ataque a WordPress

Evitar ataques de fuerza bruta en WordPress protegiendo el archivo wp-login.php con contraseña

25 de noviembre de 2016 • Por

Una de las medidas para prevenir ataques de fuerza bruta en WordPress es protegiendo el inicio de sesión con contraseña usando HTTP Basic Authentication. Esta capa de seguridad se configura directamente en el servidor web, Apache2 por ejemplo. Este método permite proteger con contraseña el acceso a determinadas áreas de un servidor, archivos o carpetas, previamente a la ejecución de PHP. Al no ejecutar PHP, el consumo de recursos del servidor es mucho menor y el colapso es más difícil. Por esta razón es una manera más eficaz que usar un plugin.

Contexto

WordPress, apache, ataque a WordPress, ataque de fuerza bruta, htaccess, htpasswd, HTTP Basic Authentication

Leer el artículo

Deshabilitar los pingbacks vía XML-RPC para impedir ataques de fuerza bruta a WordPress

06/11/2014 • Por

Alfonso Sánchez Uzábal

• Enlace permanente

Parece ser que para evitar potenciales ataques de fuerza bruta a sitios con WordPress a través del protocolo XML-RPC, basta deshabilitar los pingbacks y no todo el sistema XML-RPC, como cuentan en WP-Tavern.

Si en tu sitio utilizas servicios que utilizan XML-RPC, como algunos plugins como Jetpack o la aplicación móvil de WordPress quizás te interese deshabilitar únicamente los pingbacks, que son en realidad la puerta de entrada de los ataques de fuerza bruta a WordPress.

Añade la siguiente función al functions.php de tu theme:

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );
function remove_xmlrpc_pingback_ping( $methods ) {
   unset( $methods['pingback.ping'] );
   return $methods;
} ;

add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' );

function remove_xmlrpc_pingback_ping( $methods ) {

unset( $methods['pingback.ping'] );

return $methods;

} ;

Contexto

WordPress, ataque a WordPress, ataque de fuerza bruta, XML-RPC

Evitar y resolver ataques de fuerza bruta a sitios con WordPress: la vulnerabilidad XML-RPC

05 de noviembre de 2014 • Por

Alfonso Sánchez Uzábal

Hace unos seis meses se descubrió que el archivo xmlrpc.php de WordPress, responsable de las comunicaciones remotas vía XML-RPC, convertía a los servidores donde estuviese instalado este gestor de contenidos en potenciales participantes de ataques DoSS. Hace un par de meses esta vulnerabilidad se empezó a usar también como puerta de entrada de ataques de fuerza bruta a los propios servidores.

Desde la versión 3.5, el protocolo XML-RPC viene activado por omisión en WordPress lo que hace que cualquier instalación de WordPress sea vulnerable. Para eliminar esta vulnerabilidad no queda otra que desactivar completamente el soporte XML-RPC de WordPress.

Contexto

WordPress, ataque a WordPress, ataque de fuerza bruta, wp-config, XML-RPC

Leer el artículo

¿Son nuestros los espacios digitales que alquilamos?: el ataque de fuerza bruta a WordPress en los servidores de CDMon

16 de mayo de 2013 • Por

Alfonso Sánchez Uzábal

Imagina que llegas un día a tu casa y al ir a meter la llave en la cerradura del portal, un señor policía te sujeta la mano y te dice, con mucha educación, que no puedes pasar. Tú le dices que vives allí, y le enseñas la llave como prueba. Él te explica que hay una banda de ladrones rubios en el barrio y que no dejan pasar a ningún rubio como medida preventiva, por orden del propietario. Maldita ascendencia nórdica, piensas, sin acabar de creértelo. Llamas a tu casero que te confirma que él mismo he contratado a los policías. Te dice que lo siente, pero que por la seguridad de tu vivienda, no puede dejarte pasar. Una historia absurda pero real: esto es lo que les pasó hace un mes a los inquilinos de CDMon.

Contexto

Autonomía digital, WordPress, ataque a WordPress, ataque de fuerza bruta, autonomía digital, autonomía tecnológica, CDMon, espacio público equivalente

Leer el artículo