Los piratas informáticos intentan "ataques de diccionario" en sitios web de WordPress


Una empresa de seguridad de WordPress, Defiant, descubrió recientemente que una red de 20.000 botnets, controlada por piratas informáticos, está intentando "ataques de diccionario" en otros sitios web de WordPress.

La empresa de seguridad detectó más de 5 millones de intentos de inicio de sesión en el último mes desde sitios web de WordPress ya infectados. Los ataques involucran una serie de inicios de sesión repetidos donde los bots prueban diferentes combinaciones de nombre de usuario y contraseñas.

Mikey Veenstra, un analista de investigación de seguridad de Defiant, afirma que han descubierto cómo funciona esta red de botnets. Aparentemente, en la parte superior de esta cadena de botnets se encuentra un servidor de comando que dirige a todos los sitios web infectados a qué sitio web de WordPress atacar a continuación.

Créditos de imagen: Defiant

Los servidores actúan como la difusión de información e instrucciones al sitio web infectado que luego lleva a cabo los ataques. Estos servidores transmiten la información a scripts maliciosos en sitios web ya infectados.

Estos scripts identifican una lista de sitios web de destino que deben ser atacados y luego generan contraseñas basadas en patrones predefinidos. Los scripts luego usan las contraseñas recién generadas para iniciar sesión en otros sitios web de WordPress.

Veenstra ha explicado el mecanismo del script y cómo funciona.

“Si el script de fuerza bruta intentaba iniciar sesión en example.com como el usuario alice, generará contraseñas como example, alice1, alice2018, etc. Si bien es poco probable que esta táctica tenga éxito en un sitio determinado, puede ser muy eficaz cuando se utiliza a gran escala en una gran cantidad de objetivos ".

Los atacantes suelen utilizar proxies para ocultar sus identidades, lo que dificulta aún más su seguimiento y detención. Sin embargo, el equipo capaz de Defiant identificó lagunas en la ejecución de este ataque que revelaron toda la estructura de backend de esta actividad.

El equipo de investigación de Defiant no se detuvo allí. Afirmaron que los atacantes también cometieron errores al implementar los sistemas de autenticación para el panel de administración de su botnet. Esto permitió a los investigadores echar un vistazo a las operaciones del pirata informático.

Créditos de imagen: Defiant

Defiant ya ha informado la información a las agencias policiales con la esperanza de que los atacantes sean eliminados. Sin embargo, los servidores de control de comandos de la botnet están alojados en HostSailor. HostSailor es conocido por ser un proveedor de alojamiento a prueba de balas que no acepta "solicitudes de eliminación". Por eso, lamentablemente, los ataques aún continúan y los sitios web se ven comprometidos.

¿Cómo proteger su sitio web contra los "ataques de diccionario"?

Lo primero que le viene a la mente es cambiar la URL de administración de su sitio web. Sin embargo, esto no ayudará a proteger su sitio web porque los ataques se dirigen a WordPress XML-RPC en lugar de la URL de administración.

Defiant recomienda utilizar un complemento de seguridad de WordPress para proteger su sitio web de los ataques que se llevan a cabo contra el servicio XML - RPC.

La buena noticia es que, dado que estos ataques han estado ocurriendo durante mucho tiempo, cualquier servicio de firewall de WordPress decente sería lo suficientemente fuerte como para detenerlos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Go up