Portada Wordpress Detectan una Red de 20.000 WordPress Infectados Atacando a otros Sitios WordPress
Como ya sabemos, WordPress es el gestor de contenidos más usado en el mundo y existen millones de instalaciones de WordPress por todo Internet… y no todas ellas están actualizadas ni protegidas.
Con es de esperar, estas instalaciones de WordPress son un objetivo para muchos atacantes que quieren hacerse con el control del mayor número de instalaciones de WordPress para cometer sus actos malwaredesde ahí, como por ejemplo enviar Spam o minar criptomonedas.
Recientemente se ha detectado una Botnet de más de 20.000 sitios WordPress infectados con un malware, destinados a realizar ataques de fuerza bruta a otros sitios WordPress.
Sin duda se trata de un ataque a gran escala, con una gran infraestructura, que ha sido preparado con tiempo para obtener el mayor grado de efectividad posible.
Antes de describir la configuración de ataque, es importante darse cuenta de que, para que se haya podido producir, 20.000 instalaciones de WordPress han sido infectadas previamente.
Este punto es muy importante, ya que infectar 20 mil sitios no es algo fácil.
Para infectar tantas instalaciones de WordPress hay que recurrir a ciertas estrategias, como ofrecer descargar plugins o themes “gratuitos” desde sitios poco fiables, cuando sabemos que realmente no son gratuitos o dedicarse a busca instalaciones de WordPress no actualizadas que son mucho más fáciles de atacar.
Lo que es importante entender es que, si bajamos un plugin pirata y lo instalamos en nuestro WordPress, es posible que funcione bien y que no tengamos ningún problema aparente al principio, pero siempre estaremos en riesgo ya que pueden haber insertado una puerta trasera para hacerse con el control de nuestro WordPress cuando les interese, como parece ser el caso de este ataque organizado.
No instales plugins o themes piratas en WordPress, seguramente incluyan algún código malicioso o “puerta trasera”.
La estructura del ataque en si misma no es complicada, aunque si su desarrollo.
Los atacantes controlaban cuatro servidores C2, desde donde controlaban todo el ataque.
Desde estos servidores enviaban solicitudes a más de 14.000 servidores proxy para no ser detectados rápidamente por IP.
Desde los servidores proxy se enviaban las instrucciones a los 20.000 sitios WordPress infectados y desde estos sitios infectados se ejecutaba un script para intentar el ataque por fuerza bruta a otros sitios WordPress.
Los ataques iban dirigidos a la interface XML-RPC de WordPress, un clásico en este tipo de ataques en WordPress, ya que permiten enviar un gran número de pares de Usuario y Contraseña en una única solicitud, evitando así los bloqueos por intentos erróneos de login.
Este tipo de ataques llamados multicall fueron solucionados por WordPress desde la versión 4.4, lo que nos hace pensar que todavía existen una gran cantidad de instalaciones de WordPress con versiones 4.3 o inferiores.
Mantén siempre WordPress, plugins y themes actualizados para evitar vulnerabilidades.
Los usuarios y contraseñas utilizadas en el ataque eran muy comunes y se basaban en patrones, como por ejemplo:
Es decir usaban el nombre del dominio como usuario y como contraseña con algún dato detrás, como el año.
También las contraseñas más comunes seguidas de alguna modificación.
Al ser un ataque a gran escala y con multitud de sitios donde ”probar”, los resultados positivos serían satisfactorios para los atacantes.
Como hemos comentado siempre en Hostinet, es importante usar contraseñas seguras y que nunca repetidas.
Los servidores C2, desde donde organizan los ataques, están ubicados en Rumanía, Países Bajos y Rusia, en empresas conocidas por ser muy laxas respecto a estas situaciones, por lo que son un nido de atacantes o de usuarios malintencionados.
Como hemos comentado antes, no se trata de un ataque realizado sin sentido, si no bien organizado y con una gran infraestructura detrás, pero por suerte muy fácil de anular siguiendo unas simples pautas.
Al tener una web en WordPress, podemos evitar la mayor parte de los ataques manteniendo actualizado WordPress, plugins y themes.
En la mayoría de las ocasiones, los atacantes aprovechan vulnerabilidades descubiertas en versiones antiguas de WordPress o plugins.
Por este motivo es importante mantenerse actualizados siempre para evitar mayores problemas.
Y también muy importante, evitar plugins y themes piratas ya que, con toda seguridad, tendrán ”regalito” incluido.
También es recomendable añadir algún plugin que refuerce la seguridad en WordPress, como Wordfence o All In One WP Security, por ejemplo y mantenerlos actualizados, por supuesto.
El ataque fue detectado por los chicos de Defiant.com y la información del ataque ha sido registrada en el blog de Wordfence, para más información click aquí (en inglés).
Si tienes contratado algunos de los planes de hosting WordPress SSD que ofrecemos en Hostinet, debes de saber que tienes un sistema de seguridad que escanea tu hosting en busca de cualquier tipo de malware que hay podido añadirse.
De la misma forma que lo haría el antivirus de tu ordenador, en Hostinet nos encargamos de revisar tu WordPress para detectar software malicioso.
Si te interesa contratar un hosting WordPress con discos SSD, cPanel, certificados SSL gratuitos y súper seguro, aquí tienes algunas de nuestras opciones más populares de hosting WordPress SSD: