Desamark

Desarrollo web y Marketing digital en Bilbao

  • Español
  • Inicio
  • Blog
  • Sobre mí
  • Recursos
    • Seo Bilbao
    • Posicionamiento web Bilbao
    • Diseño web Bilbao
    • Drupal Bilbao
    • Dominio
      • Godaddy
      • NameCheap
    • Hosting
      • Webempresa
      • Ipage
      • Hostgator
      • Raiola Networks
      • SeoLite
      • Takerhost
      • Banahosting
    • Cloud hosting
    • Plantillas
    • Recursos de diseño grafico de pago y gratuitos
    • Pluggins
    • Intercambio de Trafico web
    • Intercambio de enlaces
    • Intercambio en redes sociales
    • Herramientas SEO
      • SemRush
    • Proxy’s
    • Aumentar CTR
    • Backlinks
      • Directorios de empresas
    • Concursos en redes sociales
    • Libros
    • Ebooks
    • Cursos
      • cupon Quondos de descuento
    • Trabajar desde casa
    • Contratar Freelance
    • Sitios de interes
  • Area privada
    • Backlinks de calidad
  • Contacto

Inicio » Seguridad

Como proteger WordPress de un ataque fuerza bruta mediante Wordfence

7 marzo, 2014 Por Vicen Martínez Arias

Continuamente se realizan ataques masivos de fuerza bruta contra WordPress y otros tipos de CMSs como Joomla. Cuanto más generíca es la solución más genericos son los tipos de ataques tambien.

En estos momentos mientras lees este articulo se estan produciendo miles de ataques por minuto.

Wordfence es uno de los pluggins de seguridad que suelo utilizar en mis sitios por diferenes motivos:

– Tiene una opción gratuita y otra de págo con más funcionaliades.

– Muestra el tráfico en tiempo real. Permite ver tanto los humanos como los bots y asi poder analizar por IPs y más opciones.

– Permite limitar el número de intentos de acceso.

– Escanea en los ficheros en busca de malware. Comprueba la intregridad de los ficheros de la instalacion, pluggins y temas buscando urls sospechosas. Se podría decir que Wordfence es el único plugin de seguridad para WordPress que puede verificar y reparar el núcleo del CMS, el theme y los archivos del plugin, incluso si no se dispone de copias de seguridad.

 

Para instalar Wordfence Security y empezar a proteger tu sitio web WordPress:
Instala el plugin Wordfence desde el dashboard:

1 – Activa el plugin una vez instalado.
2 – Acepta (si quieres recibir notificaciones) la propuesta de recibir avisos de seguridad en tu e-mail.
3 – Vete al menú de escaneo y comenzar la primera exploración de seguridad. También se habilitará el análisis de seguridad programado.
4 – Una vez que la primera exploración se ha completado aparecerá una lista de las amenazas de seguridad.
5 – Si quieres, cambia el nivel de seguridad o ajusta las opciones avanzadas para configurar el análisis de seguridad individual y opciones de protección para tu sitio.
Por último haz clic en la opción de menú «Traffic Live» para ver la actividad de tu sitio en tiempo real.

Dentro de Wordfence en Options en la zona Login Security Options:

 

  • Las opciones de “login failures” debe de tener pocos intentos, por ejemplo 5.
  • “Count login failures over what time period” tambien con un número limitado, por ejemplo 5 minutos
  • Configura “Amount of time a user is locked out” a 1 hora.

como proteger wordpress de un ataque-fuerza-bruta mediante wordfence

 

Algunos hostings como por ejemplo el de Webempresa tienen ya incluida la protección de ataques por fuerza bruta, pero por si acaso no esta de más que sigas estos pasos.

Aqui os dejo un video en el que se explica como mejorar la seguridad de WordPress con Wordfence Security

Filed Under: Seguridad Tagged With: Wordpresss

Como auditar WordPress

22 enero, 2014 Por Vicen Martínez Arias

Vamos a ver como auditar WordPress.

Lo primero que deberemos hacer en una auditoría de WordPress es comprobar la versión. La instalación por defecto de WordPress deja un fichero en la carpeta raíz, llamado «readme.html».

Como véis, se trata de un fichero html que podréis visitar sin problemas desde el navegador, y que muestra la información sobre la versión de WordPress que se encuentra instalada (obviamente será uno de los primeros archivos a eliminar tras instalar un WordPress, pero la inmensa mayoría no lo hace…).

Sabiendo la versión ya podréis googlear en busca de exploits que afecten a dicha versión de WordPress, pero eso lo dejaremos para la fase de explotación de vulnerabilidades, por ahora seguimos footprinteando 🙂

El siguiente paso será analizar el código fuente de algunas de las páginas del WordPress y buscar parámetros o comentarios que nos puedan dar más datos de la versión de WordPress para contrastarlos con el obtenido del readme.html (que podrían haber modificado a propósito para engañarnos)

En una instalación de WordPress habrá algunas carpetas importantes, la clave de todas ellas es la carpeta wp-content, y bajo la que colgarán las carpetas de la instalación de plugins o la de themes. Esto quiere decir que si buscamos en Google con el parámetro «inurl», por textos como «wp-content», «plugins» o «themes», encontraremos mucha información de utilidad. Además, podríamos acompañarlo del texto «index of» para ver si gentilmente nos ceden los fuentes de su wordpress en un listado de directorios.

Si hay algo que WordPress no hace muy bien (y los programadores de plugins no mejoran…) es gestionar los errores. Por ejemplo, si realizáis una petición a un archivo PHP de un plugin que espera recibir una serie de parámetros, y no le pasáis dichos parámetros, es muy posible que se produzca un error inesperado, que acabe en un Path Disclosure, con el que podremos ver la ruta de instalación del WordPress, lo que nos ayudará a ver si se trata de una instalación realizada en un Windows, un Linux, etc. entre otras cosas.

Además, si por casualidad, los bots indexan estos errores, nos encontraremos con problemas como el siguiente, al que llegaremos combinando las búsquedas anteriores con «Fatal error» o «Fatal error: Call to undefined function».

WordPress permite a través de los parámetros «?author_name=nombre» y “?author=ID”, añadidos a la raíz de la web (http://www.miwordpress.com/?author=1) ver la información y los artículos publicados por un usuario registrador.  Nosotros lo utilizaremos con otro fin, el de comprobar si existe un usuario o no.

Podremos programarnos algunos scripts sencillos que recojan de un diccionario números y palabras con las que probar posibles nombres, pero para que la tarea sea más sencilla, W3af tiene ya entre sus utilidades un plugin para enumerar los usuarios, llamado «wordpress_enumerate_users«.

Una vez que hayamos enumerado los usuarios del WordPress ¿qué podremos hacer con ello?. Pues como ya os imagináis, los utilizaremos para intentar autenticarnos con ellos en el portal, bien intentando averiguar la contraseña por lógica o ingeniería social, probando algunas de las contraseñas más utilizadas o el propio nombre de usuario por ejemplo, o bien haciendo un ataque de fuerza bruta. En próximos posts de la cadena os explicaré como realizar un ataque de fuerza bruta con Metasploit para intentar averiguar las claves y por supuesto, también daremos algunos consejos para hacer que nuestro wordpress no sea vulnerable a los ataques de fuerza bruta.

¿Como hacerlo de forma automatica?

WPScan es una herramienta de seguridad de código abierto distribuida bajo licencia GPL que permite, a los profesionales de la seguridad y a los administradores web, evaluar las condiciones de seguridad de un sitio web mediante la exploración de las diversas vulnerabilidades conocidas dentro de una instalación de WordPress.

Con WPScan es posible definir los plugins instalados en WordPress con el siguiente comando:

wpscan --url http://localhost/laboratorio/ --enumerate p

Para aquellos plugins que fueron detectados WPScan realiza un chequeo contra las vulnerabilidades conocidas en los mismos y en caso de que el resultado sea positivo, WPScan informa sobre la vulnerabilidad y suministra un enlace con más información, y en algunos casos, indica el exploit público para explotar la misma.

Otra funcionalidad permite enumerar a los usuarios que utilizan el gestor de contenidos.

wpscan --url http://localhost/laboratorio/ --enumerate user

Si el proceso de enumeración de usuarios de WordPress es demasiado lento, podemos utilizar el argumento –threads para realizar multithreading. En el siguiente ejemplo, configuramos WPScan para enumerar todos los usuarios de WordPress en http://localhost/laboratorio/ utilizando 50 hilos.

wpscan --url http://localhost/laboratorio/ --enumerate user --threads 50

Si el gestor de contenidos WordPress tiene un gran número de usuarios, es recomendable dividir el proceso. Por ejemplo, en lugar de enumerar 1.000 usuarios a la vez, podemos enumerar los 100 primeros. Para ello especificamos el rango ID entre corchetes como en el siguiente ejemplo:

wpscan --url http://localhost/laboratorio/ --enumerate u[1-100]

WPScan tiene un módulo que permite realizar fuerza bruta sobre aquellos usuarios que fueron enumerados con anterioridad mediante el uso de un listado de palabras o wordlist. Mediante este método es posible auditar la fortaleza de las contraseñas utilizadas por los usuarios del sistema. Es importante recordar que el talón de Aquiles de los usuarios siguen siendo las contraseñas.

También es capaz de especificar la versión de WordPress que se encuentra instalada en el servidor lo que puede utilizarse para verificar que se tenga la versión más actual del sistema de gestión de contenidos. Además, en caso de que se tenga instalado una versión vulnerable de WordPress, WPScan indica la información relevante sobre dichas vulnerabilidades.

 

 

 

Filed Under: Seguridad

Como hacer un ataque por fuerza bruta a WordPress y Joomla

10 diciembre, 2013 Por Vicen Martínez Arias

Un ataque por fuerza bruta consiste en probar todas las combinaciones posibles hasta encontrar la que permite acceder.

En CMSs como WordPress o Joomla primero tendríamos que hacer uan enumeración de los usuarios para saber con que usuario atacar.

Como la password puede ser muy larga y llevaría mucho tiempo se suelen usar diccionarios con passwords típicas antes e realizar todas las combinaciones.

Así que re recordad que es recomendable que elijais una contraseña poco común y larga con caracteres, mayusculas y numeros para ponerlo lo más dificil posible.

Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable. [Read more…]

Filed Under: Seguridad Tagged With: Joomla, Wordpresss

Código promocional Google Workspace GRATIS

codigo promocional g suite

Categorías

  • Adsense
  • Adwords
  • Afiliación
  • Analitica web
  • Atraer
  • Backlinks
  • BlackHat
  • Blog
  • Certificaciones
  • Citas
  • Como ganar dinero
  • Conceptos básicos de la publicidad
  • Contenido
  • Convertir
  • Copywriting
  • Desarrollo web
  • Diseño
  • Ecommerce
  • Email marketing
  • Facebook
  • Fidelizar
  • Formación
  • Freelance
  • Google WorkSpace Noticias
  • Hosting
  • Inbound marketing
  • LinkBuilding
  • Marca personal
  • Marketing de Contenidos
  • Marketing online
  • Negocios online
  • Redes sociales
  • Review
  • Seguridad
  • Sem
  • SEMRush
  • Seo
  • Tecnologia
  • Videos
  • Wordpress
  • Youtube

Prueba SemRush GRATIS

Semrush Gratis Cupones

Aviso legal - Politica de privacidad - Politica de cookies - Contratación
DMCA.com Protection Status