Inicio / Entrada de Blog / Un nuevo ataque de fuerza bruta tiene como víctima las páginas basadas en WordPress. Por daniel Comino

Un nuevo ataque de fuerza bruta tiene como víctima las páginas basadas en WordPress. Por daniel Comino

Un nuevo ataque de fuerza bruta tiene como víctima las páginas basadas en WordPress. Por daniel Comino
De acuerdo con un post publicado por Matthew Prince, CEO de la red CloudFlare (servicio especializado en ofrecer sitios web seguros), en su blog (http://blog.cloudflare.com/patching-the-internet-fixing-the-wordpress-br), existe en los últimos días un significante número de ataques dirigidos a páginas basadas en WordPress por todo Internet. Este ataque, basado en la técnica conocida como fuerza bruta, está dirigido a la zona administrativa de los sitios y trata de acceder mediante el usuario “admin” a la zona privada, intentando miles de contraseñas comunes distintas.

El ataque está coordinado por numerosos ordenadores zombies que componen una botnet de gran dimensión, ya que se han llegado a detectar hasta 90.000 direcciones IP como atacantes, con el fin de hacerse con las credenciales administrativas de estos sitios. De hecho, Matthew Prince apunta en su blog que esta botnet, además de contar con ordenadores aislados en hogares, también dispone de servidores (mucho más peligrosos, puesto que cuentan con mayor capacidad de ataque, al tener más ancho de banda disponible y capacidad de proceso mayor).

Las botnets son redes de ordenadores afectados por un mismo malware que permiten a los atacantes controlar numerosos equipos infectados de forma remota y coordinada para atacar a un tercero.

Sin embargo, este no se trata del primer y único ataque basado en botnets de gran relevancia, ya que el pasado mes de octubre, 6 de los bancos más grandes de los Estados Unidos fueron atacados mediante el mismo método DDoS.

El problema que están explotando estas botnets viene dado porque, por defecto, el sistema WordPress permite un número ilimitado de intentos a la hora de acceder al sistema. Sin embargo, desde la organización WordPress, creadora del sistema de gestión de contenidos, han lanzado una nueva versión del producto (1.7.1, descargable desde este enlace, http://downloads.wordpress.org/plugin/limit-login-attempts.1.7.1.zip) limitando el número de intentos para acceder al sistema, además de tener en cuenta las cookies y las diferentes direcciones IP desde las que se accede para bloquearlas en caso de números intentos de acceso sospechoso.
(Sin votaciones)
Cargando…