Hack WordPress: cómo una puerta trasera puede arruinar su sitio y cómo detectarlo

WordPress es, con mucho, el sistema de gestión de contenido más popular (sistema de administración de contenido). Esta popularidad se debe a la gran personalización ofrecida por temas y extensiones. Solo, esta personalización es también una gran puerta abierta para las puertas traseras.

¿Qué es una puerta trasera?

BackDoors (o «Puertas Dooladas» en francés) ¿Se diseñan específicamente piezas de código o mecanismos? para proporcionar un punto de acceso posterior a un sitio (o sistema). Cuando un código malicioso se está ejecutando en un sistema, puede abrir «puertas» para facilitar el acceso al hacker y, por lo tanto, eludir la autenticación habitual. Estas «puertas» abiertas pueden ser muy diferentes según el sistema o sitio objetivo:

  • Puede ser la apertura de puertos de red en un servidor, para conectarlo más tarde.
  • Puede ser un acceso autorizado solo a través de un enlace específico.
  • Puede ser una cubierta de puerta trasera que ofrece una variedad de herramientas para tomar controlar una máquina remota.
  • puede ser un PREVIRMADORES DE POR DEFECTO DE CONTRASEÑA DADO PRIVILEGIOS DADOS.
  • Puede ser un descifrado oculto clave que permite descifrar las comunicaciones normalmente confidenciales.
  • , etc.

en El caso de un wordPress de puerta trasera, por ejemplo, se conecta como administrador, pero también para editar / eliminar / agregar elementos sobre la marcha, y a distancia, por supuesto. Qué tomar el control de un blog entero. Y la puerta trasera que elegí para estudiar como parte de este artículo es una puerta trasera que descubrí al estudiar una extensión de WordPress de Wordspress gratuitamente en la web, fuera del directorio clásico de extensiones de WordPress.

Demasiado bueno para ser verdad ? De hecho, todas las extensiones enumeradas en estos sitios normalmente están pagando, y sin embargo, los encontramos gratis en línea, sin siquiera tener que registrarse.

«Si es gratis, es porque eres el producto?

Entonces, he descargado uno para observar lo que podría ocultar detrás de un servicio de este tipo, y Bingo, rápidamente encontré un código sospechoso que se asemeja a esto:

Qué ¿El interés debe ser cifrado en una extensión legítima?

«¿Qué interés debe cuantificar algo en una extensión legítima?» Haga clic para tweetershare en FacebookCompartir en LinkedIn

AdmitTes de la misma manera que hay algo que ocultar, pero luego ¿Cuáles son estas líneas un poco más bajas en el código?

«Subir», «Administrador», «Addadmin», «ApiWord.Press» en lugar de «API.WordPress»… tantos elementos que tienen Para tirar de las campanas de alarma inmediatamente.

Al observar el final del código encriptado, i appe Creo que el símbolo «==» es muy típico de una codificación base64. Y quién dice la codificación, dijo la posible decodificación. Así que decodé el código, y esta vez aparece todo el código de puerta trasera. Aquí hay una parte que confirma todo lo demás:

Enmarcé las partes explícitas:

  • «post_content» probablemente define los contenidos de un artículo determinado.
  • «create_page» y «remove_page», respectivamente, cree o elimine las páginas.

todo remotamente, por supuesto, a través de una conexión a una página determinada que requiere una contraseña.

it También muestra que los metadatos HTML son definitables: palabras clave, descripción, título… lo que sugiere que esta puerta trasera es probablemente una forma discreta de agregar contenido predefinido (por ejemplo, enlaces) en todos los sitios «infectados» para mejorar la referencia del sitio de su autor.

No especificé que el código estudiado se coloca en un archivo de inicialización de la extensión (de qué activarlo seguro). Fue junto a mí para buscar el código fuente original en Internet para notar rápidamente que otros desarrolladores / hackers éticos también han identificado el código sospechoso, y que probablemente se ha codificado en Base64 desde los descubrimientos en cuestión.

Una descarga de una segunda extensión en este sitio me permitió decir que probablemente se ofrecen de forma gratuita porque todos están a fondo, y me temo que tenemos miedo de cientos o incluso miles de sitios de WordPress están infectados. De ahí mi alerta en el artículo de hoy.

¿Cómo detectar la puerta trasera?

La respuesta simple y ingenua a esta pregunta sería «para instalar extensiones (VERDADEROS) para proteger y escanear su sitio «. Pero con la frecuencia, las técnicas manuales funcionan mejor y, sobre todo, nos brindan más seguros en cuanto a la detección y corrección de un problema.

generalmente una puerta trasera como la que se estudia aquí está oculta en carpetas y archivos clave de la extensión. Por ejemplo, en la carpeta «INC» que contiene archivos para incluir en el lanzamiento de la extensión. La puerta trasera en cuestión aún estaba en un archivo en la carpeta «INC».

Puede observar manualmente si un archivo sospechoso se encuentra entre sus extensiones actuales, o haga un comando de búsqueda en línea:

Manchar la puerta trasera de la línea de comandos en Windows

en Windows, puede abrir un símbolo del sistema (cmd.exe) y luego volver a la carpeta del complemento:

 cd paty_dossier_plugin 

y escribe el siguiente comando:

 findstr / s / i cd_code *. * 

Este comando buscará a todas las subcarpetas los archivos que contienen la palabra «cd_code» sobre el puerta trasera en cuestión.

Aquí hay una pantalla de ejemplo:

Localice la puerta trasera en línea controlada en Linux

en Linux, podemos usar el comando GREP:

 grep -r "cd_code" / rath_plugin 

Nota: También puede buscar la expresión «base64» en lugar de cd_code y tratar de encontrar r Una base larga codificada codificada64 como en el ejemplo anterior.

¿Cómo detectar y evitar una puerta trasera en general?

El artículo no estaría completo sin hablar de las puertas traseras de más generalmente. En primer lugar, sobre WordPress, hay muchas formas de ocultar el código sospechoso, y la mejor manera de detectar es observarlo directamente para tratar de entender lo que hace. Sé que es tedioso, pero te daré pistas para que sea más fácil para ti.

Tenga cuidado con las extensiones sobre todo

Lo vimos al comienzo del artículo, Las extensiones de WordPress son la mejor manera de colocar una puerta trasera en un sitio de WordPress. Para evitar el máximo para terminar con una puerta robada, la idea está sobre todo para instalar solo las extensiones populares y se señala en el directorio oficial de WordPress (https://en.wordpress.org/plugins/) «//// P>

También es recomendable observar las carpetas sensibles de WordPress, como la carpeta Subir en la que se cargan las imágenes colocadas automáticamente. Aquí hay un comando para verificar que no hay un archivo PHP en esta carpeta:

 Encuentre la folderwordpress / wp-contents / uploads -name "*.php" -print 

IMPORTANTE Nota:

Puede haber archivos PHP legítimos colocados en esta carpeta. Es EMCO una vez un buen sentido y estudio en un caso por caso.

Finalmente, puede observar los archivos de configuración, para encontrar modificaciones no deseadas. Para automatizar esto, hay varias extensiones de seguridad. Recomiendo instalar solo uno para que no sobrecargue su servidor:

¿Qué tan protegen en el futuro? / H3>

Prevención es mejor que curar. Por lo tanto, le aconsejo sobre todo para realizar copias de seguridad regulares de su base de datos y archivos. Puede usar la extensión BackupWordPress.

Otras directrices:

  • Actualización: las extensiones y los temas del sitio deben actualizarse regularmente. Cuando las actualizaciones están disponibles, WordPress generalmente le avisa y le ofrece para hacerlas en un solo clic. Esto garantiza que tengamos las últimas versiones en cuestión, lo que puede corregir algunas vulnerabilidades presentes en versiones anteriores de la extensión.
  • Administrar los derechos de acceso: Esto permite limitar el campo de acción de un hacker. Limitar el acceso a carpetas o archivos sensibles a la dirección IP es un buen medio de protección, ya que la puerta trasera no permite esta restricción en sí. Puede crear o editar el archivo.htaccess en la raíz de su sitio para agregar el siguiente código:
 wp-login.phporder denegue, Permineny de todos # Coloque su dirección IP Public Ico_low de xx.xxx.xx.xx / archivos 

El único problema aquí es que no podrá conectarse a su sitio si usa otra red, o si su dirección IP es dinámica.

¿Quieres aprender más sobre las fallas en la web?

Esta falla y muchos más se ve en detalle en mi curso de video en la web de pruebas de intrusión.

Hablamos de fundamentos: Operación de HTTP, HTTPS, DNS y arquitectura web en general.

También estableceremos un laboratorio de pruebas con máquinas virtuales para albergar y escanear nuestros sitios vulnerables para aprender sin romper nada.

nosotros Por supuesto, hablará sobre todas las fallas en la web (XSS, CSRF, SQL, LFI, RFI,… etc.) después de los 10 mejores ow ASP, pero también de toda esa gravedad en la seguridad web: denegación de servicio, malas configuraciones, datos personales, reconocimiento, etc. Impaciente a comenzar con usted, lo invito a unirse al curso ahora: https: // cyberini. Com / Curso / Hacking-Ethics-Tests-intrusion-Web /

E-BOOK PDF 6 mitos sobre la piratería que el 90% de las personas todavía creen…

Descubrir ¿Cómo todos los hackers actúan genios? ¿Están en su entorno? Etc…

Descargo mi guía gratuita ×

¿A qué dirección de correo electrónico le gustaría recibir la guía?

Artículos similares

¿Qué podemos hacer con mi dirección IP?

Intentaré hoy para responder una pregunta popular que está en el origen de mucho miedo, por no mucho. ¿Qué podemos hacer con mi dirección IP? Alguien recuperó mi dirección IP y me amenaza, ¿qué puede hacer exactamente? https://youtu.be/k25w_ep2y3s Bueno, lo aseguro,…

Crear un sitio web seguro

Hay muchos elementos sobre la creación de sitios web, no haré uno más al respecto. Pero hoy me centraré en la creación de un sitio web seguro, y este tipo de tutorial no existe realmente. Prenons l’ordre logique suivant: 1. Créer…

Quel thème WordPress choisir, comment l’optimiser et le sécuriser ?

Vous êtes plusieurs à me demander quel thème utiliser pour votre nouveau sitio web. Personalmente, utilizo un tema que se personaliza regularmente de acuerdo con la evolución de las aplicaciones web y visitantes. La plataforma de WordPress permite esta personalización y proporciona la estructura inicial del sitio. WordPress es muy popular,…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *