Sitios Web de Joomla y Wordpress Bajo Ataque de Diccionario
Debemos estar atentos a las credenciales de usuario que empleamos, sobre todo si somos usuarios de WordPress o si administramos una web basada en Joomla, ya que son dos objetivos apetecibles para los enemigos de la red.
Sergio Méndez Galindo
15 de April · 750 palabras.
15 de April · 750 palabras.
x
🕘 Resumen
En los últimos días se han reportado miles de ataques mediante fuerza bruta dirigidos a sitios web basados en Wordpress y Joomla. Estos ataques son ejecutados por botnets que tratan de obtener acceso a las instalaciones mediante nombres de usuario y contraseñas comunes. Los administradores de los sitios web deben asegurarse de que sus credenciales sean lo suficientemente seguras para evitar el riesgo de que los atacantes modifiquen el sitio o inyecten código malicioso en él. Sin embargo, la naturaleza del ataque y su gran alcance sugieren que también podrían estar planeando tomar el control directo sobre esos servidores. Según Matthew Prince, CEO de CloudFare, los atacantes están usando una red de bots débil formada por ordenadores personales para preparar un ataque a mayor escala. Los principales nombres de usuario en el punto de mira son "admin", "test", "administrator", "Admin" y "root". Los cibercriminales están usando estas tácticas para romper la seguridad de las cuentas de usuario en los sitios web basados en Wordpress y Joomla.En los últimos días, los atacantes han subido de intensidad estos ataques basados en diccionario para intentar loguearse en blogs y sitios Joomla, de acuerdo a los informes de CloudFlare, Hostgator y otras empresas de seguridad. Estos ataques buscan nombres comunes de usuario, como “admin” en el sitio web y sistemáticamente intentan introducir contraseñas comunes parar “colarse” en las cuentas.
Los administradores no deben permitir estas brechas en la seguridad, ya que, de producirse, los atacantes podrían modificar el sitio o inyectar código malicioso en él. Sin embargo, la naturaleza del ataque y su gran alcance ocultan propósitos aún más oscuros. Parece ser que los atacantes planean tomar control directo sobre esos servidores. Los servidores web son normalmente más potentes y cuentan con mayor ancho de banda que los pcs tradicionales, lo que los convierte en blancos apetecibles.
Según Matthew Prince, CEO de CloudFare, “el atacante están usando una red relativamente débil de bots, basándose en ordenadores personales, para prepararse para un ataque a mayor escala.
La red de bots “Brobot”, que el pasado otoño fué responsable de ataques masivos de “denegación de servicio” contra instituciones financieras de EEUU, está formada por servidores Web comprometidos. Estás máquinas potentes pueden causar un daño mucho mayor en ataques DDoS debido a su capacidad de generar un gran número de conexiones y tamaño de tráfico.
Ataques de fuerza bruta
Los cibercriminales están usando estas tácticas para romper la seguridad de las cuentas de usuario en sitios Wordpress y Joomla. Los 5 principales nombres de usuario en el punto de mira son: “admin”, “test”, “administrator”, “Admin” y “root”. En un ataque de fuerza bruta los atacantes probarán todas las combinaciones posibles, hasta conseguir entrar en el sistema. Es más fácil adivinar y reproducir contraseñas simples como secuencias de números y palabras reconocibles en el diccionario del idioma en cuestión. Las botnets automatizan todo el proceso. Las principales 5 contraseñas en el punto de mira son: “123456”, “111111”, “666666” y “12345678”.
Si usáis contraseñas o nombres de usuario comunes las debéis cambiar inmediatamente por algo menos obvio. Un ataque de diccionario se puede realizar sobre contraseñas más seguras, sin embargo, al aumentar el tiempo para descubrir el término de forma exponencial, los atacantes perderán el interés.
Aumento en el volumen de ataques
Las estadísticas Sucuri indican que estos ataques no hacen sino crecer. La compañía ha bloqueado 678519 intentos de login en Diciembre, seguidos de 1252308 intentos en Enero, 1034323 en Febrero, después 950389 en Marzo y 774104 en los primeros 10 días de Abril. Esto ha supuesto un incremento de los intentos, de los 30000/40000 intentos por día a casi 77000 diarios actuales. Ha habido jornadas en las que se han sobrepasado incluso los 100000 intentos de logueo fraudulento.
En estos casos, simplemente evitando el hecho de tener usuarios de tipo admin/administrator/root estaremos fuera de estas estadísticas.
Indicios de una gran Botnet
El volumen de los ataques da una muestra del tamaño de las botnet empleadas en esta labor. HostGator la estima en al menos 90000 ordenadores. CloudFare cree que “más de varias decenas de IPs únicas están siendo usadas”.
Una botnet está formada por ordenadores vulnerados que reciben instrucciones de uno o varios servidores de comando-control centralizados, las cuales ejecutan. En su mayor parte, estos pcs han sido infectados con algún tipo de malware y el usuario no está al corriente de que los intrusos controlan sus máquinas.
Credenciales fuertes, software actualizado
Los ataques contra sistemas populares de administración de contenido no son nuevos, pero el volumen neto y los intentos exitosos deben preocuparnos. En este punto, los administradores no pueden hacer demasiado, al margen de usar credenciales de usuario fuertes (nombre-password) y asegurarse de que el CMS y los plugins asociados estén actualizados.
Si usamos todavía el valor “admin” como nombre de usuario en nuestro blog, debemos cambiarlo. También debemos aumentar la seguridad de nuestra contraseña. Si estamos en WP.com debemos activar el factor de autenticación en dos pasos y, por supuesto, asegurarnos de tener instalada la última versión de WordPress.
Programas PC y software para acelerar el pc en nuestra web Mejor Antivirus