoría de los proveedores de alojamiento admiten conexiones FTP utilizando diferentes protocolos. Puede conectarse usando FTP, SFTP o SSH.

Cuando se conecta a su sitio mediante FTP simple, su contraseña se envía al servidor sin cifrar. Puede ser espiado y robado fácilmente. En lugar de usar FTP, siempre debe usar SFTP o SSH.

No necesitarías cambiar tu cliente FTP. La mayoría de los clientes FTP pueden conectarse a su sitio web tanto en SFTP como en SSH. Solo necesita cambiar el protocolo a ‘SFTP – SSH’ cuando se conecte a su sitio web.

7. Usando Admin como nombre de usuario de WordPress

No se recomienda usar ‘admin’ como su nombre de usuario de WordPress. Si su nombre de usuario de administrador es admin, entonces debe cambiarlo inmediatamente a un nombre de usuario diferente.

8. Temas y complementos anulados (crackeados)

Malware

Hay muchos sitios web en Internet que distribuyen complementos y temas de WordPress de pago de forma gratuita. A veces es fácil tener la tentación de usar esos complementos y temas anulados en su sitio.

Descargar temas y complementos de WordPress de fuentes poco confiables es muy peligroso. No solo pueden comprometer la seguridad de su sitio web, sino que también pueden usarse para robar información confidencial.

Siempre debe descargar los complementos y temas de WordPress de fuentes confiables, como el sitio web de desarrolladores de complementos/temas o los repositorios oficiales de WordPress.

Si no puede pagar o no quiere comprar un complemento o tema premium, siempre hay alternativas gratuitas disponibles para esos productos. Es posible que estos complementos gratuitos no sean tan buenos como sus contrapartes pagas, pero harán el trabajo y, lo que es más importante, mantendrán su sitio web seguro.

9. No asegurar la configuración de WordPress (Archivo wp-config.php)

El archivo de configuración de WordPress wp-config.php contiene sus credenciales de inicio de sesión en la base de datos de WordPress. Si está comprometido, revelará información que podría dar a un pirata informático acceso completo a su sitio web.

Puede agregar una capa adicional de protección negando el acceso al archivo wp-config usando .htaccess. Simplemente agregue este pequeño código a su archivo .htaccess.

1 <files wp-config.php>
2 order allow,deny
3 deny from all
4 </files>

10. No cambiar el prefijo de tabla de WordPress

Muchos expertos recomiendan que cambie el prefijo predeterminado de la tabla de WordPress. De forma predeterminada, WordPress usa wp_ como prefijo para las tablas que crea en su base de datos. Tiene la opción de cambiarlo durante la instalación.

Se recomienda que utilice un prefijo que sea un poco más complicado. Esto hará que sea más difícil para los piratas informáticos adivinar los nombres de las tablas de su base de datos.

Fuente: https://www.wpbeginner.com/beginners-guide/reasons-why-wordpress-site-gets-hacked/

WordPress: Limpiando el hackeo de Anonymous Fox

Estamos actualizando los pasos para limpiar los sitios WordPress infectados por Anonymous Fox. Hasta ahora el procedimiento sería el siguiente:

1) Dirijase en su cPanel a Seguridad => ImunifyAV.

Allí verá un listado de los archivos infectados detectados por nuestro antivirus. Eliminelos usando el Administrador de Archivos de cPanel o un programa FTP.
Si la ruta de el archivo a eliminar se encuentra en una carpeta desconocida, elimine directamente la carpeta; más aun si dicha carpeta está dentro de /plugins.
Por ejemplo: /home/usuariocpanel/public_html/site/wp-content/plugins/aknxryu/dwmruibv.php

En lugar de borrar el archivo dwmruibv.php, se ahorra varios pasos borrando la carpeta /aknxryu que es, obviamente, un plugin falso.

Un vistazo a los plugins falsos instalados por el virus

2) Borre las casillas de correo creadas por el virus.

El hackeo implica vulnerar un WordPress desde un plugin falso, desde ese plugin pueden modificar, via virus, el archivo contactmail de cPanel, y de esa forma pueden enviarse el password de cPanel.

Una vez dentro, usan archivos de cPanel para crear casillas de correos. Vaya a Correo Electronico => Cuentas de Correo Electronico y eliminelas.
Ejemplo de casillas que crea el virus:

admin@
administrator@
backing@
back-up@
backup@
chief@
call@
client@
clients@

Son entre entre 15 y 20 casillas de correos las que crea el virus.

3) Este virus crea usuarios del admin de su WordPress para tener acceso al mismo.
En cPanel, vaya a Base de Datos => PHPmyadmin.

Abra la base de datos de su sitio. En casi todos los sitios la base tiene el mismo nombre: usercpanel_wp123 (Es siempre un numero al azar).
Busque ahora la en dicha base la tabla wp_users.
Elimine todos los usuarios creados por el virus. Si el que posee su casilla de correo fue editada; restaure la misma editando los datos y modificando la contraseña; tal como lo muestra esta guia: https://www.youtube.com/watch?v=cb5GTYGXrwg

Use nombres de usuario y passwords complejos. Evite nombres conocidos como “admin”.

4) Es momento de ir a Dominios => WordPress Toolkits.
Lo mas probable es que al entrar vea un mensaje indicando que la instalacion de WordPress esta dañada.
Para solucionar esto, haga clic en el botón “Comprobar la integridad de WordPress”.

Le saldrá una pantalla con varias opciones; seleccione “Restaurar núcleo de WordPress” para reinstalar los archivos necesarios para que WordPress funcione correctamente.

5) Es momento de volver al Administrador de Archivos de cPanel.
Una vez allí, dirijase a la carpeta de WordPress llamada /wp-includes. La misma se encuentra dentro de la instalación de WP; en la ruta por defecto de /public_html/wp-includes.

Una vez dentro, busque por el archivo plugin.php; haga clic con el botón derecho sobre dicho archivo y seleccione la opcion “Change Permissions”. Asegurese que dicho archivo solo quede con permisos 444, es decir, que tenga tildada solo la opcion “Leer” en cada modo.

6) Es tiampo de modificar las contraseñas de acceso a la cuenta: Usuario de admin de WP; user de base de datos y cPanel.

La password del usuario admin de su WordPress la debería haber editado en el paso 3 donde se eliminaron usuarios creados por el virus.
La password del usuario de base de datos la puede cambiar desde el cPanel; en Base de Datos => Bases de Datos MySQL => Usuarios actuales => Cambiar Contraseña.
La password de cpanel puede modificarla desde su area de cliente en https://www.sitioshispanos.com/es/clientarea.php , yendo a Servicios => Mis Servicios => Haga clic sobre el servicio en cuestion => En la columna de Acciones, verá la opción “Cambiar Contraseña”.

7) Actualizar WordPress a la última versión disponible. Elimine cualquier instalación de WordPress que no se use.

8) Actualizar los Plugins, Woocomerce y Theme a la ultima versión y no mantenga instalados plugins que no se usen.

9) Usar la ultima versión de PHP disponible: https://www.php.net/supported-versions.php

10) Limite el numero de Logins fallidos (generalmente mediante un plugin de seguridad)

EJ: https://wordpress.org/plugins/wp-limit-login-attempts/

11) Deshabilitar el editor de archivos de WordPress (Theme Editor)

  • Agregue esta linea en el archivo wp-config.php
define( 'DISALLOW_FILE_EDIT', true );

Cambiando de “true” a “false” esta linea podrá activar y desactivar la opción segun la necesidad de usarla.

12) Deshabilitar XML-RPC

  • Agregar este código en el .htaccess principal de la instalación de WordPress:
 # Block WordPress xmlrpc.php requests

 <Files xmlrpc.php>
 order deny,allow
 deny from all
 allow from xxx.xxx.xxx.xxx
 </Files>

Puedes reemplazar xxx.xxx.xxx.xxx por la ip a la que deseas darle acceso, o puedes eliminar esa línea para un bloqueo total.

  • El codigo, por defecto, que crea WordPress en los htaccess es este, agregue el codigo de arriba debajo del codigo de WordPress:
 # BEGIN WordPress

        RewriteEngine On

        RewriteBase /

        RewriteRule ^index\.php$ - [L]

        RewriteCond %{REQUEST_FILENAME} !-f

        RewriteCond %{REQUEST_FILENAME} !-d

        RewriteRule . /index.php [L]

        # END WordPress 

13) Deshabilitar la creación de archivos PHP en directorios de WordPress

Es recomendable crear un .htaccess, si no existe, con este mismo codigo en /wp-includes/ y /wp-content/uploads/

 <Files *.php>

        deny from all

        </Files>  
  • Asegurar el wp-config.php
  • Prevenir que se pueda editar el archivo wp-config.php desde el navegador Agregar este codigo al .htaccess principal
# protect wpconfig.php 

    <files wp-config.php> 

        order allow,deny 

        deny from all 

    </files>
  • Luego modificar los permisos del archivo a 600

14) Busque en “Cuentas FTP” que no haya sesiones raras creadas, si hay sesiones, cualquiera, es recomendable cambiarles el password.

15) Busque en “Mysql Remoto” que no haya ips raras o desconocidas agregadas.

Fraudes y engaños por Internet con Emiliano Piscitelli

En algún momento de nuestra experiencia en Internet hemos recibido emails que nos piden realizar un cambio de contraseña o hemos recibido llamados telefónicos solicitando datos o información, aparentemente de empresas o instituciones reconocidas. Pero estamos seguros de si el contacto es confiable o fiable?

En esta emisión del ciclo de Referentes en Tecnología charlamos con Emiliano Piscitelli, especialista en Ingeniería Social, sobre cómo los cyber delincuentes nos manipulan para obtener información y realizar algún fraude aprovechando el contexto del COVID-19 y el aumento del uso de herramientas digitales.

Su experiencia en la tecnología comenzó de muy chico accediendo a equipos de la época, en ese momento una Sinclair Spectrum que se conectaba a la TV, leyendo revistas y empezando a programar en BASIC cómo hobby.

En lo profesional comenzó realizando tareas de soporte técnico y electrónica, pero desde hace 12 años tuvo la oportunidad de formar su empresa de Seguridad Informática y especializarse en Ingeniería Social, entendiendo la importancia del factor humano.

La ingeniería social es una mezcla entre arte y ciencia que tiene cómo objetivo manipular o influenciar a una persona o grupo de personas con un fin determinado, pudiendo ser ese fin bueno o malo.

Nos cuenta Emiliano

Charlamos sobre la importancia de la educación y la concientización para proteger la seguridad de las empresas a través de las personas. Educar para que las personas puedan generar hábitos seguro del uso de la tecnología y la información.

Cómo principal medida evitemos el “click fácil”.

Te invitamos a que veas esta excelente charla donde repasamos consejos para evitar fraudes que nos llegan a través de emails, mensajes de WhatsApp o llamados telefónicos, y aprenderemos un método desarrollado por Emiliano llamado P.I.C.O., que nos permite identificar estafas online conociendo Pretexto, Impostor, Contexto y Oportunidad.

Si queres conocer más charlas


Seguridad informática y ekoparty 2020 con Federico Kirschbaum

Fede Kirschbaum es CTO de Faraday, empresa dedicada a la investigación, pentesting e ingeniería de seguridad en redes.

Si conoces la ekoparty sabrás que Fede es uno de los co-fundadores y organizador. Si no la conoces, te contamos que es la conferencia Latinoamericana mas grande de Seguridad Informática.

En esta distendida charla del ciclo de webinars, nos interesa conocer los inicios de cada entrevistado, sus primeras experiencias con errores y aciertos y cómo fue ese avance hasta el lugar profesional actual.

Desarmar la primer computadora familiar , Instalar Linux desde disquetes, conectarse a Internet por dial-up (con grandes sumas en la factura del mes) o montar un pequeño servidor en un ciber café a inicios del 2000, es el camino que muchos profesionales toman primero como hobby para después convertirse en profesionales del sector.

Sumarse a comunidades para compartir experiencias, aprender de otros referentes y experimentar como vulnerar algun sistema es crucial para avanzar y descubrir cómo dedicarse a lo que uno quiere.

En esta charla de 1:40hs repasamos también la actualidad en el contexto COVID-19, la historia de la Ekoparty y los hábitos que genera la tecnología en las personas.

Si quieres conocer mas entrevistas


Sorteamos 2 entradas para la Ekoparty 2020

Gracias a la entrevista que tuvimos con Federico Kirschbaum, fundador de Ekoparty, la conferencia de hacking más grande de Latinoamérica, tenemos 2 entradas para regalar!

El evento se realiza en esta oportunidad de manera Online del 24 al 26 de Septiembre con charlas, workshops, espacios de Red y Blue Team, Bug Bounty, DevSecOps, Mobile Hacking, Lockpicking, Ingeniería Social, Radio Experimentación y más.

Si quieres participar, completa el formulario y el Miércoles 23 estaremos anunciando al ganador en nuestras redes sociales.

Inscribirte


Educación y Seguridad Informática con Cristian Borghello

Cristian Borghello es consultor en Seguridad Informática, director el sitio especializado Segu-Info.com.ar y fundador de diferentes espacios para la educación en materias de Seguridad.

Escribe para diversos medios especializados e investiga en forma independiente sobre Seguridad Informática y de la Información. Ha disertado se congresos y seminarios nacionales e internacionales sobre la temática.

En esta extensa e interesante charla de nuestro ciclo de entrevistas con referentes recorrimos sus inicios con entusiasmo en la informática. A partir de los 8 años con un equipo de la marca Texas Instruments en su pueblo natal de La Paz, Entre Rios, Argentina.

Epoca de principio de los ’80, donde comenzó a programar o escribir en papel gráficos de flujo para soluciones lógicas; “Se convierte en esencial enseñar programación y lógica desde muy chico, para sumar a las escuelas”, menciona en base a su experiencia.

Su primer acercamiento eliminando virus de computadoras a vecinos y amigos, fueron los primeros pasos, en ese momento sin saberlo, del camino a convertirse en un profesional de la ciberseguridad.

Nos cuenta ademas su paso por ESET (empresa conocida por el antivirus NOD32) como Directo Técnico y luego Director de Educación LATAM.

Compartió en detalle su actual y principal actividad de consultor y responsable de Segu-Info, destacado por los servicios en ciberseguridad y el privilegio de su visita a Corea Del Sur, becado junto a 12 profesionales en tecnología, recibiendo durante 3 meses capacitación y experiencia en ciberseguridad.

En un tema común del contexto de pandemia mundial, hablamos sobre los ataques vigentes y la tendencia que dejara el aumento de la participación de las personas en el mundo digital y sobre el final le pedimos 3 referentes con los cuales se identifica, generando una excelente reflexión para esta entretenida e informativa charla de casi 2hs de duración.

Para recibir nuevas charlas


Charlamos con Sebastián Stranieri sobre seguridad e identidad digital

Video entrevista con Sebastián Stranieri

Sebastián Stranieri es un referente en el sector de la ciberseguridad, en esta charla compartimos desde sus inicios cómo usuario y curioso de la seguridad informática y los sistemas en general hasta su desarrollo profesional cómo CEO de VU Security que brinda soluciones a empresas y gobiernos.

Un hacker es una persona audaz, elocuente, alguien que sabe y entiende sobre tecnología y sistemas informáticos o que encuentra soluciones a problemas, nos cuenta en la pregunta sobre cómo era la vida hacker en fines de los 90s.

Compartir información entre los grupos en ese momento era esencial para aprender. Los e-zines de esa época donde encontrabas artículos técnicos escritos por comunidades de todo el mundo.

Luego avanzamos con temas relacionados al trabajo actual en sistemas y precisamente en la seguridad informática y la protección de la identidad digital.

VU Security trabaja hace años en prevención del fraude y la protección de la identidad para gobiernos y empresas.

Es prioritario madurar el sistema de identidad digital para que cada persona pueda operar sin tener que recordar una frase compleja o recurrir a un sistema externo, así como proteger los accesos de los usuarios a los recursos de la compañía, un ejemplo claro de buenos resultados es RENAPER en Argentina con el Sistema de Identificación Digital, impactando a más de 9 millones de usuarios, señaló.

Actualmente sólo cinco países tienen un marco de ciberseguridad y ahora todos se dan cuenta que no es algo opcional; sino un servicio básico, remarco.

Disfruta esta divertida y distendida charla, con el compromiso de repetirla pronto.

Charlamos con Nicolas Waisman sobre Seguridad Informática

Nicolas Waisman es reconocido en todo el mundo cómo especialista y profesional en el aspecto ofensivo de la seguridad informática desde hace mas de 20 años, cosechando experiencia en todas las áreas, desde el análisis de vulnerabilidades hasta el estudio de exploits.

Argentino que actualmente vive en Seattle, Estados Unidos, trabajando como director del laboratorio de seguridad de GitHub Inc.

En esta charla recorrimos sus inicios en informática, los primeros grupos de hackers de los 90’s en Buenos Aires y sus experiencias personales y profesionales en investigación de la ciberseguridad.

Ademas de conocer el estudio preventivo en el cual esta trabajando GitHub para detectar vulnerabilidades en el desarrollo open source y nuevos profesionales que se suman a la tecnología para trabajar en Big Data, con temas por ejemplo de investigación del COVID-19.

Una distendida charla que sin duda nos motiva a querer conocer más.

¿Quieres recibir novedades asi?