Miles de sitios de WordPress y Joomla están siendo atacados actualmente por una gran red de bots que fuerza bruta las contraseñas. Los administradores deben asegurarse de tener contraseñas seguras y nombres de usuario únicos para sus instalaciones de WordPress y Joomla.
En los últimos días, los perpetradores han aumentado drásticamente los intentos de inicio de sesión basados en diccionarios y de fuerza bruta contra los blogs de WordPress y los sitios de Joomla, según informes de CloudFlare.(Se abre en una nueva ventana), HostGator y varias otras empresas. El ataque busca nombres de cuenta comunes, como «admin», en el sitio y prueba sistemáticamente contraseñas comunes para acceder a la cuenta.
Los administradores no quieren que nadie ingrese a sus sitios porque ese atacante podría desfigurar el sitio o incrustar código malicioso para infectar a otros con malware. Sin embargo, la naturaleza organizada del ataque y su operación a gran escala implican objetivos aún más siniestros. Parece probable que los atacantes estén tratando de afianzarse en el servidor para encontrar una manera de tomar el control de toda la máquina. Los servidores web son generalmente más potentes y tienen canales de mayor ancho de banda que las computadoras personales, lo que los convierte en objetivos atractivos.
«El atacante está utilizando una red de bots relativamente débil de PC domésticos para crear una red de bots mucho más grande de servidores robustos para futuros ataques», escribió el CEO de CloudFlare, Matthew Prince, en el blog de la compañía.
La red de bots Brobot, que según los investigadores está detrás de los ataques masivos de denegación de servicio contra las instituciones financieras de EE. UU. que comenzaron el otoño pasado, está compuesta por servidores web comprometidos. «Estas máquinas más grandes pueden causar mucho más daño en los ataques DDoS porque los servidores tienen grandes conexiones de red y son capaces de generar cantidades significativas de tráfico», dijo Prince.
Cuentas de fuerza bruta
Los atacantes utilizan tácticas de fuerza bruta para acceder a las cuentas de usuario de los sitios de WordPress y Joomla. Los cinco principales nombres de usuario objetivo son ‘admin’, ‘test’, ‘administrator’, ‘Admin’ y ‘root’. En un ataque de fuerza bruta, los perpetradores prueban sistemáticamente todas las combinaciones posibles hasta que inician sesión con éxito en la cuenta. Las contraseñas simples, como las secuencias de números y las palabras del diccionario, son más fáciles de adivinar y comprender, y una botnet automatiza todo el proceso. Las cinco contraseñas principales intentadas en este ataque son «admin», «123456», «111111», «666666» y «12345678».
Si está utilizando un nombre de usuario o contraseña común, cámbielo inmediatamente a algo menos obvio.
«Haz esto y estarás por delante del 99% de los sitios y probablemente nunca tendrás un problema», Matt Mullenweg(Se abre en una nueva ventana)creador de WordPress, escribió en su blog.
Mayor volumen de ataque
estadísticas de Sucuri(Se abre en una nueva ventana) indican que los ataques van en aumento. La société a bloqué 678 519 tentatives de connexion en décembre, suivies de 1 252 308 tentatives de connexion bloquées en janvier, 1 034 323 tentatives de connexion en février et 950 389 tentatives en mars, Daniel Cid, CTO de Sucuri, sur le blog de la sociedad. Sin embargo, en los primeros 10 días de abril, Sucuri ya bloqueó 774.104 intentos de inicio de sesión, dijo Cid. Eso es un salto significativo, de 30 000 a 40 000 ataques por día a alrededor de 77 000 por día en promedio, y ha habido días este mes en que los ataques superaron los 100 000 por día, dijo Sucuri.
«En esos casos, con solo tener un nombre de usuario que no sea administrador/administrador/raíz, automáticamente queda fuera de la competencia», dijo Cid, antes de agregar: «Lo cual es bastante agradable en realidad».
Consejos de una gran red de bots
El volumen de ataque es un índice del tamaño de la botnet. HostGator estima que al menos 90.000 computadoras están involucradas en este ataque y CloudFlare cree que se utilizan «más de decenas de miles de direcciones IP únicas».
Una botnet consiste en computadoras comprometidas que reciben instrucciones de uno o más servidores centralizados de comando y control y ejecutan esos comandos. En su mayor parte, estas computadoras han sido infectadas con algún tipo de malware y el usuario ni siquiera sabe que los atacantes están controlando las máquinas.
Fuertes habilidades, software actualizado
Los ataques a los sistemas de gestión de contenido más populares no son nada nuevo, pero su volumen y aumento repentino son preocupantes. En este punto, pocos administradores pueden hacer otra cosa que no sea usar una combinación sólida de nombre de usuario y contraseña y asegurarse de que el CMS y los complementos asociados estén actualizados.
«Si siempre usa ‘admin’ como su nombre de usuario en su blog, cámbielo, use una contraseña segura, si está en WP.com, habilite la autenticación de dos factores y, por supuesto, asegúrese de estar al día fecha en la última versión de WordPress», dijo Mullenweg. WordPress 3.0, lanzado hace tres años, permite a los usuarios crear un nombre de usuario personalizado, por lo que no hay ninguna razón para tener una contraseña de «administrador» o «administrador».
imagen a través de la llamarada de la nube
Te gusta lo que lees ?
Matricularse en Vigilancia de seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener anuncios, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de servicio y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.
