13 mar. 2014

111.000 base de datos de Wordpress públicas

Wordpress es una plataforma que ha tenido una larga historia de problemas de seguridad. Por ejemplo, una búsqueda rápida en Secunia revela 939 vulnerabilidades y una búsqueda en OSVDB devuelve 2325 resultados. Ahora, para ser justos estos problemas también incluyen plugins.

Uno de los problemas con Wordpress es que es muy fácil de configurar. Es tan fácil que la mayoría de los usuarios es ajeno a la necesidad de asegurar dicha instalación.

Por ejemplo, el artículo de Steve Ragan sobre cómo explotar un DDoS en Wordpress debido a problemas de configuración en el pingback. El lunes el CTO de Sucuri, dijo que su compañía mitigó un ataque DDoS que se aprovechaba de más de 162.000 instalaciones legítimas de WordPress. El ataque fue posible a través de la función pingback en la implementación de XML-RPC utilizada por WordPress. Esta función puede ser abusada, permitiendo que un solo atacante utilice una pequeña cantidad de ancho de banda con resultados devastadores.

Adicionalmente, una búsqueda rápida muestra 111.000 sitios que exponen sus backups de bases de datos en Internet y hasta algunos sitios web del gobierno. En estas bases de datos están los hash de las contraseñas. Estos sitios están expuestos completamente.

Una solución es utilizar herramientas para verificar la seguridad de las instalaciones de Wordpress y verificar dónde se almacenan los backups. Algunas de ellas son XML-PRC Validation Tool, WPScan, Wordfence.

Fuente: CSO Online

3 comentarios:

  1. Les dejo el enlace a un proyecto en el que estoy desarrollando desde hace tiempo WPHardening http://www.caceriadespammers.com.ar/2013/04/wphardening-1-0.html

    Saludos!

    ResponderEliminar
  2. Muy buena pinta tiene el proyecto Daniel. Lo probaré
    Mientras te invito a publicarlo en el prox. Boletin de Segu-Info. ¿q te parece?

    Cristian

    ResponderEliminar
  3. Cristian me parece fantástico y te agradesco realmente, ahora estoy trabajando en nuevas funcionalidades pero me parece de 10, coordinemos y me contas que necesitas.

    Saludos cordiales.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!