Hackear WordPress con WPForce

Hackear WordPress con WPForce

WordPress es una de las plataformas para desarrollo de páginas web más utilizadas en los últimos años, esta es rápida, muy sencilla e intuitiva y hasta hace poco se creía “segura” pero aparentemente la seguridad es uno de los puntos que pueden verse con muchas dudas en la actualidad, gracias a formas de hackear WordPress con WPForce, Wp Scan, Phishing y demas.

El WPForce por ejemplo es una herramienta del mismo WordPress para encontrar dichas vulnerabilidades haciendo ataques (reales y no simulados) donde el programa puede además de guardar las contraseñas en archivos, activar Shells y demás.

WPForce no es la única herramienta de seguridad habilitada para páginas como wordpres; sin embargo es la única que ataca de manera mucho más directa y colateral, esta puede por medio de fuerza bruta  descifrar codificaciones externas (no internas) para dar con usuario y puerta de entrada.

WP Scan es otro buen ayudante, aunque este funciona de una manera mucho más pasiva, pues solo se dedica a descubrir puertas vulnerables, las razones por las que estas puertas se encuentran a disposición de búsqueda es simple: WordPress permite a sus usuarios ingresar sus páginas web en bruto prestando únicamente alojamiento.

WPForce es el método a estudiar en este post, pero antes es bueno recordar cuál es esa plataforma que tanto se desea vulnerar o descubrir las debilidades más claras.

Un repaso al WordPress

Poniendo énfasis en el inicio, WordPress es un sistema de gestión de contenido con existencia desde el 2003, la mayoría de las páginas web que utilizamos están realizadas en esta plataforma  o mantienen un espacio de alojamiento, funcionan con base de datos MySQL, servidor apache y la mayoría de los lenguajes de programación.

Por aquí todo bien con lo que es WordPress, un sitio de entrada de texto e información muy utilizado y bien estructurado; sin embargo, siempre surge la curiosidad de cuál es la necesidad de violentar este tipo de sitios web, ya que es como cualquier otra red.

Información preciada, recaudamiento y popularidad, esto es uno de los puntos de más cuidado en WordPress, pues hablamos de que gran cantidad de sitios web utilizan dicha plataforma como gestor de Hosting y dominio, que es sencillamente lo que nos permite ver de manera publica este tipo de entornos.

WordPress  utiliza plantillas para su diseño y su programación “plugins” y de hecho, estos temas son utilizados por 33,3% de su población, aunque WordPress funciona de igual manera como un buen gestor de contenido.

Seguramente pensaras que esto puede resolverse fácil ya que reiterados intentos desde una misma dirección IP puede dar como resultado un bloqueo; sin embargo, dicho bloqueo puede fácilmente saltarse porque el programa utiliza distintas dirección IP y mascaras SubNet, complicando mucho más los intentos del código de seguridad de WordPress.

Dejando claro cómo funciona y nuestras vulnerabilidades, tenemos como métodos de protección los siguientes:

  • Instalar un plugin Firewall en nuestro WordPress
  • Mantener siempre actualizado nuestro entorno
  • Proteger el directorio administrativo
  • Añadir autenticación de 2 factores, estenografía o Criptografía doble en dos cifrados
  • Usar contraseñas más seguras, no con los típicos caracteres sino con algo más complejo, un ejemplo seria en vez de escribir “amor” escribir “4m0R*” y con una clave que supere fácilmente los 8 dígitos.
  • Desactivar la navegación por directorios
  • Desactivar igualmente que se ejecuten archivos de tipo PHP en determinadas carpetas de nuestro entorno WordPress
  • Instalar un Plugin Backup de WordPress.

Típicos errores que hacen más fácil el WPForce

EL WP Force es un sistema que bien puede afectarnos de forma permanente, pues sus shells y archivos invasivos insertados una vez que se rompe la seguridad de la puerta de entrada son muy complicados de retirar, como si se tratase de un virus de ordenador cualquiera, aunque este no afecta nuestra maquina sino que roba información y permite la publicación de contenido sin nuestro consentimiento.

Los errores más comunes son:

  • Crear claves muy cortas e inseguras: El tema de la seguridad es más irregular de lo que se piensa, todo es cuestión matemática por lo que todo es descifrable si se sabe bien el funcionamiento del mismo, si bien el encriptamiento hace difícil la legibilidad, campo de texto no está encriptado y puede violarse con letras, números y hasta símbolos especiales comunes.
  • Claves predeterminadas: Este es uno de los errores más comunes y fatales, resumiendo en un ¡NO! No puedes  colocar Admin o 12345 como clave para tu dominio.
  • Mantener una misma clave fija: A veces es mejor pensar como paranoico y protegernos que estar confiados, cambiar la contraseña de vez en cuando puede hacer mucho más difícil la vida de un Hacker que quiera entrar desde hace tiempo a nuestro Site.

Estos Plugins mencionados anteriormente mantienen una rama enorme de opciones, en las que se encuentra el WPForce, la herramienta de “hackeo” de  usuarios para la usurpación de información por medio de fuerza bruta.

El método de fuerza bruta más efectivo contra WP

WordPress ha creado de manera inocente o tal vez muy adrede, un conjunto de herramientas de código abierto que permite hackear su puerta de entrada ¿Cómo hace esto? Sencillo, atacando por fuerza bruta la API XML-RPC del portal; y por si esto no fuera poco, también utiliza Yertle, que se encarga de inyectar Shells al sistema para adueñarse de las credenciales del administrador de la cuenta.

Uno de los puntos críticos de la API XML-RPC para WPForce es que este puede publicar contenido tranquilamente como si se tratase del mismo sitio web, sin necesidad de Phishing o una alerta previa que generalmente hacen los ataques de hack.

El WPForce puede cargar Shell Interactivo, generar Shell invertido, descargar los Hashes de contraseña y utilizar fuerza bruta de la API ya mencionada; en resumen, es un arma mortal para este sitio web y todo el que ignora la existencia de este.

WPForce tiene un total de 5 tipos de ataques diferentes para un mismo sitio y aunque el nivel de desbloqueo por fuerza bruta utilizado en WPForce generalmente no resulta en una gravedad, muchas veces resulta suficiente para violar todo el sistema de entrada.

El WPForce es de por si un programa aparte, y aunque se utilice con fines de protección al mismo wordpress, su intención maliciosa puede escalar a mucho mas, ya que se presta para realizar ataque a grandes páginas web que no cuentan con seguridad más que la que proporciona el mismo sitio web.

WordPress tiene sus estándares de seguridad y estos no son malos pero hacerlos repetitivos y tener tanto tiempo  en la web ha generado cierta inseguridad por no mejorar sus estándares de seguridad o al menos cambiar los algoritmos de encriptamiento.

Como cuidarse de un ataque de WPForce

Primero hay que aclarar que el WPForce tiene 5 tipo de ataques pero el mas utilizado y también el único que podemos proteger es el primero, que de hecho es al que hace honor su nombre por ser “Force” que podríamos traducir rápidamente como Fuerza, o lo que es igual a un ataque de Fuerza Bruta.

El truco de estos es que el software manda un número masivo de solicitudes al sitio de destino, estas solicitudes son fragmentos de claves para que el mismo pueda adivinarlo, y bien pueden sr códigos PIN o contraseñas enteras.

Menos actualizaciones para un sistema más rápido: Si, sabemos que los  entornos web con actualizaciones pueden ponerse un poco más lento, pero es necesario, el ciclo de la vida es tener más experiencia y ser un poco más lento, justo de eso se trata la seguridad, pasos lentos pero seguros.

La importancia de la seguridad en WordPress

WordPress es un sitio de alojamiento y sus redes están interconectadas por una misma central de base de datos o para ser más técnicos, todos se conectan a un mismo servidor, que bien puede ser comprometido por un Hacker ocioso o muy interesado en información.

Generalmente las webs importantes no utilizan WordPress como método de entrada ya que estas tienen la suficiente experiencia como para crear sus propios accesos y entradas de dominio; sin embargo, el 60% de los sitios web son de tipo WordPress y ameritan un  cuidado constante.

Como entorno personal o de trabajo, te verías muy en riesgo o exposición si un hacker tiene acceso a tus finanzas o a tu panel de trabajadores por ejemplo, pues para nadie es un secreto que también pueden crearse páginas web de trabajo, como el Coworking típico o unas un poco más empresariales.

Los sitios web de ventas también pueden estar familiarizados con WordPress y si posees uno de ellos sabrás que estos pueden incluso de ser delicados si sufren de un Hackeo repentino, pues estaríamos ante un grave caso de múltiple estafa, denuncias y mucho mas.

La seguridad en WordPress es necesaria y ahora que se está al tanto del WPForce y de sus posibles soluciones ante un ataque de este, lo mejor que se puede hacer es proteger nuestra información con los tips que ofrecemos, luego de esto ya no habrá absolutamente nada de que temer.

Dejar una contestacion

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.