Portada Wordpress Detectados Ataques a WordPress desde WordPress.com
Los atacantes de sitios web no dejan de pensar nuevas formas de poder infectar sitios web, con malware o para instalar algún software para minar criptomonedas.
Como viene siendo habitual, WordPress es un objetivo prioritario para los atacantes. Esto no es porque sea una plataforma insegura, si no por se el gestor de contenidos más usado en el mundo.
Si un atacante encuentra alguna brecha de seguridad en WordPress, puede sacarle más provecho que en otras plataformas, sencillamente porque WordPress lo usa más gente.
En esta ocasión, los ataques detectados vienen directamente de WordPress.com, pero que afectan a instalaciones de WordPress en alojadas en otros servidores.
Vamos a aclarar esto un poco…
Existen dos versiones de WordPress,
Si eres cliente de Hostinet y estás usando WordPress, estás usando WordPress.org.
El inicio en WordPress.com es atractivo para los usuarios noveles porque es gratuito, pero tiene limitaciones importantes, como sólo funcionar con un subdominio, del tipo:
MiSubdominio.wordpress.com
Si se quieren tener opciones más avanzadas, como poder trabajar con nuestro propio dominio, añadir la publicidad se quiera, no la que imponga WordPress.com, o instalar cualquier plugin o theme, sólo se podrá hacer pasando por caja y en los planes más avanzados.
En cambio, si se contrata un hosting y dominio en Hostinet, se podrá instalar la versión de WordPress.org ( o PrestaShop o Joomla!, o lo que se quiera…) y tener el control total dede el principio.
Esta última opción es la idónea para crear cualquier proyecto medio serio en Internet.
Así que, aunque tengan casi el mismo nombre y aparentemente sea lo mismo, son productos muy distintos.
Este ataque a es bastante singular. Lo que tenemos que tener claro, es que el sitio infectado acaba siendo una instalación de WordPress de cualquier servidor, por ejemplo Hostinet, pero que se realiza desde WordPress.com.
Si te estás preguntando cómo es posible esto, la respuesta es muy sencilla y viene en forma de plugin, el popular Jetpack.
Este plugin es uno de los más populares de WordPress y lo usan millones de personas en el mundo. Ofrece varias funcionalidades extra, todas en un mismo paquete.
Una de estas funcionalidades que ofrece Jetpack es poder añadir cualquier WordPress instalado en cualquier servidor, a una cuenta de usuario de WordPress.com.
De esta forma, si se están gestionando varias instalaciones de WordPress, es posible centralizar la gestión desde un sitio en común, que sería WordPress.com
Y aquí está el problema, no es un fallo del plugin Jetpack, tampoco un fallo de WordPress o del servidor donde esté instalada la versión de WordPress, ni tampoco es un error desde WordPress.com, se trata de el típico error de contraseñas comprometidas
Para que el atacante tuviera acceso al sitio, debería de sumarse una serie de circunstancias, que serían:
Aun así, cumpliendo estos 3 requisitos, no significa que el WordPress instalado en Hostinet esté comprometido, ya que es imprescindible que la contraseña de WordPress.com esté comprometida.
El problema es la mala costumbre de usar la misma contraseña para distintos servicios. Si uno de estos servicios es comprometido, los atacantes recurren a esta brecha de seguridad para intentar acceder a otros servicios.
Lo de los problema de seguridad en empresas grandes son algo muy común, desgraciadamente, Linkedln, DropBox, Twitter, Taringa, etc… han tenido brechas de seguridad y en lo peor es que luego se comercia con estas credenciales.
Listas con millones de contraseñas son vendidas cada día en foros de la Deep Web. Luego el atacante sólo debe encontrar la forma de usar esos datos de la forma que más le beneficie.
Una vez el atacante ha conseguido entrar a WordPress.com tiene una gran acceso a los WordPress que hayan sido incluidos. Puede instalar cualquier tipo de plugin.
El atacante subía el plugin pluginsamonsters, no os molestéis en buscarlo en el repositorio de WordPress porque no existe. En WordPress se pueden instalar un plugin de distintas maneras.
Este plugin se encarga de inyectar código malicioso en el WordPress, además no aparece listado en el apartado de “Plugins Instalados” de WordPress, sólo si se desactiva, por lo que el administrador de WordPress no nota nada extraño en su panel de control.
Una vez instalado el plugin, se encargaba de añadir puertas traseras para asegurarse el acceso al sitio y realizar otras modificaciones, como crear redirecciones o añadir JavaScript para mostrar publicidad.
Si se está usando WordPress.com, junto con el plugin Jetpack, para administrar cualquier WordPress instalado en otros servidores, habrá que tomar las medidas oportunas para evitar cualquier problema.
Las medidas son muy sencillas. Entrar en WordPress.com y comprobar que no esté instalado ningún plugin que. no conozcamos, como pluginsamonsters.
Cambiar las contraseñas, en el caso de haberla usado en otros servicios y activar la autenticación en dos pasos en WordPress.com.
Todo esto lo cuentan los chicos de Wordfence en su blog (más información aquí pero en inglés)
Si tienes curiosidad por saber si alguna de nuestras contraseña se han filtrado en algún momento, existe una página llamada Haveibeenpwned.com donde se puede comprobar.
Se puede comprobar la cuenta de correo o contraseña (pulsando en Passwords en el menú superior).
Por o general, lo mejor es comprobar las contraseñas que se utilicen habitualmente, si aparece el mensaje “Oh no – pwned!” lo inteligente sería dejar de usar esa contraseña y cambiarla lo antes posible en cualquier servicio donde se esté usando. En ejemplo hemos usado la contraseña 1234.
En cambio, si no ha sido filtrada nunca, nos dará un OK:
En Hostinet, nuestro hosting WordPress SSD viene con una capa de seguridad adicional.
Esta capa de seguridad se encarga de escanear todos los alojamientos web en busca de cualquier tipo de malware que se haya instalado instalar en WordPress.
Si detecta algo, pone en cuarentena los archivos infectados y avisa al cliente para que tome las medidas oportunas.
¡Como si fuera un antivirus pero en el hosting!
Estas con algunas de las opciones de Hosting WordPress SSD que podemos ofrecerte en Hostinet: