A lo largo de esta semana, una gran cantidad de blogs que utilizan el CMS de WordPress han sido infectados con código malicioso a raíz de un ataque distribuido capaz de descifrar por fuerza bruta las claves de administrador con un password poco seguro. El problema todavía no ha sido solucionado, y el botnet está contagiando de forma exponencial a más de 100.000 equipos.

Wordpress ataque featured

WordPress es el gestor de contenido para la creación de blogs más utilizado, por lo que un ataque de estas características bien orquestado estaba predestinado a funcionar. El funcionamiento consiste en averiguar mediante combinaciones aleatorias de unas 1000 palabras las claves de acceso de administrador del blog en cuestión. Al ser un ataque masivo, y aunque el ratio de infección sea muy pequeño, solo por la cantidad de blogs que utilizan este CMS es fácil encontrar passwords poco seguros.

Según el proveedor de servicios de telecomunicaciones CloudFlare (que últimamente no para tras el sonado ataque DDoS a escala), se han llegado a detectar más de 60 millones de este tipo de peticiones en una hora, y en determinados casos incluso los proveedores están bloqueando el acceso de determinadas IPs a paneles de administración de WordPress.

De momento no es un problema que afecte a los usuarios, pero los servicios de hosting sí que están teniendo problemas al haberse elevado enormemente el tráfico saliente de las máquinas afectadas que atacan incesantemente a otros equipos sondeando la red. Las complicaciones podrían venir más adelante si el objetivo de este código infectado es el de enviar spam o apropiarse completamente de los credenciales de acceso del afectado.

La mejor forma de comprobar si estamos infectados es acceder al panel de administración de WordPress y comprobar si ha sido creado algún usuario desconocido. También deberíamos reforzar nuestra contraseña de acceso por una que incorpore letras y números. Además, sería una buena idea restaurar nuestra instalación de WordPress a una anterior o reinstalándola por completo. Por último, y para prevenir nuevos contagios, sería interesante instalar algún plugin de protección, como Wordfence o Limit Login Attemps con el que limitar un acceso masivo.

4 COMENTARIOS

  1. Pues tócate los cojones, ¿pero WordPress no usa salto en la encriptación de la contraseña? es decir (Password Salt)… Si no lo usan, ¿como coño no les van a cescifrar las contraseñas?

  2. Fueza bruta = probar combinaciones de palabras al azar hasta que una combinación acierte. No hay que descifrar ni desencriptar nada. Por eso caen los blogs con passwords poco seguros, que constan de una o dos palabras genéricas combinadas.

    El programa atacante lee un diccionario de palabras de uso común y va probando combinaciones hasta que acierta una. Entonces infecta esa instalación, que a su vez comienza a hacer lo mismo con otros blogs.

  3. Mas que un comentario es una sugerencia, sería conveniente filtrar los comentarios que hacen en este sitio para evitar leer tan desagradables expresiones. Gracias!

Los comentarios están cerrados.