Sitios web de Joomla y WordPress bajo ataque de diccionario

Miles de sitios WordPress y Joomla están siendo atacados mediante ataques de “fuerza bruta” (diccionario) ejecutados por botnets (redes de bots). Los administradores necesitan asegurarse de que sus contraseñas y nombres de usuario son lo suficientemente seguros para sus instalaciones de Joomla y WordPress.

En los últimos días, los atacantes han subido de intensidad estos ataques basados en diccionario para intentar loguearse en blogs y sitios Joomla, de acuerdo a los informes de CloudFlare, HostGator y otras empresas de seguridad. Estos ataques buscan nombres comunes de usuario, como “admin” en el sitio web y sistemáticamente intentan introducir contraseñas comunes para “colarse” en las cuentas.

Los administradores no deben permitir estas brechas en la seguridad, ya que, de producirse, los atacantes podrían modificar el sitio o inyectar código malicioso en él. Sin embargo, la naturaleza del ataque y su gran alcance ocultan propósitos aún más oscuros. Parece ser que los atacantes planean tomar control directo sobre esos servidores. Los servidores web son normalmente más potentes y cuentan con mayor ancho de banda que los PCs tradicionales, lo que los convierte en blancos apetecibles.

Según Matthew Prince, CEO de CloudFlare, “los atacantes están usando una red relativamente débil de bots, basándose en ordenadores personales, para prepararse para un ataque a mayor escala”.

La red de bots “Brobot”, que el pasado otoño fue responsable de ataques masivos de “denegación de servicio” contra instituciones financieras de EEUU, está formada por servidores Web comprometidos. Estas máquinas potentes pueden causar un daño mucho mayor en ataques DDoS debido a su capacidad de generar un gran número de conexiones y tamaño de tráfico.

Ataques de fuerza bruta

Los cibercriminales están usando estas tácticas para romper la seguridad de las cuentas de usuario en sitios WordPress y Joomla. Los 5 principales nombres de usuario en el punto de mira son: “admin”, “test”, “administrator”, “Admin” y “root”. En un ataque de fuerza bruta los atacantes probarán todas las combinaciones posibles, hasta conseguir entrar en el sistema. Es más fácil adivinar y reproducir contraseñas simples como secuencias de números y palabras reconocibles en el diccionario del idioma en cuestión. Las botnets automatizan todo el proceso. Las principales contraseñas en el punto de mira son: “123456”, “111111”, “666666” y “12345678”.

Si usáis contraseñas o nombres de usuario comunes las debéis cambiar inmediatamente por algo menos obvio. Un ataque de diccionario se puede realizar sobre contraseñas más seguras, sin embargo, al aumentar el tiempo para descubrir el término de forma exponencial, los atacantes perderán el interés.

Aumento en el volumen de ataques

Las estadísticas Sucuri indican que estos ataques no hacen sino crecer. La compañía ha bloqueado 678519 intentos de login en diciembre, seguidos de 1252308 intentos en enero, 1034323 en febrero, después 950389 en marzo y 774104 en los primeros 10 días de abril. Esto ha supuesto un incremento de los intentos, de los 30.000/40.000 intentos por día a casi 77.000 diarios actuales. Ha habido jornadas en las que se han sobrepasado incluso los 100.000 intentos de logueo fraudulento.

En estos casos, simplemente evitando el hecho de tener usuarios de tipo admin/administrator/root estaremos fuera de estas estadísticas.

Indicios de una gran Botnet

El volumen de los ataques da una muestra del tamaño de las botnet empleadas en esta labor. HostGator la estima en al menos 90.000 ordenadores. CloudFlare cree que “más de varias decenas de IPs únicas están siendo usadas”.

Una botnet está formada por ordenadores vulnerados que reciben instrucciones de uno o varios servidores de comando-control centralizados, las cuales ejecutan. En su mayor parte, estos PCs han sido infectados con algún tipo de malware y el usuario no está al corriente de que los intrusos controlan sus máquinas.

Credenciales fuertes, software actualizado

Los ataques contra sistemas populares de administración de contenido no son nuevos, pero el volumen neto y los intentos exitosos deben preocuparnos. En este punto, los administradores no pueden hacer demasiado, al margen de usar credenciales de usuario fuertes (nombre-password) y asegurarse de que el CMS y los plugins asociados estén actualizados.

Si usamos todavía el valor “admin” como nombre de usuario en nuestro blog, debemos cambiarlo. También debemos aumentar la seguridad de nuestra contraseña. Si estamos en WP.com debemos activar el factor de autenticación en dos pasos y, por supuesto, asegurarnos de tener instalada la última versión de WordPress.

Programas PC y software para acelerar el PC en nuestra web Mejor Antivirus