EDICIóN GENERAL
268 meneos
3033 clics
Se intensifican los ataques a sitios con WordPress: 1.5 millones de páginas afectadas en 39,000 dominios [ENG]

Se intensifican los ataques a sitios con WordPress: 1.5 millones de páginas afectadas en 39,000 dominios [ENG]

Se utiliza una vulnerabilidad del API REST, corregida en la versión 4.7.2. En los dos últimos días los ataques han sido más intensos que anteriormente. El bug permite a los atacantes saltarse los controles de autentificación generando una petición HTTP a medida.

| etiquetas: wordpress , hack , ataque
Comentarios destacados:                        
#5 No os hacéis una idea del suplicio que es tener un hosting a día de hoy, aunque solo sea para dar servicios añadidos a tus clientes.

Para reducir el número de ataques hace tiempo implementamos Fail2Ban + algun plugin tipo Adminexile para Joomla o autenticación de factor doble.

El problema es que nos vamos adaptando unos a otros.
Nosotros desplegamos Fail2Ban (bloquea la ip de origen al tercer/X intento fallido de inicio de sesión), ellos hacen ataques de fuerza bruta distribuida, es decir, usan redes de zombies para atacar el mismo servidor desde cientos de IPs con lo que Fail2Ban pierde efectividad.

Actualmente usamos listas de IP's conflictivas que sincronizamos diariamente. La lista de hoy tiene 58459 IP o subredes completas.

Y aún así sigue llegando SPAM (el SpamAssasin no es 100% efectivo) y nos siguen zurrando los accesos a las webs.


#1 Será cutre pero tienes webs corporativas muy aparentes, muy sencillas de gestionar, con una curva de aprendizaje del usuario minúscula y a un coste realmente asumible para una pyme/micropyme. Los desarrollos a medida están muy bien para quien quera y/o pueda permitirselos.
Hoy por hoy WP o Joomla son de lo más decente en gestores de contenido asequibles.
Podrán estar programados como el culo pero si quieres un gestor de contenidos sencillo lo tienes ahí.
¿Alternativas a bajo coste?
Propón alguna...
#1 Y sus plugins?
#1 ¿Cutre sistema? Te sorprenderías que páginas funcionan con Wordpress
#4 Hay muchas alternativas, lo que hay es mucho cliente rácano y programador vago.
#7, yo tengo un par de páginas con wordpress, no soy un cliente rácano, simplemente que son páginas mías, no son ningún negocio ni nada. Aprendí html por mi cuenta, luego cosillas de php, también he hecho algunas cosillas con javascript, pero al final wordpress me hace unas cuantas cosas sencillas. Una de las páginas de hecho en realidad solo tiene una parte en wordpress, pero he adaptado yo todo lo demás al mismo estilo que uso en la parte con wordpress (tener casi toda la página sin hacer uso…   » ver todo el comentario
#7 Ahora es cuando sales con una tontería del calibre montar un blog en Drupal o CKAN. A ver.
// #1
#10 peor, probablemente proponga crear su propio CMS desde 0

Eso sí, si buscas ahorrar en Wordpress no deberias de ahorrar en mantenimiento y actualizarlo al dia.
#29 y que a estas alturas de la fiesta sigamos sin usar los excelentes gestores de paquetes de Linux.
apt-get update; apt-get upgrade
¿Para que gestionar las actualizaciones si tienes a tu disposición a uno de los mejores equipos haciéndolo gratuitamente para tí?.
#39
Despues de una actualizacion automatica con wordpress que fue mal prefiero hacerlo (bueno, que coño, esto es algo que siempre delego) manual.
#40 yo sigo haciendo las actualizaciones a mano previo backup, pero se que se que actualizar wp mediante apt son unos segundos el 99% de las veces y no me da pereza y hacerlo a mano son bastante minutos con lo que lo dejo para nunca.
Lo que si puedes meter en el cron es que te avise cuando hay actualizaciones.
#43 wordfence te avisa por correo cada vez que salen actualizaciones, alguien se logea al panel de administrador, alguien falla a logearse, sin necesidad de tirar de cron.
#10 ¿Por qué con php?. Hay un mundo enorme ahí fuera que se puede usar para un site sencillo sin perder demasiado tiempo.

Django por ejemplo te permite montar de forma casi automática un admin site con mucho maś control del que te pueda dar wordpress. Y seguramente mucho más escalable. Ah, pero hay que aprender a usarlo, ¿para qué si puedo usar wordpress con un plugin que me soluciona el tema aunque al final el plugin esté mal hecho?.

Wordpress tuvo su época, cuando no había prácticamente…   » ver todo el comentario
#36 WordPress!=framework
#36 PHP hoy día no tiene ningún problema (que no puedan tener otros lenguajes), desde las versiones de los últimos años es un lenguaje maduro, que ha corregido muchos de sus problemas y con todas las herramientas que tiene cualquier otro. Mierdas las puedes hacer en cualquier lenguaje.

La gente usa Wordpress (personalmente no me gusta una mierda) porque para el resto de cosas normalmente hace falta más especialización (es decir, tienes que aprender o pagar a alguien más para que te lo haga) y wordpress + plugins da muchas cosas hechas ya que funcionan a la primera. Es algo tan simple como eso.
#10 en blogger :troll: como lo odio.
#7 ¿Para que vas a programar algo que ya esta programado, es gratis y funciona de lujo?
#7 Como hacerlo todo de cero cada vez no nada :palm:
No os hacéis una idea del suplicio que es tener un hosting a día de hoy, aunque solo sea para dar servicios añadidos a tus clientes.

Para reducir el número de ataques hace tiempo implementamos Fail2Ban + algun plugin tipo Adminexile para Joomla o autenticación de factor doble.

El problema es que nos vamos adaptando unos a otros.
Nosotros desplegamos Fail2Ban (bloquea la ip de origen al tercer/X intento fallido de inicio de sesión), ellos hacen ataques de fuerza bruta distribuida, es decir,…   » ver todo el comentario
#5 Drupal, y ya incluso, si dispones de programadores de verdad, puedes hacer algo muy digno en Laravel o Zend. Pero lo más importante de esas miles de webs, la gran mayoría habrían tirado la mar de bien con un simple microsite.
#9 Proponer Laravel como alternativa a WordPress es como proponer comprar ladrillos en lugar de alquilar un piso.
#33 le ha faltado proponer hacerte tu propio CMS en ANSI C.
#33 hay backends ya hechos en laravel y mucho código en github que se puede reutilizar.
#35 La gente de Wordpress parece que viva en su propio mundo. Yo creo que ni saben que es Composer ni PSR-4.
#35 Vamos, que al final propones reutilizar código de terceros, sólo que usando uno hecho por Perico de los Palotes en lugar de uno de los más populares y con mas contribuidores. Peor me lo pones.

Soy un entusiasta de los frameworks en php, pero cada cosa sirve para lo que sirve.
#44 Laravel o Zend ya son un código de terceros que están en GitHub solo que populares, esa comparación es absurda, yo soy el primero que utilizo WordPress para hacer webs de empresas, por que es lo que piden los clientes, pero la mayoría de ellos no entran en su panel de gestión en la vida, y menos para actualizar los plugins que son el mayor agujero de seguridad.
#73 Creo que se refiere a esta parte "hay backends ya hechos en laravel y mucho código en github que se puede reutilizar. " No a Laravel o Zend.
#35 No cuela :-P
#5 Y además, lo de que Wordpress está mal programado también habría que demostrarlo.

Que hacer un desarrollo a medida no implica que el resultado vaya a estar mejor programado. De hecho, yo me fio más de una solución de código libre usada y testeada por millones de personas que de mi propio código, testeado solo por mi.

El problema viene con plugins o plantillas poco usadas y/o desactualizados.
#16 Wordpress sufre la lacra de haber creado un ecosistema de plugins con los que tiene que ser compatible.
Las modificaciones entre versiones de Wordpress son mínimas para no dañar ese ecosistema.
Estoy seguro que si hoy dia los programadores de Wordpress se lo plantearan de nuevo, harían otra cosa.
Desde no utilizar wp_posts tanto para registros de imagenes como para texto, como permitir que una imagen pueda estar adjunta en más de un posts, etc, etc. Son tantas las limitaciones del diseño inicial, que merece ser hecho de nuevo desde cero.
Pero claro, te cargas un universo de plugins y temas.
#56 Gracias, una respuesta fundamentada más allá del "Wordpress es una mierda"
#56 pues, no seria la primera ni la ultima vez que se cargan la compatibilidad de plugins.
#5 Puedo decir lo mismo que tú aunque, por suerte, seguramente administro menos sitios web que tú, de hecho acabo de hacer una búsqueda de wordpresses y solo tengo siete.

Lo único que te ha faltado decir es que si le ofreces hosting a tus clientes no puedes obligarles a montar lo que tú quieras, el que está empeñado en WP va a montar WP o se lo llevará a otro sitio y perderás el cliente.
#42 Nunca nos encabezonamos con un producto. Ofrecemos varios y alternativas. Pero siempre hay uno que se empeña en WP porque su primo... ya tusabes.

#55 El problema es que la tipología de clientes que manejamos es muy diversa. Tenemos clientes con conexiones en Arabia Saudí, Oriente Medio, Turquía, Rusia, Cuba, China, o sea, que venden a todo el planeta. Marcar una GeoBlock nos complica mucho.
Nuestra alternativa ha sido apoyarnos en listas ya verificadas como comprometidas (blocklist.de,…   » ver todo el comentario
#66 Lo peor ha sido la fuga de cuentas de Dropbox que ha puesto a disposicion de los spammers millones de cuentas de correo de alta calidad. Y el spameo llega a ser tremendamente cansino. Después de pasar por las RBL de turno spamassasin consigue clasificar el 80% de la mierda. El otro 20% pasa al Inbox. Y luego está Hotmail que manda a Correo no deseado tu mensaje con DKIM, SPF y todas las bendiciones papales... Internet es hoy día una jungla.
#5 Fail2ban está muy bien, pero cuando rechazas una ip , el atacante ya está usando otra en la otra punta de la Tierra.
Usar un sistema de cortafuegos de fuerza bruta a base de banear ip es inútil porque los atacantes tienen más ip de las que puedes imaginar. Hay que anticiparse a ellos . Desde que uso el plugin de bloqueo por paises IP Geo Block estoy mucho más tranquilo . Es verdad que puede haber atacantes desde España pero no llega al 0,1% de los que hay si permites Ip del mundo entero. Y hablo del admin de wp, claro. El resto de la web está abierta a todo el mundo.
#55 o cambiar las urls por defecto, metes el admin en /mi_admin_personal y el 99.9999% terminan en un Not Found.
#63 El plugin "Lock Down WP Admin" hace eso.
#71 Joder, necesitáis un plugin para cambiar las rutas de la app? No tiene PHP un archivo para definir las rutas, como tiene Rails desde hace 10 años?

Sinceramente, no me extraña que haya tantos ataques a webs basadas en PHP. Un poco de "yo me lo guiso y yo me lo como" siempre es positivo.
#55 Esta claro que no hay que permitir el acceso al panel de administracion a paises de fuera del cliente, a malas incluso permitir solo con ip estatica (100% estatica o un tunel ssh desde un vps).
#5 Fail2Ban te protege de ataques de fuerza bruta, pero no de vulnerabilidades conocidas. En mi opinión lo mas eficaz es desactivar REST y usar Discuss como sistema de comentarios, a fin de evitar que el usuario pueda introducir ningún input directamente al sistema.

Quitando eso... Ya la única preocupación son inyecciones SQL o XSS. Se puede desactivar el buscador por mayor seguridad.

No obstante, el código de wordpress es un desastre, nisiquiera así te garantizas que sea 100% seguro. hay que actualizarlo a menudo.
#5 tal vez lo suyo sea bloquear el acceso al panel de control al pais de donde sea el cliente. Otra medida que uso yo, baneo instantaneo al fallar el nombre usuario (creo que esto era del wordfence) y que el usuario administrador no publique nunca noticias para mitigar los posibles hackeos, un usuario editor, con permisos minimos y a tirar millas. (y por supuesto, el login renombrado para dificultar aun mas el acceso al mismo por parte de terceros)
#1 No, lo relevante es ir de guay criticando lo que usa mucha gente.
#6 Y criticar sin dar ni una alternativa... que no han dado ni una todavía...
#1 Si la gente no actualiza ningún sistema operativo es seguro
#13 Quise decir CMS
#13 WP ahora se puede actualizar el solo sin necesidad de intervencion humana (al menos plugins y actualizaciones 0.x o 0.0.x) esto ultimo no recuerdo bien.
#88 Creo que se actualiza dentro de las versiones de una misma rama (de la 4.6.1 a la 4.6.2, pero a la 4.7 es manual) Además en las noticias dice que son versiones antiguas
#1 Llamar a Wordpress "cutre sistema de blogs" (por "cutre" y por "blogs") demuestra tu ignorancia del sector.
#1 No entiendo por qué no se actualizan automáticamente cuando son cuestiones de seguridad seria.
Vale que dejarían de funcionar muchos plugins, pero si te hackean el sitio web es peor que si dejan de funcionar los plugins.
Y, si las actualizaciones fueran forzosas los plugins se actualización con más brío, por cojones.
#27 ¿Quién te ha dicho que WordPress no se actualiza automáticamente cada vez que hay una actualización de seguridad?
#52 ¿Entonces por qué está ocurriendo esto?
#1 sistema de blogs?
#1 Qué falta de respeto ante tantísimas personas que contribuyen al proyecto. Hace unos días leía un artículo sobre lo asqueroso que se estaba volviendo colaborar en proyectos opensource debido a este tipo de comentarios que no aportan absolutamente NADA constructivo.
#32 Por favor, si recuerdas el enlace, compártelo aquí, creo que me sentiré identificado leyéndolo.
#32 colaboro en uno la cantidad de tiempo que dedico a anular los fallos humanos no para de subir y da igual que les hagas las guias para idiotas, la peña no se las lee.
#1 El desarrollo a medida está muy bien, pero para quién puede o quiere permitírselo.
#1 dejará la gente de pensar que existe el concepto Coste/beneficio y que no todo el mundo tiene dinero infinito?
La culpa es de las pymes, que para montar una web corporativa con 5 o 6 páginas, un formulario de contacto y una sección de novedades instalan un wordpress en vez de contratar a un diseñador y a un programador que les haga una solución a medida de cuatro o cinco cifras.
#11 Me gusta tu sarcasmo. Toma positivo
#11 Estoy de acuerdo en que pare una página estática sencilla, usar WordPress es matar moscas a cañonazos. No obstante, cuando hablas de "una solución a medida de cuatro o cinco cifras." ¿de cuánto dinero estamos hablando? Para muchas empresas eso es un dineral que no se pueden gastar.
#21 yo creo que es sarcasmo
#21, has entendido el comentario totalmente al revés :-P
#11 Pymes solo? xD xD xD xD xD xD xD xD xD xD xD xD xD
#11 una solución a medida tendrá 15 veces más agujeros que wordpress. :-P a Día de hoy no tiene puto sentido hacer algo sin un framework (o CMS) detrás. NADA.
#41 Depende de lo que hagas. Si tu página a medida es estática, poco van a poder hacer. Muchos problemas vienen por meter sistemas complejos (con cuentas de usuario y paneles de control accesibles desde web) en páginas que no lo necesitan para nada.
#83 ese caso de uso es casi inexistente. Cualquier sitio con cierta utilidad necesita ser actualizado con cierta frecuencia.
#11 .......{blank}  media
Se utiliza una vulnerabilidad del API REST, corregida en la versión 4.7.2
Menos mal que Wordpress es un sistema bien programado con actualizaciones sencillas de aplicar y que hasta se pueden automatizar.
#12 Se puede. Yo tengo automatizadas las actualizaciones menores (de seguridad) en web sencillas y poco importantes: codex.wordpress.org/Configuring_Automatic_Background_Updates
Si eres un negocio y usas Wordpress es que o eres un racano o te han engañado como a un chino.

Wordpress es algo para andar por casa, para montarle un blog a tu madre para que publique sus recetas y poco mas, no se me ocurre venderle a un cliente un wordpress ni borracho.
#19 premio al cuñado de la semana
#19 ¿Puedes poner un enlace de una web corporativa vendida por ti?
#26 En meneame? Si claroooooooooo y te paso el CV, mi número de teléfono, mi DNI, .... ¬¬

Venga decirme ahora que Wordpress escala bien y admite mucha concurrencia ....
#30 Diseñando webs en wordpress desde la versión 3.0. (nunca he utilizado una plantilla, desarrolando tema propio). Mas de 90 wordpress en un único servidor de amazon. Todas a la última versión, algunas se han ido actualizando desde 3.0 a la actual 4.7.2. sin problema.
Trucos:
Controlar mucho los plugins que instalas.
Nunca usar plantillas comerciales.
Nunca entregar usuarios de administrador al cliente.
Imprescindible usar super cache o w3 cache.
El ftp del servidor funciona sólo con lista…   » ver todo el comentario
#37, lo de supercaché imprescindible. Uno de mis blogs en wordpress y en un hosting de estos no muy bueno, pues habré tenido algo más de 10 portadas en menéame (incluso una vez colocándose en noticia más visitada) y no sufrí efecto menéame alguno, gracias a dicho plugin :-P
#47 supercache con solo un par de clics funciona de maravilla. W3 cache es mas complejo pero si lo configuras bien puedes controlar caducidad de cache, minificar estilos y scripts, trabajar con cdns...
los dos son muy buenos plugins, permiten que el servidor muestra pàginas estáticas sin que trabaje php o mysql. Resultado, la web se sirve deprisa y encima el servidor no usa recursos. Win win.
#30 ¿Crees que Muebles Manoli va a tener mucha mayor concurrencia que Rock Paper Shotgun, TechCrunch, MTV o BBC America por ejemplo? Supongo que también les vendes el host en un Xeon cuádruple con 96 núcleos y 192 hilos y su par de TB de RAM con su correspondiente server de respaldo y CDN, no vaya a ser que todos esos millones de visitantes únicos diarios se queden sin poder comprar sus muebles.
Os dejo un enlace al artículo original. El que se enlaza en este meneo ha cogido la información de esta otra web (ver por ejemplo pantallazo de la tabla, que en original es un embed).

www.wordfence.com/blog/2017/02/rest-api-exploit-feeding-frenzy-deface-
Acabo de mirar en mi correo cuando se actualizó mi blog automáticamente a la versión 4.7.2, fue el 26 de Enero... Ahora es noticia que hay miles de sitios web afectados por un fallo de seguridad corregido hace 15 días, de forma automática para cualquiera que tenga Wordpress bien configurado... ¿Y la culpa muchos decís que es de Wordpress?
Yo creo que a WordPress le pasa hoy en día como en su momento le pasó a Visual Basic 6. No es que sea "una mierda" como dicen y decían muchos, es que con poco trabajo puedes tener algo visualmente presentable, con lo que hay mucho vecino del 5º que ya por ello se cree programador y luego pasa lo que pasa. La actualización que arregla este problema lleva ya tiempo en la calle.

Si sabes lo que estás haciendo, WordPress va bien para la mayoría de webs que puedan necesitar cualquier…   » ver todo el comentario
#49 Frameworks y a mano son términos casi contradictorios jaja.
#65 Ni de coña. Si estás haciendo una aplicación medianamente compleja, el framework es eso, un framework. Es una infraestructura sobre la que montas cosas más complejas. Si el framework te lo hace absolutamente todo, es que tu caso de uso es muy sencillo o muy típico.
Yo tengo uno de los 39.000 dominios :-/ En serio, me pase un día entero investigando cómo lo había hecho :wall:
#58 En mi caso puso hacked by algo en la última entrada como título y borró todo el texto. Menos mal que existen las revisiones. Si quieres ver si te ha afectado busca hacked by en el buscador de entradas del panel de admin.
La revista TIME está hecha en "Wordpress VIP", sale esa mención a pie de página de su HOME
Es lo que tiene usar cosas de terceros, te comes tus fallos y los suyos, pero como es gratis, ajo y agua.
#62 en este caso los tuyos por no preocuparte de mirar las actualizaciones de las cosas que administras.
#94 Es verdad, pero recuerda que las actualizaciones sirven para arreglar sus fallos, y hasta que no los encuentran y arreglan, te los comes igual por muy al día que estés.
#97 la cosa es que este fallo se arreglo hace 2 semanas :-)
#98 Hablaba en general.
Yo perdería toda esperanza de tener una web segura con wordpress. Vulnerabilidades conocidas:
www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/
#70 ni con wordpress ni con nada, la seguridad en internet es una ilusión.
#77 Esa es la mentira mas repetida por los técnicos de operaciones malpagados.
#78 las matemáticas no mienten, es mas barato atacar que defender.
Al hilo de una pregunta de @Saldefruta sobre qué listas usábamos os dejo las que implementamos y donde conseguir información.
Las cargamos en IPTables cada 24Horas
Hay listas en las que aparecen las mismas Ips por lo que hacemos una unificación de todas las listas. Hay que tener en cuenta que llevamos algún tiempo sin revisar las listas, por lo que puede que alguna no tenga un valor real.
Usadlas por vuestra cuenta y riesgo.

Para ver un ejemplo de un script que hace, mas o menos lo que…   » ver todo el comentario
«12
comentarios cerrados

menéame