Detectados Ataques a WordPress desde WordPress.com

Categorias: Wordpress

Detectado Ataques a WordPress desde WordPress.com

Los atacantes de sitios web no dejan de pensar nuevas formas de poder infectar sitios web, con malware o para instalar algún software para minar criptomonedas.

Como viene siendo habitual, WordPress es un objetivo prioritario para los atacantes. Esto no es porque sea una plataforma insegura, si no por se el gestor de contenidos más usado en el mundo.

Si un atacante encuentra alguna brecha de seguridad en WordPress, puede sacarle más provecho que en otras plataformas, sencillamente porque WordPress lo usa más gente.

En esta ocasión, los ataques detectados vienen directamente de WordPress.com, pero que afectan a instalaciones de WordPress en alojadas en otros servidores.

Vamos a aclarar esto un poco…

Diferencias entre WordPress.com y WordPress.org

Existen dos versiones de WordPress,

Si eres cliente de Hostinet y estás usando WordPress, estás usando WordPress.org.


El inicio en WordPress.com es atractivo para los usuarios noveles porque es gratuito, pero tiene limitaciones importantes, como sólo funcionar con un subdominio, del tipo:

MiSubdominio.wordpress.com

Si se quieren tener opciones más avanzadas, como poder trabajar con nuestro propio dominio, añadir la publicidad se quiera, no la que imponga WordPress.com, o instalar cualquier plugin o theme, sólo se podrá hacer pasando por caja y en los planes más avanzados.

En cambio, si se contrata un hosting y dominio en Hostinet, se podrá instalar la versión de WordPress.org ( o PrestaShop o Joomla!, o lo que se quiera…) y tener el control total dede el principio.

Esta última opción es la idónea para crear cualquier proyecto medio serio en Internet.

Así que, aunque tengan casi el mismo nombre y aparentemente sea lo mismo, son productos muy distintos.

Cómo Funciona el Ataque desde WordPress.com

Este ataque a es bastante singular. Lo que tenemos que tener claro, es que el sitio infectado acaba siendo una instalación de WordPress de cualquier servidor, por ejemplo Hostinet, pero que se realiza desde WordPress.com.

Si te estás preguntando cómo es posible esto, la respuesta es muy sencilla y viene en forma de plugin, el popular Jetpack.

Este plugin es uno de los más populares de WordPress y lo usan millones de personas en el mundo. Ofrece varias funcionalidades extra, todas en un mismo paquete.

Cómo Funciona el Ataque desde WordPress.com

Una de estas funcionalidades que ofrece Jetpack es poder añadir cualquier WordPress instalado en cualquier servidor, a una cuenta de usuario de WordPress.com.

De esta forma, si se están gestionando varias instalaciones de WordPress, es posible centralizar la gestión desde un sitio en común, que sería WordPress.com

Y aquí está el problema, no es un fallo del plugin Jetpack, tampoco un fallo de WordPress o del servidor donde esté instalada la versión de WordPress, ni tampoco es un error desde WordPress.com, se trata de el típico error de contraseñas comprometidas

Para que el atacante tuviera acceso al sitio, debería de sumarse una serie de circunstancias, que serían:

  1. Tener una cuenta en WordPress.com
  2. Utilizar el plugin Jetpack con la opción de que el sitio se pueda administrar desde WordPress.com
  3. No tener activado el sistema de verificación en 2 pasos en WordPress.com

Aun así, cumpliendo estos 3 requisitos, no significa que el WordPress instalado en Hostinet esté comprometido, ya que es imprescindible que la contraseña de WordPress.com esté comprometida.

El problema es la mala costumbre de usar la misma contraseña para distintos servicios. Si uno de estos servicios es comprometido, los atacantes recurren a esta brecha de seguridad para intentar acceder a otros servicios.

Lo de los problema de seguridad en empresas grandes son algo muy común, desgraciadamente, Linkedln, DropBox, Twitter, Taringa, etc… han tenido brechas de seguridad y en lo peor es que luego se comercia con estas credenciales.

Listas con millones de contraseñas son vendidas cada día en foros de la Deep Web. Luego el atacante sólo debe encontrar la forma de usar esos datos de la forma que más le beneficie.


Cómo se Produce el Ataque desde WordPress.com

Una vez el atacante ha conseguido entrar a WordPress.com tiene una gran acceso a los WordPress que hayan sido incluidos. Puede instalar cualquier tipo de plugin.

El atacante subía el plugin pluginsamonsters, no os molestéis en buscarlo en el repositorio de WordPress porque no existe. En WordPress se pueden instalar un plugin de distintas maneras.

Este plugin se encarga de inyectar código malicioso en el WordPress, además no aparece listado en el apartado de “Plugins Instalados” de WordPress, sólo si se desactiva, por lo que el administrador de WordPress no nota nada extraño en su panel de control.

Una vez instalado el plugin, se encargaba de añadir puertas traseras para asegurarse el acceso al sitio y realizar otras modificaciones, como crear redirecciones o añadir JavaScript para mostrar publicidad.

Si se está usando WordPress.com, junto con el plugin Jetpack, para administrar cualquier WordPress instalado en otros servidores, habrá que tomar las medidas oportunas para evitar cualquier problema.

Las medidas son muy sencillas. Entrar en WordPress.com y comprobar que no esté instalado ningún plugin que. no conozcamos, como pluginsamonsters.

Cambiar las contraseñas, en el caso de haberla usado en otros servicios y activar la autenticación en dos pasos en WordPress.com.

Todo esto lo cuentan los chicos de Wordfence en su blog (más información aquí pero en inglés)

 

Cómo Saber si mi Contraseña está Comprometida

Si tienes curiosidad por saber si alguna de nuestras contraseña se han filtrado en algún momento, existe una página llamada Haveibeenpwned.com donde se puede comprobar.

Se puede comprobar la cuenta de correo o contraseña (pulsando en Passwords en el menú superior).

Por o general, lo mejor es comprobar las contraseñas que se utilicen habitualmente, si aparece el mensaje “Oh no – pwned!” lo inteligente sería dejar de usar esa contraseña y cambiarla lo antes posible en cualquier servicio donde se esté usando. En ejemplo hemos usado la contraseña 1234.

Contraseña Comprometida ¡Cámbiala!

En cambio, si no ha sido filtrada nunca, nos dará un OK:

contrasena no comprometida - ¡Puedes usarla!

Hostinet y su Hosting WordPress SSD

En Hostinet, nuestro hosting WordPress SSD viene con una capa de seguridad adicional.

Esta capa de seguridad se encarga de escanear todos los alojamientos web en busca de cualquier tipo de malware que se haya instalado instalar en WordPress.

Si detecta algo, pone en cuarentena los archivos infectados y avisa al cliente para que tome las medidas oportunas.

¡Como si fuera un antivirus pero en el hosting!

Estas con algunas de las opciones de Hosting WordPress SSD que podemos ofrecerte en Hostinet:

Hosting WordPress