Ataques a WordPress antes de Instalarlo – WpSetup

Categorias: Wordpress

Ataques a WordPress antes de Instalarlo - WpSetup

Como ya sabemos, WordPress es el gestor de contenidos más popular y que usan millones de personas.

Esta situación hace que WordPress sea el objetivo de multitud de ataques de hackers con la intención de hacerse con el control del CMS y desde ahí, hacerse con el control del alojamiento web, correos, etc..

Existen muchas formas de atacar WordPress, la mayoría poco efectivas como la fuerza bruta, pero al existir tantas y tantas instalaciones de WordPress en todo el mundo, las posibilidades de encontrar una instalación vulnerable son muchas.

Los chicos de Wordfence se dedican a la seguridad de WordPress y han detectado un incremento muy importante de ataques a WordPress en el momento de su instalación.

  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
  • WordPress 1 Hosting especializado en WordPress con discos SSDdesde 4 ´38 €/mes
  • WordPress 2 Hosting especializado en WordPress con discos SSDdesde 5 ´54 €/mes
  • WordPress 3 Hosting especializado en WordPress con discos SSDdesde 8 ´34 €/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUIPuedes contratar tu certificado SSL por solo 14,95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!


Cómo Atacan WordPress antes de Instalarlo

Parece algo que no tenga ningún sentido. ¿Cómo van a atacar un WordPress que aun no se ha instalado?

El motivo de esto es WordPress, es muy fácil de instalar, prácticamente todo el mundo con un mínimo de conocimientos es capaz de instalar WordPress. Además, existen multitud de guías que explican, paso a paso, cómo instalar WordPress, en Hostinet también tenemos una de estas guías.

Sólo hay que descargar un archivo comprimido, subir los archivos al hosting y para empezar a instalarlo sólo hay que poner la siguiente URL en un navegador:

www.MiDominio.com/wp-admin/setup-config.php

Esto nos llevará a una ventana de configuración de WordPress donde nos pedirá información sobre nombre de usuario, base de datos y contraseña. Algo así:

pantalla configuracion wordpress lista para hackear

Y aquí es donde llega el problema, ya que los ataques van dirigidos, precisamente, al archivo setup-config.php.

Dejar una instalación de WordPress sin terminar de configurar puede ser muy peligroso.

Si un usuario deja una instalación de WordPress sin configurar, porque se entretiene creando la base de dato, porque se pone en contacto con el soporte técnico, porque tiene que recuperar la contraseña de acceso a de su panel de hosting. porque se le olvida, etc… puede ser muy peligroso.

Por lo general, el archivo setup-config.php es seguro y ninguna atacante se podría hacer con el, pero si se encuentra con una instalación de WordPress sin configurar, es muy sencillo para el atacante rellenar los datos y hacerse con el control del WordPress que aun no está configurado.

El atacante tan sólo tiene que tener un hosting donde alojar su propia base de datos para finalizar la instalación de WordPress, con su propia base de datos y rellenar sus datos administrativos para hacerse con el control de esa instalación de WordPress.

En realidad el atacante ni siquiera se molesta en averiguar ninguna contraseña, la escoge el propio atacante, así que es un procedimiento bastante sencillo de hacerse con una instalación ajena de WordPress con este tipo de ataques.


Ataques al Servidor desde el Administrador WordPress

Ataques al Servidor desde el Administrador WordPress

Si el usuario está instalando WordPress y ve algo raro, sólo tiene que eliminar los archivos de WordPress y se acabó el problema, pero si la instalación de WordPress se ha quedado olvidada sin configurar, el atacante puede hacer mucho daño a nuestro hosting.

Puede ir al editor de temas de WordPress para inyector algún tipo de código PHP malicioso o simplemente instalar un plugin creado por ellos para que se encargue de todo el trabajo, en realidad son los administradores del sitio, así que pueden hacer lo que quieran.

Una vez dentro pueden instalar un shell malicioso en el hosting capaz de acceder a otras instalaciones de WordPress o bases de datos así como cuentas de correo electrónico, etc…


Cómo Protegerse de los Ataques al WpSetup

Ataques al Servidor desde el Administrador WordPress - Softaculous - Hostinet

Lo más importante es no dejar ninguna instalación de WordPress sin terminar de configurar.

Si eres cliente de Hostinet de recomendamos encarecidamente que uses el instalador automático de aplicaciones Softaculous

Softaculous ers capaz de instalar WordPress, y cientos de aplicaciones más, en nuestro servidor haciendo sólo un par de clicks.

Softaculous se encarga de crear las bases de datos, usuarios y contraseñas, configurándolo de una manera tan rápida que ningún ser humano es capaz de igualar, y todo desde un mismo panel de control.

Al no tener que dejar la instalación sin configurar para crear la base de datos y usuario, es virtualmente imposible caer en este tipo de ataques.

Softaculous está instalado por defecto en todos los hosting que ofrece Hostinet.

No es un módulo gratuito, Hostinet paga una licencia de uso para poder instalarlo en sus servidores y ofrecérselo a sus clientes, pero incluso en los alojamientos web más económicos está disñonible para facilitarle la vida a sus clientes.

  • Hosting SSD 1 desde 3 ´15 €/mes
  • Hosting SSD 2 desde 3 ´73 €/mes
  • Hosting SSD 3 desde 4 ´38 €/mes
  • Hosting SSD 4 desde 5 ´54 €/mes
  • Hosting SSD 1 desde 3 ´15 €/mes
  • Hosting SSD 2 desde 3 ´73 €/mes
  • Hosting SSD 3 desde 4 ´38 €/mes
  • Hosting SSD 4 desde 5 ´54 €/mes
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11,95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99,95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99,95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99,95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99,95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195,00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525,00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525,00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!

Otra Forma de Protegerse de un Ataque a WpConfig de WordPress

Si se prefiere o necesita instalar WordPress de manera manual, existe una manera de protegerse editando el archivo .htaccess.

Tan sólo debemos añadir este código:

order deny,allow
deny from all
allow from <Nuestra Dirección IP>

Esto hace inaccesible a nuestro hosting a todos menos a la dirección IP que añadamos al código, obviamente la nuestra.

Tenemos que añadir el código antes de empezar na instalar WordPress y recordar eliminarlo una vez instalado, de no hacerlo nadie tendrá acceso a nuestro sitio web.

Más información aquí (en inglés).

VN:F [1.9.22_1171]
Rating: 0.0/5 (Votos: 0)

¿NECESITAS AYUDA? Llama a nuestro soporte técnico 946 545 762

De Lunes a Viernes de 08:00 a 20:00 horas.


¡¡SOLO PARA TI!! Aprovéchate Ahora ...

¡¡Descubre los Mejores Artículos de Expertos en Tecnología!!

-

¡¡Descubre los mejores Artículos de Tecnología con Hostinet!!
Todos realizados por Expertos.