WPScan es una herramienta creada por Ryan Dewhurst que perminte escanear WordPress en busca de vulnerabilidades, la descubrí gracias a los enlaces semanales de Security by Default y hoy estuve jugando un poco con ella.
Entre sus opciones más interesantes se encuentran la enumeración de plugins, vulnerabilidades y usuarios para realizar ataques de fuerza bruta. En el siguiente video realizo un ataque real a un blog que me pertenece y menciono las contramedidas que se pueden adoptar.
Nota: la última versión del programa es la 1.1, en el video utilizo la anterior. Con un «apt-get update && apt-get upgrade» se pueden actualizar repositorios y programas. Gracias @ethicalhack3r
Contramedidas y consejos:
Como muchos sabrán mantener la instalación de WordPress y los plugins actualizados es fundamental para la seguridad del sitio, el video muestra claramente que sin muchas complicaciones se pueden detectar las vulnerabilidades y sus exploits correspondientes.
Es posible ocultar la versión de WordPress y también se puede evitar el listado de plugins con una configuración adecuada del servidor, en los siguientes enlaces pueden encontrar más información al respecto:
– Ocultar versión de WordPress.
– Listado de plugins y configuración segura de Apache para evitarlo.
Por otro lado, tal vez lo más llamativo sea la obtención de la contraseña por fuerza bruta, pero este ataque es sencillo de mitigar y hay varias formas de hacerlo. Además de tener una contraseña fuerte que se cambie periódicamente, se pueden instalar plugins tales como Login LockDown o Limit Login Attempts que permiten bloquear una IP cuando se realiza una determinada cantidad de logins fallidos.
Otro plugin muy interesante es Google Authenticator el cual agrega una doble verificación en el login, de esta forma si roban tu contraseña de WordPress aún será necesario el otro dato para acceder.
La detección de los usuarios se puede evitar, además hay que tener en cuenta que un ataque de fuerza bruta también se podría realizar al FTP, por lo que es fundamental tener contraseñas fuertes y algún tipo de protección extra para detectar y bloquear los ataques (Firewall + Brute Force Detection), los siguientes enlaces contienen más información, consejos y soluciones:
– Enumaración de usuarios en WordPress (así los pueden detectar).
– Ocultar errores en el login de WordPress.
– Restringir acceso por IP al login.
– Bloqueo de ataques por fuerza bruta (Brute Force Detection).
– 21 plugins de seguridad y más recomendaciones para el servidor.
– Evita el full path disclosure de plugins y themes.
– 13 Vital Tips and Hacks to Protect Your WordPress Admin Area.
Hay más aspectos de seguridad que se podrían mencionar, en estos links que les comparto se abordan todos, así que les recomiendo leerlos con tranquilidad y anteción para aprender más y mantener más seguros los blogs. Si tienen alguna duda o necesitan una mano con alguna instalación, ya saben que pueden dejar un comentario.
Por último les comento que hay algunas aplicaciones que nos pueden ayudar a detectar problemas o malas configuraciones, para WordPress existe un plugin de WebsiteDefender que realiza un análisis de seguridad y controles periódicos (recomendado). En caso de tener un servidor VPS o Dedicado bajo Linux les recomiendo probar CSF (ConfigServer Security & Firewall), se trata de un firewall que también verifica la configuración y seguridad del servidor, lo mejor de todo es que explica las acciones a tomar para corregir los problemas.