Wordpress es una de las plataformas de blogs más extendidas por Internet, y como tal es un objetivo muy jugoso para los _crackers_. De hecho, ahora mismo hay un ataque en marcha contra blogs Wordpress que está construyendo una _botnet_ considerablemente grande infectando blogs no seguros.
El ataque consiste básicamente en usar fuerza bruta para adivinar la contraseña de administrador de cada instalación. Una vez conseguida, el _malware_ se instala en el blog creando un nuevo usuario. Desde ahí empezará a atacar a otros blogs Wordpress por fuerza bruta para infectarlos.
El malware usa una lista de unas 1.000 combinaciones de usuario y contraseña, las más comunes. Son pocas comparadas con todo el espacio de combinaciones posibles, pero al ser las más comunes es perfectamente posible que infecten suficientes blogs como para que la _botnet_ tenga un tamaño importante (un mínimo de 90.000 IPs según algunos informes).
De momento, los blogs infectados no están haciendo nada más allá de buscar otros blogs, así que no están causando demasiados problemas adicionales a los usuarios. Quienes sí lo están pasando peor son los proveedores de _hosting_, que en algunos casos están viendo cómo su tráfico saliente se dispara. Muchos han tomado medidas de seguridad adicionales, como bloquear el acceso a todos los paneles de administración de Wordpress salvo a ciertas IPs específicas, de forma que el usuario tiene que comunicar al _hosting_ su IP para poder acceder al blog.
Si creéis que podéis haber sido infectados, lo más recomendable es borrar cualquier usuario desconocido y revisar la instalación para buscar archivos maliciosos. En última instancia, siempre podéis borrar todos los archivos y hacer una instalación limpia para evitaros problemas (los posts, etiquetas y demás se guardan en la base de datos, así que no los perderéis).
Para el resto, recordad los consejos a la hora de crear contraseñas seguras. También podéis usar plugins como Login Security Solution para bloquear ataques de fuerza bruta en vuestros servidores. Y, por supuesto, seguir los consejos de seguridad de Wordpress.
Vía | Krebs On Security Más información | Lista de usuarios y contraseñas usados en el ataque
Ver 16 comentarios