Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Los 3 modos más comunes de hackear WordPress y cómo evitarlo

  • 2 Respuestas
  • 7350 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Hackmundy

  • *
  • Underc0der
  • Mensajes: 88
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • [H]ACKMUNDY - [L]ABS
« en: Marzo 03, 2013, 11:48:06 am »

WordPress es ya el CMS más utilizado y popular, y ese poder conlleva una responsabilidad, la de ser también el CMS más atacado por hackers que quieran hacerse con el control de tal o cual web … hecha con WordPress. Y no te creas que si tu WordPress no es una web popular no sufrirá ataques, pues muchos de los “exploits” que se crean son para hacer webs zombie, y para eso les vale cualquiera.

De todos los modos que hay de hackear una web, los 3 que más se dan en WordPress, las principales vías de entrada para ataques, son las siguientes:

1. Temas y plugins sin actualizar

Instalar y actualizar temas y plugins en WordPress es muy fácil, y con el sistema de avisos de nuevas versiones integrado, salvo situaciones especiales, no hay motivos para no actualizarlos cuando hay nuevas versiones. Además, la mayoría de las actualizaciones suelen ser por cuestiones de seguridad que podrían poner en peligro tu web, salvo cuando hay un cambio de versión mayor en WordPress, que entonces obliga a cambiar ciertos códigos en algunos plugins y temas. El resto de las ocasiones, especialmente en los temas, es prácticamente obligatorio actualizarlos.

Muchas veces hablamos de la conveniencia – o no – de los plugins y temas de pago, y una de sus ventajas debe ser el aliciente para el desarrollador de estar pendiente de nuevos ataques o “exploits” y actualizar su producto para solucionarlos, algo que con los temas y plugins gratuitos no siempre es así.
Soluciones

Citar
Mantén actualizado WordPress a la última versión
Mantén actualizados los plugins WordPress
Mantén actualizados los temas WordPress
Aprende los peligros de los plugins WordPress

Fácil ¿no?

2. Datos de acceso débiles


Actualmente puedes elegir el nombre de usuario administrador al instalar WordPress, y sino cambiarlo nada más terminar la instalación, pero aún hay muchos WordPress con el usuario por defecto de nombre admin, y con eso cualquier intruso ya tiene la mitad de la información para acceder a tu WordPress como administrador.

Si a esto le sumas una contraseña simple, fácil de adivinar o que uses en otros servicios online no siempre seguros, estás más que expuesto a posibles accesos no deseados. Es algo que debes solucionar lo antes posible.
Soluciones

Citar
Cambia el nombre de usuario admin lo antes posible
Cambia la URL de login de WordPress como medida adicional
Evita dar pistas a hackers en el login
Limita los intentos de acceso

3. Inyecciones en la base de datos

Este es quizás el método más empleado últimamente para hackear cualquier CMS, WordPress incluido, y lo malo es que no siempre depende de ti que las bases de datos estén seguras, pero al menos hemos de hacer nuestro trabajo para asegurarlas lo máximo posible.

Lo peor es que si un hacker entra en tu base de datos estás perdido del todo, puede hacer lo que sea, no hay límites. Además, luego limpiar una base de datos infectada es un absoluto horror, de lo peor que te puede ocurrir.
Soluciones

Citar
Cambia el prefijo de tu base de datos
Protege el archivo .htaccess
Usa htaccess como firewall

Y hasta aquí las 3 maneras más comunes en que suele haber hackeos de WordPress. Vamos a ver si tenemos ayudas genéricas …

Avisos de seguridad de Google

Es horrible cuando visitamos una web y Google nos avisa de que es insegura y puede infectar nuestro sistema, pero para el webmaster es, al menos, un aviso de que algo ha pasado.

Para ello es fundamental que tengas una cuenta en Google Webmaster Tools para gestionar ahí tus webs y poder tener avisos de seguridad e incluso instrucciones de como solucionar intrusiones. Además, Google ya te avisa incluso de cuando tienes que actualizar WordPress.

Luego, en su mismo panel puedes avisarle a Google de que tu sitio está limpio y quitará, tras comprobarlo, el molesto aviso.

¿Cómo evitar problemas de seguridad en WordPress?

Todo esto, como ves está muy bien pero ¿como evito este tipo de intrusiones, hackeos e inyecciones de código?, pues siendo exhaustivo en los básicos, que no me cansaré de repetir:

Citar
Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
Asegura WordPress con plugins especializados
Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.

Servicios WordPress seguros

Ahora bien, si no quieres preocuparte de la seguridad de tu WordPress, siempre puedes recurrir a servicios que te quiten de problemas:

Citar
Utiliza un WordPress administrado como WordPress.com, simplemente escribes y te olvidas de todo
Haz backup de todo, tienes muchos plugins que automatizan las copias de seguridad diarias, para casos de desastre
Contrata un hosting especializado en WordPress que haga copia de seguridad automática de tu sitio
Install a premium plugin which automatically creates a full backup and sends it to a storage location of your choice.

Bueno esto es Todo Espero que les Guste...

Saludos...

Un Hacker sabe de la materia;
Un Lamer Cree Saberlo;
Y yo solo aprendo.

Desconectado 999SombrA666

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
  • HackeD by SombrA
    • Ver Perfil
    • CSD Hacking
    • Email
  • Skype: SombrA.Darkness
« Respuesta #1 en: Marzo 05, 2013, 09:48:07 pm »
Buena guia, la verdad que al momento de hacer mis defaces alguna que otra pagina implementaba algo que simplemente puede hacer de que no puedas cambiar su DB(si usas shells automatizadas obiamente) que es cambiarle el nombre de las extenciones..
Por ejemplo el predeterminado de Joomla se jos_ entonces si lo cambiamos por nose Fpe_ eso complica mucho si usas shells automatizadas pero sino las usas es simple igual la intrusion...
Para mi el mejor consejo es:
Busca Hostings con BUENA SEGURIDAD, y no EL MAS BARATO

Saludos

b166er

  • *
  • Visitante
« Respuesta #2 en: Marzo 06, 2013, 01:15:42 am »
Vaya, Excelente información, gracias por compartirla, Saludos!
 ;)

 

¿Te gustó el post? COMPARTILO!



Como Encontrar el AdminPanel (Algunos Metodos)

Iniciado por hdbreaker

Respuestas: 4
Vistas: 4679
Último mensaje Junio 25, 2012, 03:34:37 pm
por Satyricon
Cómo explotar vulnerabilidad de Windows 7 con Metasploit

Iniciado por Pekador

Respuestas: 2
Vistas: 5647
Último mensaje Abril 16, 2012, 04:35:47 pm
por SPELINAX
Como crear un BackDoor con Metasploit

Iniciado por Pekador

Respuestas: 1
Vistas: 3400
Último mensaje Agosto 30, 2012, 05:02:39 am
por andrewtwo
¿Que es un Buffer Overflow?¿Como explotarlo?

Iniciado por HckDrk

Respuestas: 3
Vistas: 3811
Último mensaje Noviembre 24, 2012, 07:21:39 am
por Pr0ph3t
Cómo tomé el control de tu subdominio

Iniciado por Jimeno

Respuestas: 5
Vistas: 7323
Último mensaje Septiembre 30, 2016, 11:48:21 am
por elefren