Asegura las contraseñas de tus sitios de Wordpress En este post aprenderás cómo se crackean contraseñas en sitios Wordpress y medidas para protegerte de los hackers. POR: Luis Enríquez Wordpress se ha convertido en el sistema de gestión de contenidos más popular en Internet. Gracias a su interface simplificada permite a cualquier persona crear, actualizar y mantener sus sitios web sin tener mayores conocimientos de informática y programación. Sin embargo, donde sí debemos capacitarnos es en la seguridad de las web. Algunos me han preguntado qué tan fácil es hackear sitios
web hechos en wordpress. Pues el problema no es que los sitios sean inseguros de por sí, sino más bien que los administradores de estos no implementan políticas de seguridad para proteger la seguridad y privacidad de sus usuarios. Recordemos que la vulnerabilidad más crítica en sistemas informáticos somos las personas. En esta ocasión, realizaremos un ataque de fuerza bruta contra
Abrir el programa ° 1. Descargamos wp-scan desde http://wpscan.org/
EXPLORA E
DOMINGO 06 DE MARZO DE 2016 La Hora, ECUADOR
B11
Sobre el autor Luis Enríquez es un abogado °experto en Derecho en Internet.
Además, es un músico reconocido de música académica y rock. Fue guitarrista de Sal y Mileto.
un sitio wordpress, para comprobar qué tan fácil es crackear las contraseñas de los usuarios. Para esto, utilizaremos una herramienta llamada Wpscan. Manos a la obra
Es un scanner de vulnerabilidades que nos permite descubrir la seguridad de un sitio wordpress, enumerar sus usuarios y, por supuesto, crackear las contraseñas. A continuación el tutorial:
SEGURIDAD. Siempre es mejor protegerse ante los hackers.
Visualización ° 2. Es muy fácil saber el nombre del usuario de una cuenta en un sitio web, basta con leer los foros. Generalmente, conocemos el nombre del usuario, pero no la contraseña:
Importante
Medidas de protección 1. Crear contraseñas que combinen
números, letras mayúsculas, minúsculas y otros caracteres. Una forma fácil de recordar es tomar las primeras letras de una frase conocida. Ejemplo: Frase: Mi novia, se llama Carla. Contraseña segura: Mn,sllC.
2. Los administradores de los sitios web
no deben permitir que los usuarios puedan utilizar contraseñas débiles. Esto no viene resuelto por defecto en Wordpress.
3. Utilizar autenticación doble, por ejemplo, además de la contraseña, un código enviado el teléfono del usuario. 4. Usar plugins que impidan los ataques de fuerza bruta y parchen vulnerabilidades. Entre los mejores están 6scansecurity o Wp admin protection. 5. Así como existen herramientas para atacar wordpress, también hay para otros sistemas de gestión de contenidos tales joomla o drupal.
Wpscan ° 3. Lanzamos wpscan desde nuestro computador contra el sitio web que queremos atacar. En este caso el sitio web que vamos a atacar está hospedado en la dirección: http://192.168.122.6/wordpress. Utilizamos el siguiente comando desde el terminal: Los parámetros son los siguientes: wpscan.- Es la ejecutable, el programa. --url .- La página web.--wordlist.- Una lista de palabras de diccionario para realizar el ataque. Diccionarios muy buenos pueden descargarse desde: http://www.openwall.com/wordlists/
El usuario ° 5. Finalmente, la contraseña es descifrada. En este caso, la contraseña era el mismo nombre del usuario, bryan:
Descifrado ° 4. Dejamos a la herramienta funcionar y podemos hacer otra actividad hasta que la contraseña sea descifrada:
Credenciales ° 6. Ingresamos las credenciales al sitio web y tenemos acceso a la interface de control de wordpress: