Detectan una Red de 20.000 WordPress Infectados Atacando a otros Sitios WordPress

Categorias: Wordpress

Detectan una Red de 20.000 WordPress Infectados Atacando a otros Sitios WordPress

Como ya sabemos, WordPress es el gestor de contenidos más usado en el mundo y existen millones de instalaciones de WordPress por todo Internet… y no todas ellas están actualizadas ni protegidas.

Con es de esperar, estas instalaciones de WordPress son un objetivo para muchos atacantes que quieren hacerse con el control del mayor número de instalaciones de WordPress para cometer sus actos malwaredesde ahí, como por ejemplo enviar Spam o minar criptomonedas.

Recientemente se ha detectado una Botnet de más de 20.000 sitios WordPress infectados con un malware, destinados a realizar ataques de fuerza bruta a otros sitios WordPress.

Sin duda se trata de un ataque a gran escala, con una gran infraestructura, que ha sido preparado con tiempo para obtener el mayor grado de efectividad posible.
 

Cómo Funciona el Ataque Botnet WordPress

Cómo Funciona el Ataque Botnet WordP

Antes de describir la configuración de ataque, es importante darse cuenta de que, para que se haya podido producir, 20.000 instalaciones de WordPress han sido infectadas previamente.

Este punto es muy importante, ya que infectar 20 mil sitios no es algo fácil.

Para infectar tantas instalaciones de WordPress hay que recurrir a ciertas estrategias, como ofrecer descargar plugins o themes “gratuitos” desde sitios poco fiables, cuando sabemos que realmente no son gratuitos o dedicarse a busca instalaciones de WordPress no actualizadas que son mucho más fáciles de atacar.

Lo que es importante entender es que, si bajamos un plugin pirata y lo instalamos en nuestro WordPress, es posible que funcione bien y que no tengamos ningún problema aparente al principio, pero siempre estaremos en riesgo ya que pueden haber insertado una puerta trasera para hacerse con el control de nuestro WordPress cuando les interese, como parece ser el caso de este ataque organizado.

No instales plugins o themes piratas en WordPress, seguramente incluyan algún código malicioso o “puerta trasera”.

La estructura del ataque en si misma no es complicada, aunque si su desarrollo.

Los atacantes controlaban cuatro servidores C2, desde donde controlaban todo el ataque.

Desde estos servidores enviaban solicitudes a más de 14.000 servidores proxy para no ser detectados rápidamente por IP.

Desde los servidores proxy se enviaban las instrucciones a los 20.000 sitios WordPress infectados y desde estos sitios infectados se ejecutaba un script para intentar el ataque por fuerza bruta a otros sitios WordPress.

Los ataques iban dirigidos a la interface XML-RPC de WordPress, un clásico en este tipo de ataques en WordPress, ya que permiten enviar un gran número de pares de Usuario y Contraseña en una única solicitud, evitando así los bloqueos por intentos erróneos de login.

Este tipo de ataques llamados multicall fueron solucionados por WordPress desde la versión 4.4, lo que nos hace pensar que todavía existen una gran cantidad de instalaciones de WordPress con versiones 4.3 o inferiores.

Mantén siempre WordPress, plugins y themes actualizados para evitar vulnerabilidades.

Los usuarios y contraseñas utilizadas en el ataque eran muy comunes y se basaban en patrones, como por ejemplo:

  • % domainPattern%
  • % userName%
  • % userName% 1
  • % userName% 123
  • % userName% 2018
  • % userName% 2017
  • % userName% 2016

Es decir usaban el nombre del dominio como usuario y como contraseña con algún dato detrás, como el año.

También las contraseñas más comunes seguidas de alguna modificación.

Al ser un ataque a gran escala y con multitud de sitios donde ”probar”, los resultados positivos serían satisfactorios para los atacantes.

Como hemos comentado siempre en Hostinet, es importante usar contraseñas seguras y que nunca repetidas.

Los servidores C2, desde donde organizan los ataques, están ubicados en Rumanía, Países Bajos y Rusia, en empresas conocidas por ser muy laxas respecto a estas situaciones, por lo que son un nido de atacantes o de usuarios malintencionados.

Como hemos comentado antes, no se trata de un ataque realizado sin sentido, si no bien organizado y con una gran infraestructura detrás, pero por suerte muy fácil de anular siguiendo unas simples pautas.
 

Cómo Evitar la Mayor Parte de Ataques en WordPress

Cómo Evitar la Mayor Parte de Ataques en WordPress

Al tener una web en WordPress, podemos evitar la mayor parte de los ataques manteniendo actualizado WordPress, plugins y themes.

En la mayoría de las ocasiones, los atacantes aprovechan vulnerabilidades descubiertas en versiones antiguas de WordPress o plugins.

Por este motivo es importante mantenerse actualizados siempre para evitar mayores problemas.

Y también muy importante, evitar plugins y themes piratas ya que, con toda seguridad, tendrán ”regalito” incluido.

También es recomendable añadir algún plugin que refuerce la seguridad en WordPress, como Wordfence o All In One WP Security, por ejemplo y mantenerlos actualizados, por supuesto.

El ataque fue detectado por los chicos de Defiant.com y la información del ataque ha sido registrada en el blog de Wordfence, para más información click aquí (en inglés).

Seguridad en los Hosting WordPress de Hostinet

Si tienes contratado algunos de los planes de hosting WordPress SSD que ofrecemos en Hostinet, debes de saber que tienes un sistema de seguridad que escanea tu hosting en busca de cualquier tipo de malware que hay podido añadirse.

De la misma forma que lo haría el antivirus de tu ordenador, en Hostinet nos encargamos de revisar tu WordPress para detectar software malicioso.

Si te interesa contratar un hosting WordPress con discos SSD, cPanel, certificados SSL gratuitos y súper seguro, aquí tienes algunas de nuestras opciones más populares de hosting WordPress SSD:

  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€ / mes
  • Hosting especializado en WordPress con discos SSDWordPress 1desde4´38€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 2desde5´54€/mes
  • Hosting especializado en WordPress con discos SSDWordPress 3desde8´34€/mes
    • Almacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSDAlmacenamiento en disco duro ultra rápido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Ideado para sacar el máximo partido a tu WordPress
    • Aumenta la velocidad de tu web + Info
    • Tras evaluación de nuestro equipo de migraciones
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Ideado para sacar el máximo partido a tu WordPress
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web
    • Hosting específicamente preparado para sacar el máximo rendimiento a tu Wordpress
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM, .INFO, .NET, .ORG ó .EU.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opción de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Opción de contratación de certificados SSL. Se requiere Ip dedicada.Puedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUIPuedes contratar tu certificado SSL por solo 14.95 € al año AQUI
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting, Dominios y Wordpress
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!