En la entrevista hablo de cómo me hice informático y más concretamente, cómo me preocupé por el tema de la ciberseguridad para todos.
Abordamos temas de Seguridad en WordPress, como no podía ser de otra forma, y pasamos un rato agradable charlando.
Mi ponencia en WordCamp Chiclana 2017
Más que una ponencia, lo que acordé con la organización fue impartir un taller llamado “¿Hackeamos WordPress?” donde, de manera muy práctica, indicaba una serie de técnicas y herramientas que se pueden usar para hackear WordPress así como algunas técnicas para evitarlo. El fin de este taller era conocer las vulnerabilidades y aprender a evitar que algún usuario malintencionado hackee nuestras instalaciones WordPress.
Os comparto el video de la entrevista y os invito a verla.
En la seguridad tú eres el eslabón más débil. Este fue el título de mi ponencia en la WordCamp Irún 2019
Tú eres el eslabón más débil
En este mundo de la ciberseguridad, existen muchos peligros que nos acechan. Los que me conocéis ya sabéis lo que me gusta identificarlos, estudiarlos y difundirlos para que naveguéis más tranquilos.
El fin de semana del 1 y 2 de junio de 2019 estuve en Irún. Tuve la suerte de que mi charla “En la seguridad tú eres el eslabón más débil”, fuera escogida y participé como ponente en la WordCamp Irún donde hablamos, sobre todo, de WordPress y cada ponente aporta información en el campo en el que está más especializado.
En vista que había mucha gente nueva me decidí por una ponencia para “todos los públicos” enfocada en concienciar a todos sobre los malos hábitos que tenemos en internet.
La creación y uso de contraseñas fuertes y fáciles de recordar, consejos de seguridad para todos, los peligros de las tiendas falsas, el phishing y las estafas en internet, uso de gestores de contraseñas, doble factor de autenticación, aplicaciones que nos hacen la vida más segura, etc.
Si te perdiste la charla aquí te dejo el video y la presentación de diapositivas que utilicé. Espero que te ayuden a pensar y a modificar tus hábitos mientras navegas.
Aquí tienes disponible mi presentación de la WordCamp Bilbao 2019 “1001 ataques a WordPress”, simplemente haz clic en la imagen para descargarla en formato PDF.
Se ha encontrado una vulnerabilidad crítica en el plugin Easy WP SMTP.
Vulnerabilidad crítica en el plugin Easy WP SMTP.
Aunque la vulnerabilidad se encuentra en la versión 1.3.9 del plugin hace algunos días que los ciber delincuentes están utilizándola para infectar miles de instalaciones de WordPress.
Empieza la historia
Hace unos días me encontré que una instalación de WordPress con la que trabajo normalmente. Tenía una redirección a páginas con spam y publicidad de productos de dudosa procedencia. Esta instalación de WordPress tengo que decir que estaba actualizada a la última versión del core de WordPress, todos sus plugins estaban actualizados a su última versión y las plantillas de los temas que utilizaba también estaban actualizados a la última versión.
Todos los parámetros de seguridad que había aplicado en esa instalación estaban correctos, lo he hecho muchas veces y sé que esto estaba como tenía que estar, sin embargo, la instalación había sido hackeada y no sabía porqué.
A pesar de que el core de WordPress es bastante seguro, lo primero que pensé es que había una vulnerabilidad en el core puesto que todo estaba actualizado correctamente. Escaneé la instalación con diversos servicios online y plugins de seguridad en busca de código malicioso y con ninguno encontré nada. He de decir que para ello utilizo servicios como Virustotal o Sucuri Sitecheck Y plugins como Wordfence, All in one WordPress Security and FireWall (que ya sabeis que me encanta) y algún otro más.
Utilización de un firewall
Al no encontrar nada y descartar que habían entrado robando la contraseña del administrador de la instalación (puesto que utilizo acciones de seguridad como el doble factor de autenticación, el acceso al panel de control oculto y el acceso a archivos críticos de WordPress desde el exterior estaba capado) decidí añadir un plugin de seguridad como Ninja FireWall y esperar a ver si ocurrían acontecimientos sospechosos.
Efectivamente, tras instalarlo, empecé a observar movimientos sospechosos desde IPs de diversos países que no eran España y, por supuesto, no era yo. Todas llamaban a un archivo admin-ajax.php que como sabrás es utilizado por WordPress para diversas funciones importantes y lo que es peor, un usuario no autenticado puede hacer (desde fuera) peticiones Ajax a ese archivo para ejecutar la vulnerabilidad en el código del plugin.
¿Qué puede ocurrirnos?
Con estas peticiones se puede inyectar código, objetos PHP, incluso cambiar los roles o mejor dicho, las capacidades de acción que tienen los usuarios de WordPress de manera que un simple usuario suscriptor podría tener capacidades de administrador y no darnos ni cuenta. Esto ya suena bastante grave ¿verdad?
Estas tranquilos, la vulnerabilidad fue solucionada con la versión 1.3.9.1 del plugin. Si aún tienes la versión anterior, la 1.3.9, te recomiendo que actualices inmediatamente si no quieres tener sorpresas muy desagradables.
Consejos de seguridad para comprobar que no ha sido jaqueado
Comprueba que no hay nuevos usuarios en el menú usuarios de tu panel de administración.
Comprueba que la dirección de e-mail del administrador es correcta.
Cambia todas las contraseñas tanto de tus usuarios como del acceso ftp y el acceso a la base de datos.
Cambiar la contraseña del servidor SMTP.
Realiza todos los cambios que se te ocurran principalmente de accesos que utilizas normalmente y que nunca hayas cambiado.
Espero que antes de terminar de leer este post ya hayas actualizado el plugin y esto se haya quedado en una simple anécdota no por ello poco importante.
Se ha descubierto una importante vulnerabilidad en versiones de WordPress anteriores a 5.0.3 que permite a un usuario autenticado con un simple rol de “autor”, ejecutar código de forma remota.
Vulnerabilidad importante en versiones de WordPress anteriores a 5.0.3
Un nuevo capítulo en la seguridad de WordPress. En este caso, se trata de una vulnerabilidad que lleva más de 6 años en el core de WordPress y que aún no se había parcheado. El atacante, mediante el uso de dos tipos de ataques como “Path Traversal” y “Local File Inclusion”, puede ejecutar un código PHP arbitrario en el servidor donde se aloja la instalación de WordPress, lo que lleva a una toma de control remota completa.
Una vez ejecutado el atacante podrá acceder a todos los archivos del directorio principal de WordPress y por lo tanto además, a la base de datos de éste con el peligro que eso conlleva.
Puedes ver la prueba de concepto en el siguiente video
El hecho de que se necesite un usuario autenticado (aunque sea de rol suscriptor o autor) hace que la vulnerabilidad sea menos peligrosa pero aún así, existe y es necesario erradicarla.
¿Cómo protegerme de esta vulnerabilidad?
Actualiza tu WordPress a la versión 5.0,3 (o sucesivas) donde este fallo está parcheado y no tendrás que preocuparte de ella.
Tienes más información y un video de la prueba de concepto en este link:
Aquí te dejo la presentación de mi ponencia en la WordCamp Las Palmas de Gran Canaria 2019 para que la utilices como referencia para tu tienda online y para que ¡no te estafen!
