En este post aprenderás cómo se crackean contraseñas en sitios wordpress, y medidas para protegerte de los hackers.

Wordpress se ha convertido en el sistema de gestión de contenidos más popular en Internet. Gracias a su interface simplificada, permite a cualquier persona crear, actualizar, y mantener sus sitios web, sin tener mayores conocimientos de informática y programación. Sin embargo, donde sí debemos capacitarnos es en la seguridad de nuestros sitios web. Algunas personas me preguntaron que tan fácil es hackear sitios web hechos en wordpress. Pues el problema no es que los sitios sean inseguros de por sí, sino más bien que los administradores de los sitios no implemtan políticas de seguridad para proteger la seguridad y privacidad de sus usuarios. Recordemos que la vulnerabilidad más crítica en sistemas informáticas somos las personas. En esta ocasión, realizaremos un ataque de fuerza bruta contra un sitio wordpress, para comprobar que tan fácil es crackear las contraseñas de los usuarios. Para ello utilizaremos una herramienta llamada Wpscan.

MANOS A LA OBRA Es un scanner de vulnerabilidades, que nos permite descubrir la seguridad de un sitio wordpress, enumerar sus usuarios, y por supuesto, crackear las contraseñas. A continuación el tutorial: 1. Descargamos wp-scan desde http://wpscan.org/

2. Es muy fácil saber el nombre del usuario de una cuenta en un sitio web, basta con leer los foros. Generalmente, conocemos el nombre del usuario pero no la contraseña:

3. Lanzamos wpscan desde nuestro computador, contra el sitio web que queremos atacar. En este caso el sitio web que vamos a atacar está hospedado en la dirección: http://192.168.122.6/wordpress. Utilizamos el siguiente comando desde el terminal:

Los parámetros son los siguientes: wpscan.- Es la ejecutable, el programa. --url .- La página web. --wordlist.- Una lista de palabras de diccionario para realizar el ataque. Diccionarios muy buenos pueden descargarse desde: http://www.openwall.com/wordlists/ 4. Dejamos a la herramienta funcionar, y podemos hacer otra actividad hasta que la contraseña sea decifrada:

5. Finalmente la contraseña es decifrada. En este caso, la contraseña era el mismo nombre del usuario, bryan:

6. Ingresamos las credenciales al sitio web, y tenemos acceso a la interface de control de wordpress:

MEDIDAS DE PROTECCIÓN 1. Crear contraseñas que combinen números, letras mayúsculas, minúsculas, y otros caracteres. Una forma fácil de recordar es tomar las primeras letras de una frase conocida. Ejemplo: Frase: Mi novia, se llama Carla. Contraseña segura: Mn,sllC. 2. Los administradores de los sitios web no deben permitir que los usuarios puedan utilizar contraseñas débiles. Esto no viene resuelto por defecto en Wordpress. 3. Utilizar autenticación doble, por ejemplo, además de la contraseña, un código enviado el teléfono del usuario. 4. Utilizar plugins que impidan los ataques de fuerza bruta y parchen vulnerabilidades. Entre los mejores están 6scansecurity, o Wp admin protection. Así como existen herramientas para atacar wordpress, también hay otras para otros sistemas de gestión de contenidos tales joomla, o drupal.

Saludos cordiales,

y no olviden difundir el conocimiento de manera libre,

Luis Enríquez (LLM, MD, ECSA, CEH, CHFI) https://www.owasp.org/index.php/OWASP_Knowledge_Based_Authentication_Performance_Metrics_Project http://fosslawyers.org twitter: @foss_lawyers Linkedin: https://twitter.com/@foss_lawyers

#password #wordpress #hacking #cracking