Underc0de Blog: Wordpress

Wordpress

Mostrando entradas con la etiqueta Wordpress. Mostrar todas las entradas

Hola amigos y lectores de Underc0de!

Cómo sabéis WordPress, es una de las plataformas de gestión de contenidos más populares para la creación de blogs o sitios webs que se ejecuten en entornos MySQL y Apache.

La facilidad de instalación del software (libre) y su uso intuitivo hacen que sea una de las opciones preferidas al momento de montar una web o bitácora propia.

Sin embargo, el sistema de gestión no está exento de vulnerabilidades que los profesionales de la seguridad detectan con más frecuencia de la deseable.

En esta línea de ideas, les traemos un Zero-day (autor: indoushka) -de fecha de hoy (13/12/2015)- vinculado a una vulnerabilidad remote file inclusion en WordPress Squirrel Theme versión 1.6.4, describiéndosela como de alto riesgo.

Aquí podéis obtener el exploit.

Esta publicación tiene fines de divulgación, test e investigación. No nos responsabilizamos por el mal uso del mismo.

Fuente del Zero-day: 0day.today

Visítamos en Underc0de .

Existe una herramienta muy buena para la auditoría de CMS WordPress, su nombre es Wpscan; la cual permite realizar un análisis de vulnerabilidades para este tipo de gestor de contenidos. Además, esta herramienta permite realizar un ataque de fuerza bruta, el problema radica -principalmente- en que en dicho ataque la tool entrega muchos falsos positivos, por esta razón se comprobó que no es muy fiable al momento de su utilización.

Con esta problemática a la vista, se desarrolló una herramienta escrita en Python la cual se denominó BruteWP. Esta herramienta permite realizar un ataque de fuerza bruta de manera efectiva y para cualquier versión de WordPress.

Como se puede observar en la imagen anterior, este script requiere parámetros obligatorios como son, la URL ejemplo : www.mipagina.com/wp-login.php, el username (Para obtener el username se puede utilizar la herramienta Wpscan), y finalmente el diccionario.

Forma de uso:

Código: Bash

./BruteWP.py -h
./BruteWP.py -t [target] -u [user] -w [wordlist] -r [restaurar ataque]

El valor agregado que posee BruteWP, es que si se desea pausar el escaneo, es posible reanudarlo en cualquier momento con la opción -r, esto es muy útil, ya que así se podrá continuar con la auditoría sin ningún problema.

Más sobre esta herramienta: Underc0de

Fuente y Repo: github

A medida que el sistema de gestión de contenidos WordPress se vuelve más popular, es también un objetivo común para hackers, spammers y otros tantos códigos maliciosos. Es por eso que es vital tomar medidas para hacer que su sitio web sea más seguro.

El objetivo de la mayoría de los hackers es infectar su sitio web con malware. Las amenazas de malware más comunes incluyen:

Pharma Hacks – Inyecta spam en su base de datos web o archivos

Puertas traseras (Backdoors) – Permite a los hackers acceder a su sitio web en cualquier momento a través de FTP o su área de administración de WordPress.

Por Descargas – Cuando un hacker utiliza un script para descargar un archivo a la computadora de los usuarios, ya sea sin su conocimiento o por inducir a error al visitante y diciendo que el software hace algo útil

Inyecciones de archivos y bases de datos – Inserta código en sus archivos o base de datos que permite a los hackers hacer una serie de cosas diferentes.

Redirecciones maliciosos – Redirige a los visitantes a una página de ellos que engaña a la gente para que descargue un archivo infectado

Phishing – Se utiliza para adquirir nombres de usuario, contraseñas, direcciones de correo electrónico y otra información sensible

Cuando la mayoría de gente piensa en un sitio web hackeado, piensan en un hacker modificando la página de inicio y colocando un mensaje a los visitantes, por ejemplo, “su página web ha sido hackeada por ABCXYZ !”.

En realidad los cambios visibles en una página web no son tan comunes. La mayoría de los hackers no quieren que se sepa que han manipulado un sitio web, ya que lo primero que el propietario de un sitio web va a hacer cuando sepa que su página web ha sido comprometida es eliminar los archivos maliciosos.

Los piratas informáticos que infectan un sitio web con malware son más discretos, cuanto más tiempo pasa sin que usted sea consciente de lo que esta sucediendo, más tiempo podrán utilizar su sitio web para enviar mensajes de spam e infectar a sus visitantes. Pero incluso un sitio web de WordPress que creemos seguro puede ser hackeado sin que el propietario lo sepa. Por eso es importante que analice su sitio web con regularidad para detectar cualquier malware oculto.

En este artículo, me gustaría mostrarle los servicios y soluciones de algunos plug-in que le ayudarán a detectar el malware malicioso en su sitio web de WordPress.

Escaneo de Malware con Sucuri

Sucuri tiene una gran reputación por su seguridad y efectivad como solución de escaneo de malware. Su sistema de escáner Sucuri SiteCheck revisará su sitio web en busca de los problemas más comunes de forma gratuita.

El escáner explorará su sitio web en busca de inyecciones de malware, desconfiguraciones, y de spam. También puede detectar si su servidor web ha sido bloqueado (lo que podria pasar si un pirata informático ha estado usando su servidor para enviar correo no deseado). El problema es que solo es un informe ya que usted deberá remover las amenazas manualmente, también tiene la opción de pago para remover las amenazas, como sea es un buen punto de partida para saber si su sitio está infectado.

Sucuri también ofrecen un plugin de WordPress llamado Sucuri Security . Además de escanear su sitio web en busca de malware, el plugin ofrece un firewall para que su sitio web sea más seguro, reforzando con algunas otras características los posible agujeros de seguridad más comunes de WordPress , y una sección de “últimos inicios de sesión” que pone en evidencia quién ha accedido a su sitio web.

El plug-in también tiene algunas características útiles para la recuperación de su sitio web después de un ataque, así como la actualización de las salt keys y el restablecimiento de las contraseñas de usuario.

CodeGuard

CodeGuard es un servicio de respaldo que ofrece copias de seguridad automatizadas y restaura en un solo click. El servicio también revisa su sitio web todos los días para encontrar cambios y le alerta si detecta cualquier tipo de malware.

Los planes comienzan desde los $ 5 por mes por el servicio de backup de seguridad y monitorear un sitio web. Uno de sus principales rivales en el nicho de la copia de seguridad es VaultPress, sin embargo VaultPress sólo ofrece escaneos diarios con un plan de $ 40 por mes.

Theme Authenticity Checker

Theme Authenticity Checker es ún plugin del que ya había habladoanteriormente pero vale la pena mencionarlo de nuevo. El TAC escaneará cada tema instalado en su sitio web en procura de un código malicioso. Puede encontrar cosas tales como enlaces en el pie de página y las inyecciones de código Base64.

Un enlace de pie de página en una plantilla de WordPress no va a impedir que se pase la prueba, sin embargo el plugin le dará detalles de todos los enlaces que están codificados en la plantilla. Estos por lo general serán inofensivas, pero vale la pena comprobarlo, puede que algún mal enlace se haya colado.

WP Antivirus Site Protection

WP Antivirus Site Protection es un plugin de seguridad de SiteGuarding que puede escanear su sitio web en busca de backdoors, rootkits, troyanos, gusanos, fraudtools, adware y spyware. Además de los archivos de las plantillas , plugins y archivos de media que se hayan subido a su sitio web.

Con el plan gratuito su sitio web será explorado cada semana. La actualización a su plan básico de $ 4.95 por mes ofrece un seguimiento diario, sin embargo, su plan estándar de $ 9.95 al mes ofrece el sitio web de antivirus y de eliminación de malware.

AntiVirus

AntiVirus es un plugin de WordPress gratuito que explora su plantilla todos los días en búsqueda de códigos maliciosos y spam. Cuenta con una opción de alerta de virus en la barra de administración de WordPress. También se le puede notificar de cualquier detección de malware por correo electrónico.

La principal limitación del plugin es que sólo se explorará la plantilla de WordPres que este utilizando. No serán escaneadas sus otras plantillas instaladas. Pero esto no es un problema muy importante si usted ha removido plantillas viejas (que es aconsejable ya que las plantillas viejas y sin actualizar son un riesgo de seguridad).

Anti-Malware

Anti-Malware escaneará su sitio web en busca de malware y eliminará automáticamente las amenazas conocidas. El plugin también puede fortalecer su página wp-login.php para detener los ataques de fuerza bruta.

Quttera Buscador de Malware

Quttera Web Malware Scanner escaneará su sitio web en busca de las amenazas más conocidas como puertas traseras o backdoors, las inyecciones de código, iframes maliciosos, código eval oculto, y más. El informe le mostrará una lista de archivos sospechosos y le informará si su sitio web ha sido bloqueado por los ISP.

Wemahu

Wemahu es un nuevo plugin de WordPress que puede detectar código malicioso en su sitio web. Se puede realizar análisis en su página web de forma regular y luego se le envía un informe.

Wordfence Security

Wordfence Security es uno de los plugins de seguridad más populares disponibles para WordPress. El plugin puede escanear sus archivos principales contra todas las amenazas conocidas, archivos de las plantillas y los archivos de otros plugins instalados.

También proporciona un registro de los cambios a su sitio web y ofrece muchas opciones para el reforzamiento en la seguridad de su sitio web.

Rastreador de cambios, WP Changes Tracker & WP Security Audit Log

WP Changes Tracker no es un chequeador de malware. Lo que hace es marcar los cambios que se han hecho a la base de datos de WordPress, archivos de plugin, y archivos de la plantilla.Si su sitio está hackeado, esta información puede ayudar a ver que se ha modificado y cómo se ha comprometido la web. El plugin también es útil para el seguimiento de los cambios que se han hecho por usted o por el personal que tenga a cargo.

Una gran alternativa a WP Changes Tracker es WP Security Audit Log . El plugin mantendrá un registro de cada cambio en su sitio web y las alertas de seguridad serán enviadas por múltiples razones, incluyendo los intentos fallidos de inicio de sesión, los cambios a algún archivo de plantillas, y la instalación de plugins.

Otros plugins a considerar para el escaneo de malware son:

6Scan Security
Servicio Kyplex Anti-Malware
Ultimate Security Checker
Exploit Scanner

FUENTE| tallerblogs

La seguridad en servidores y plataformas web es un aspecto muy importante, pero que no todos los administradores tienen en cuenta, o incluso no se toman el tiempo suficiente para configurar. Manteniendo nuestro servidor actualizado y realizando las configuraciones correspondientes de seguridad podremos proteger la privacidad, integridad y disponibilidad de los recursos que están bajo el control del administrador del servidor.
Algunas características a tener en cuenta a la hora de contratar un hosting son:

Proveedor que se preocupe por la seguridad en sus procesos y productos
Que proporcione las últimas versiones más estables de todo el software del servidor.
Métodos confiables de copias de seguridad y restauración de las mismas.

Entre las preguntas frecuentes que surgen a la hora de asegurar nuestra información podemos destacar dos: qué datos hace falta que asegure y a través de qué metodologías. Uno de los aspectos fundamentales son las vulnerabilidades, por lo que, en primer lugar, debemos asegurarnos de que el sistema operativo que brindará el servicio esté libre de malware, ya que una infección podría comprometer el rendimiento y el servicio. Este punto se encadena con la disponibilidad de una solución antivirus actualizado. Y por último, es necesario contar con todas las actualizaciones del sistema operativo, ya que un sistema desactualizado puede exponer fallas o agujeros de seguridad que se convierten en posibles vías de explotación para un atacante. Algunas buenas prácticas a la hora de configurar WordPress son:

Mover el directorio wp-content: esta acción ayuda a proteger al sitio contra ataques automatizados Zero Day.
Cambiar el nombre de usuario admin: este usuario es el que viene por defecto, por lo que es uno de los primeros objetivos de un cibercriminal a la hora de realizar un ataque de fuerza bruta. En las versiones más recientes de WordPress, es posible seleccionar el nombre de usuario durante la instalación.
Mínima instalación de plugins: muchos de éstos son susceptibles a Cross-Site Scripting (XSS) e inyección de SQL; si se instalan pocos plugins se reducirán vectores de ataques.
Mover wp-config.php fuera del directorio raíz web: si movemos este archivo una carpeta más arriba del directorio web raíz, lograremos que no se vea la configuración de nuestro WordPress.
Quitar el listado de directorios en el servidor: WordPress sufre Full Path Disclosure lo que ayuda a realizar ataques como Path Transversal.
Administración a través de SSL: a veces, el panel de administración se usa por protocolo sin cifrar HTTP, pero si ingresamos mediante HTTPS estamos enviando los datos encriptados, lo que dificulta la intercepción de información y evita ataques de tipo MITM.
Usar la base de datos sin privilegios de administrador cuando no se requiere: por defecto WordPress solo usa una base de datos de usuarios para todos ellos. Pero con algunos ajustes de código se puede usar un usuario de una base con menos privilegios para usuarios anónimos, lo que reduce considerablemente los riesgos.
Mantener usuarios con privilegios mínimos: existe la posibilidad de que un usuario con privilegios de administrador tenga una contraseña débil. Concediendo a los usuarios los privilegios indispensables se reducen las posibilidades de que se vean comprometidas sus cuentas.
Sacar el “Powered by WordPress” del pie de página: los ciberdelincuentes usan este pie de página en buscadores para encontrar potenciales víctimas vulnerables.
Lista blanca de IP para acceder al wp-login.php: generalmente los administradores acceden a su blog desde la misma dirección IP, por lo que se configuran estas direcciones como “de confianza” para poder acceder.

Una última consideración sería contar con un sistema de detección de intrusos, lo que nos va a permitir reaccionar mucho más rápido ante un incidente y por supuesto no almacenar las copias de seguridad en directorios públicos, para evitar que los atacantes descarguen esta información, pudiendo así aplicar informática forense para obtener información sensible.

El problema en muchos casos (lo hemos visto más de una vez) viene cuando atraemos de alguna forma un gran volumen de tráfico a una landing page o artículo de un blog WordPress sin tener nuestro WordPress preparado para soportar el tráfico.

Vamos a comenzar desde el principio, cuando un visitante entra a una web o blog creada con WordPress (sin cache) se tiene que procesar el código PHP en el servidor cada vez que el visitante accede y esto lleva tiempo y se genera un consumo de recursos elevado.

Para blogs o páginas de lanzamiento con poco tráfico, un simple hosting y un sistema de caché en forma de plugin como WP SuperCache podría bastar para soportar el tráfico atraído, pero cuando mandamos grandes volúmenes de tráfico como 1.000 o 2.000 visitantes por segundo es necesario implementar otro tipo de soluciones a nivel servidor que nos ayudaran a mantener unos tiempos de carga muy bajos y además aguantar la carga sin caídas.

En este artículo vamos a describir una serie de soluciones que nos ayudaran a aguantar picos de tráfico en un blog WordPress, en la mayoría de los casos estas soluciones son óptimas para servidores VPS y servidores dedicados, no para hosting compartido.

Nginx Cache

Personalmente, Nginx es mi servidor web favorito (como alternativa a Apache); pero Nginx también puede funcionar de otra forma llamada “proxy inverso”.

Cuando Nginx funciona como proxy inverso puede funcionar como caché, guardando una copia estática de los sitios web y pudiendo servir esta copia mucho más rápido a los visitantes cuando solicitan el acceso a una web.

El consumo de recursos de Nginx al servir páginas estáticas cacheadas puede ser un 1% del consumo de Apache para servir la misma página sin cachear, eso sin contar la notable mejoría en la velocidad de carga para el visitante.

Nginx es el servidor web recomendado para un servidor VPS dado su bajo consumo de recursos.

Flexicache + Memcached

Se trata de una combinación de plugin para WordPress con un sistema de caché de objetos en memoria RAM a nivel servidor.

Flexicache es uno de los mejores plugins de caché que me he encontrado para WordPress, permite bajar de forma notable el consumo de recursos de WordPress; pero lo mejor de Flexicache es que tiene soporte nativo para guardar las paginas estáticas cacheadas en la memoria RAM utilizando Memcached, algo que pocos Plugins de caché para WordPress tienen.

Combinando Flexicache y Memcached conseguimos un rendimiento muy parecido al que conseguiríamos con Nginx Cache en cuanto a velocidad de carga, aunque el consumo de recursos es entre un 10% y un 20% más alto con Flexicache y Memcached.

Varnish Cache

Varnish Cache es lo que se viene denominando como un acelerador de aplicaciones web, aunque realmente se trata de un sistema de caché que se coloca como un proxy HTTP inverso para un servidor web como Apache.

Varnish es una de las mejores soluciones a la hora de soportar grandes cantidades de tráfico, ya que es capaz de alcanzar altas tasas de peticiones por segundo sin consumir demasiados recursos en el servidor.

El funcionamiento de Varnish como caché es muy simple: lo único que hace Varnish Cache es guardar copias estáticas del sitio web en la memoria del servidor, permitiendo servir las páginas sin consumir recursos en procesar PHP y con un mínimo retardo al servir peticiones a los visitantes.

Varnish Cache es la solución más efectiva para soportar grandes volúmenes de tráfico entrante, pero también es la solución más difícil de implementar y configurar.

Compartimos exploit zero-day en WordPress

Wordpress: herramienta de Brute Force

Como encontrar Malware en Wordpress

Como fortalecer la seguridad en WordPress

Soportando mucho tráfico en WordPress

Nginx Cache

Flexicache + Memcached

Varnish Cache

Underc0de

Underc0de

Sponsors

Síguenos!

Popular Posts

Labels

Archivo del blog

Blogs amigos

Comentarios recientes

Visitas