Como sobrevivir y protegerse de un defacement en WordPress

Por : Aitor Calero + 27-9-2010 Blogging

Justo el día (bueno mejor dicho la noche) en la que se publicaba en Bloguismo como proteger tu WordPress al máximo, mi propio Blog, Un Cafelito a las Once, sufría el ataque de un hacker (turco parece, pero cualquiera sabe). En concreto el ataque consistió en un defacement. Pero como toda buena catástrofe se pueden aprender unas buenas lecciones que me gustaría compartir con vosotros.

Como buen blogger tenía casi todo lo que se recomendaba en el artículo de Bloguismo y aun así sucedió lo peor. Siempre tenemos que estar preparados para los cisnes negros.

¿Qué es un defacement? Casi literalmente es desfigurar, es decir, cambiarle la cara a tu blog. En mi caso salía una bonita bandera turca con un un mensaje diciendo que se había hackeado mi sitio. Genial.

Lo primero que hice fue buscar información sobre el ataque (iskorpitx) y ver algunos vídeos de cómo se puede hacer un defacement. No para hacerlo claro, sino para saber cómo funciona.

El mecanismo es bastante simple. Si te roban tu clave de FTP tendrán el acceso a todos tus archivos, por tanto podrán cambiar cualquier archivo a su antojo. En el caso de un defacement en una instalación de WordPress, se sustituye el index.php por otro index.php falso. El resultado es que solo carga una página inicial que no es la de tu blog y te quedas con cara de tonto. Tus lectores ni te cuento. Afortunadamente el hacker se contenta con reemplazar el index.php, pero podría haber hecho cualquier cosa. ¿Asusta no?

Por eso es fundamental tener siempre una copia de seguridad de tu blog lo más actualizada posible.

Para solucionar el problema hay que hacer lo siguiente:

Fundamental, es cambiar todas tus claves y sustituirlas por unas claves totalmente nuevas y autogeneradas. Y apuntarlas
Abrir tu copia de seguridad del blog y volver a restaurar el index.php original. Afortunadamente este php no contiene casi nada y solo carga otros componentes del blog. Por lo que no tienes que tener miedo de que se cambie la apariencia de tu blog.
Una vez restaurado el blog y comprabado que todo funciona, hacer inmediatamente una copia de seguridad manual de TODO el contenido. Insisto en TODO, porque algunas plugins hacen backup de la base de datos, pero no los archivos. Recordad que es el index.php el archivo que nos interesaba recuperar y este no se almacena en base de datos.

Estas son algunas de las medidas preventivas que he tomado para el futuro.

Poner una alarma para cambiar tu contraseña por otra igual de fuerte cada cierto tiempo. Un método efectivo y simple. No previene un ataque puntual, pero el hacker se terminará aburriendo.
Automatizar las copias de seguridad con cron. Muchos hosting ofrecen este servicio previo pago, pero es posible hacerlo de forma automática con las tareas cron. Si no te quieres complicar la vida, merece la pena pagar o ponerte una alarma que te recuerde hacer una copia manual cada cierto tiempo.
Limitar por IP el acceso a la carpeta wp-admin. Solo tú y tus colaboradores deberían poder acceder. Intenté hacer lo mismo con el FTP, pero en el hosting me dijeron que no era posible
Instalar TODOS los plugins de seguridad que recomendaba bloguismo y hacer caso a sus recomendaciones

Espero que tomando estas medidas, si alguna vez vuelve a ocurrir algo parecido tenga el blog operativo de nuevo en menos de 5 minutos. La seguridad absoluta es imposible y no depende de nosotros, pero la solución si que está en nuestras manos.

¿Qué otras medidas preventivas se os ocurren? ¿Tenéis controladas vuestras copias de seguridad?

9 Comentarios

Martín Códax dice: 27-9-2010 a 9:45 //

Confieso que tu artículo y el del pasado lunes de Juanan me han advertido de los peligros diarios en los que no reparamos cuando llevamos un blog o escribimos en él.
No sé cómo hay gente tan patana que se entretiene en estos menesteres, la verdad. Ni que un blog encerrase el oro de Moscú… ¿o sí?
Saludos, Aitor
Aitor Calero García dice: 27-9-2010 a 10:07 //

Bueno, en realidad no creo que busquen nada en particular. Simplemente corren unos scripts que buscan vulnerabilidades y si las encuentrás voilá, site hackeado.
También se pueden usar para jugar al despiste. Te preocupas de un defacement y mientras se aprovecha para otras maldades. Lo importante es tener las espaldas bien cubiertas y tener un plan de contingencias
J.Rodriguez dice: 27-9-2010 a 10:50 //

Buen post Aitor.

A ver si así se o nos concienciamos mas en la seguridad, y no solo la de los blogs que tengamos, también me refiero a la de nuestras maquinas.

El Defacement como tu bien dices lo suelen hacer o realizar los Lammers puesto que no es para nada complicado, mirando algo por la red encontrareis cientos de manuales y guías de como hacerlos y las herramientas necesarias para llevarlo a cabo.

Se suele usar un programa para buscar sitios aleatorios de un país,ciudad, rango de IPs en fin y te muestra al final un resultado con posibles victimas,ahora solo toca usar otro para ver a que puedes ser vulnerable y si encuentra algo como en tu caso, pues nada a usar un revienta contraseñas.

Pero…… lo que me preocupa es que si la contraseña de tu FTP fue violada mediante fuerza bruta, pues hasta aquí vale no me preocupa casi nada, ¿pero y si te la sacaron de tu pc mediante un troyano o keylogger? esa es la preocupación, ya que deberías/mos pasar a fondo antivirus antispyware y todo el saco de herramientas para ver si tenemos la maquina comprometida.

De esto que por eso insisto en la seguridad de nuestras maquinas. yo desde siempre he sido y sigo siendo un extremista paranoico con la seguridad.

Una sugerencia si guardáis vuestras passswords en un fichero en vuestras maquinas, lo menos que podéis hacer es usar algún programa para que los encripte (con la máxima encriptacion posible) al menos así si se lleva el fichero de los paswords tendrá que molestarse en desencriptarlo, y eso puede quitarle las ganas.

Buffff que chorizo he soltado no?

Bueno al menos nos enteramos de algo mas Aitor muchas Gracias por el Post.
Manuel Álvarez dice: 27-9-2010 a 17:24 //

Hola, Aitor:
En Blogger creo que es posible cambiar la URL del blog, cada vez que se quiera,(no sé si me equivoco). Pero mi pregunta es: ¿si se mantiene el nombre del blog y se cambia la URL con cualquier combinación, es posible que los motores de búsqueda encuentren igualmente el blog?; ¿se consigue con esto aumentar la seguridad del blog? Y otra: ¿con qué tipo de caracteres se puede despistar mejor a los hacker?
- Aitor Calero García dice: 28-9-2010 a 11:40 //
  
  Hola Manuel,
  
  no te recomiendo para nada cambiar las URL de tu blog o de tus noticias, porque así harás que Google se vuelva loco. De Blogger quizá Álvaro te pueda ayudar más, pero lo mejor que puedes hacer es seguir los consejos de seguridad que hemos comentado.
  Más que intentar protegerse al 100% (imposible) es protegerse lo suficiente como para que no les merezca la pena tomarse la molestia.
Oscar dice: 27-9-2010 a 21:45 //

da mucho miedo!
Álvaro Paricio dice: 28-9-2010 a 13:25 //

Sí que da miedo la verdad, que un desalmado que no tiene nada mejor que hacer te hackee tu blog… realmente más que miedo es rabia.

Muchas gracias por tu post Aitor, ahora sabré mejor qué hacer si me ocurre alguna vez, que espero que no

Un saludo!
zordor dice: 2-10-2010 a 6:28 //

Que putada camaradaaarl, así que lo primero mis condolencias, pero como tu dices ahora que todo esta solucionado aprendamos de ello

Mi primera duda es si sabes como llegaron a hacerse con la clave de tu ftp? fue un fallo de seguridad de tu hosting? o por donde vino el problema?

Como dices la seguridad total es imposible pero se le puede poner muy dificil a los atacantes. Teniendo en cuenta que no somos gente muy importante y que no tenemos datos muy delicados lo que quiere esta gente es dejarse notar, el equivalente a una firma con spray en una pared, no se trata de un famoso grafitero haciendo un grafiti impresionante en el museo del louvre y para ello estuvo planeando como hacerlo durante 6 meses y así poder salir impune. Con esto quiero decir que el atacante va a intentar 3 o 4 métodos autómaticos y en el momento que estos fallen adios muy buenas, lo va a dejar.

Por tanto creo que siguiendo los consejos que ya se indican por el blog en un 99% de los casos nuestro blog estará a salvo. Y en caso de que tengamos un ataque y tan solo tengamos un cambio del index.php la solución es reemplazarlo, el problema es el tiempo que esta nuestro blog desfigurado.

Una solución fácil y creo que efectiva podría ser la de aceptar que pueden penetrar nuestro perimetro de seguridad y pueden cambiarnos el fichero index, lo asumimos. Entonces creamos un script que automáticamente cheque que el index.php no ha sido modificado, si no lo ha sido no pasa nada. Pero si lo ha sido, lo primero se hace una copia del fichero index.php falso y se envia a nuestro mail indicando que hemos sido atacados. Si nos lo queremos currar más podemos mandar los logs de ese día también en el correo, pero eso es para nota. Luego el mismo script sustituirá el fichero index defaceado por una copia anterior correcta.

A partir de aquí nuestro blog debería estar correcto en caso de que no haya tocado nada más. De cualquier modo nosotros ya estaremos sobre aviso y ya podremos comprobar si queremos restaurar todo el blog, o algunas partes, en definitivas medir el alcance del ataque.

Esta es la idea que se me ocurre a mi, no se si la encontráis interesante.

Trackbacks para este post

¿Cuales son los Password attacks? (Ataques por Password) | Software Hardware Guías Windows Apple Linux EcoTech Gadgets y mas! dice:

27-9-2010 a las 13:26

[...] al Feed RSS de actualizaciones sobre este tema. Esta mañana leía en Bloguismo un Post bueno Como sobrevivir y protegerse de un defacement en WordPress que lo vivió “en sus propias carnes” mi amigo Aitor Calero así que os dejo por aquí [...]