Portada Wordpress Ataques a WordPress antes de Instalarlo – WpSetup
Como ya sabemos, WordPress es el gestor de contenidos más popular y que usan millones de personas.
Esta situación hace que WordPress sea el objetivo de multitud de ataques de hackers con la intención de hacerse con el control del CMS y desde ahí, hacerse con el control del alojamiento web, correos, etc..
Existen muchas formas de atacar WordPress, la mayoría poco efectivas como la fuerza bruta, pero al existir tantas y tantas instalaciones de WordPress en todo el mundo, las posibilidades de encontrar una instalación vulnerable son muchas.
Los chicos de Wordfence se dedican a la seguridad de WordPress y han detectado un incremento muy importante de ataques a WordPress en el momento de su instalación.
Parece algo que no tenga ningún sentido. ¿Cómo van a atacar un WordPress que aun no se ha instalado?
El motivo de esto es WordPress, es muy fácil de instalar, prácticamente todo el mundo con un mínimo de conocimientos es capaz de instalar WordPress. Además, existen multitud de guías que explican, paso a paso, cómo instalar WordPress, en Hostinet también tenemos una de estas guías.
Sólo hay que descargar un archivo comprimido, subir los archivos al hosting y para empezar a instalarlo sólo hay que poner la siguiente URL en un navegador:
www.midominio.info/wp-admin/setup-config.php
Esto nos llevará a una ventana de configuración de WordPress donde nos pedirá información sobre nombre de usuario, base de datos y contraseña. Algo así:
Y aquí es donde llega el problema, ya que los ataques van dirigidos, precisamente, al archivo setup-config.php.
Dejar una instalación de WordPress sin terminar de configurar puede ser muy peligroso.
Si un usuario deja una instalación de WordPress sin configurar, porque se entretiene creando la base de dato, porque se pone en contacto con el soporte técnico, porque tiene que recuperar la contraseña de acceso a de su panel de hosting. porque se le olvida, etc… puede ser muy peligroso.
Por lo general, el archivo setup-config.php es seguro y ninguna atacante se podría hacer con el, pero si se encuentra con una instalación de WordPress sin configurar, es muy sencillo para el atacante rellenar los datos y hacerse con el control del WordPress que aun no está configurado.
El atacante tan sólo tiene que tener un hosting donde alojar su propia base de datos para finalizar la instalación de WordPress, con su propia base de datos y rellenar sus datos administrativos para hacerse con el control de esa instalación de WordPress.
En realidad el atacante ni siquiera se molesta en averiguar ninguna contraseña, la escoge el propio atacante, así que es un procedimiento bastante sencillo de hacerse con una instalación ajena de WordPress con este tipo de ataques.
Si el usuario está instalando WordPress y ve algo raro, sólo tiene que eliminar los archivos de WordPress y se acabó el problema, pero si la instalación de WordPress se ha quedado olvidada sin configurar, el atacante puede hacer mucho daño a nuestro hosting.
Puede ir al editor de temas de WordPress para inyector algún tipo de código PHP malicioso o simplemente instalar un plugin creado por ellos para que se encargue de todo el trabajo, en realidad son los administradores del sitio, así que pueden hacer lo que quieran.
Una vez dentro pueden instalar un shell malicioso en el hosting capaz de acceder a otras instalaciones de WordPress o bases de datos así como cuentas de correo electrónico, etc…
Lo más importante es no dejar ninguna instalación de WordPress sin terminar de configurar.
Si eres cliente de Hostinet de recomendamos encarecidamente que uses el instalador automático de aplicaciones Softaculous
Softaculous ers capaz de instalar WordPress, y cientos de aplicaciones más, en nuestro servidor haciendo sólo un par de clicks.
Softaculous se encarga de crear las bases de datos, usuarios y contraseñas, configurándolo de una manera tan rápida que ningún ser humano es capaz de igualar, y todo desde un mismo panel de control.
Al no tener que dejar la instalación sin configurar para crear la base de datos y usuario, es virtualmente imposible caer en este tipo de ataques.
Softaculous está instalado por defecto en todos los hosting que ofrece Hostinet.
No es un módulo gratuito, Hostinet paga una licencia de uso para poder instalarlo en sus servidores y ofrecérselo a sus clientes, pero incluso en los alojamientos web más económicos está disñonible para facilitarle la vida a sus clientes.
Si se prefiere o necesita instalar WordPress de manera manual, existe una manera de protegerse editando el archivo .htaccess.
Tan sólo debemos añadir este código:
order deny,allow deny from all allow from <Nuestra Dirección IP>
Esto hace inaccesible a nuestro hosting a todos menos a la dirección IP que añadamos al código, obviamente la nuestra.
Tenemos que añadir el código antes de empezar na instalar WordPress y recordar eliminarlo una vez instalado, de no hacerlo nadie tendrá acceso a nuestro sitio web.
Más información aquí (en inglés).