Ataques de fuerza bruta contra WordPress: Sitios utilizados como escenario
En un descubrimiento reciente de Sucuri, ha surgido una tendencia preocupante que implica ataques de fuerza bruta en sitios de WordPress a través de inyecciones maliciosas de JavaScript. Estos ataques de fuerza bruta a WordPress destacan por su enfoque sigiloso. El investigador de seguridad Denis Sinegubko señala que estos ataques se dirigen específicamente a sitios web de WordPress a través de los navegadores de visitantes desprevenidos.
Modus operandi de los ataques de fuerza bruta a WordPress
Los sitios WordPress pirateados se están convirtiendo cada vez más en objetivos de los actores maliciosos. Esta serie de ataques de fuerza bruta a WordPress se basa en una estrategia documentada anteriormente en la que se manipulaban sitios de WordPress comprometidos para inyectar drenadores de criptomonedas o redirigir a los visitantes a sitios de phishing Web3 que contenían malware drenador.
Sin embargo, la última versión, que afecta a más de 700 sitios hasta el momento, no emplea un drenador, sino que se basa en una lista de contraseñas comunes y filtradas para ejecutar ataques de fuerza bruta en otros sitios de WordPress. El ataque se desarrolla en cinco etapas, lo que permite a los actores de amenazas explotar sitios web comprometidos para lanzar ataques de fuerza bruta distribuidos en sitios de víctimas potenciales:
- Obtención de una lista de sitios WordPress objetivo: Los atacantes recopilan una lista de sitios de WordPress para atacar.
- Extracción de nombres de usuario reales: Al extraer los nombres de usuario de los autores que publican en esos dominios, los atacantes obtienen información valiosa.
- Inyección de código JavaScript malicioso: Los sitios WordPress comprometidos se inyectan con código JavaScript malicioso.
- Lanzamiento del ataque de fuerza bruta distribuido: El ataque se inicia cuando los visitantes aterrizan en los sitios hackeados, convirtiéndose sin saberlo en parte del ataque de fuerza bruta distribuido.
- Intentos maliciosos de inicio de sesión: La etapa final consiste en obtener acceso no autorizado a los sitios objetivo utilizando la lista de contraseñas.
De los vaciadores de criptomonedas a los exploits de fuerza bruta de WordPress
El motivo de este cambio de los vaciadores de criptomonedas a los ataques de fuerza bruta sigue sin estar claro, pero las especulaciones apuntan a motivos lucrativos. Los sitios WordPress comprometidos pueden monetizarse de varias formas. Los vaciadores de monederos de criptomonedas, responsables de importantes pérdidas de activos digitales en 2023, pueden haber impulsado a los actores de amenazas a explorar métodos alternativos que llamen menos la atención.
Reconocer la importancia de las contraseñas seguras
Los investigadores de seguridad sugieren que los atacantes pueden haberse dado cuenta de las limitaciones de los crypto drainers a su escala de infección, aproximadamente 1000 sitios comprometidos. Los criptodrenadores llaman excesivamente la atención, lo que provoca un rápido bloqueo del dominio. Este cambio subraya la importancia de medidas de seguridad de WordPress que incluyen la creación de contraseñas robustas para fortificar contra amenazas potenciales.
Prevención de ataques por fuerza bruta
Para fortalecer su sitio WordPress contra estas vulnerabilidades de seguridad del sitio webconsidere la posibilidad de aplicar las siguientes medidas:
- Limitar el acceso al archivo xmlrpc.php y a la interfaz de administración: Restrinja el acceso al archivo xmlrpc.php y a la interfaz de administración de WordPress únicamente a direcciones IP de confianza. Esto ayuda a evitar puntos de entrada no autorizados para los atacantes.
- Protección contra malware Perimeter81: Utilice la protección contra malware Perimeter81 para bloquear una serie de entidades maliciosas, incluidos troyanos, ransomware, spyware, rootkits, gusanos y exploits de día cero. Estos pueden causar estragos en su red si no se controlan.
Amenazas y vulnerabilidades emergentes
Este avance se produce tras un informe de DFIR que revela que los actores de amenazas aprovechan un fallo crítico en el plugin de WordPress 3DPrint Lite (CVE-2021-4436, puntuación CVSS: 9,8) para desplegar el shell web Godzilla para el acceso remoto persistente. Además, una campaña de SocGholish, también conocida como FakeUpdates, ataca sitios web de WordPress distribuyendo malware JavaScript a través de versiones modificadas de plugins legítimos. Estos plugins se instalan aprovechando credenciales de administrador comprometidas.
El investigador de seguridad Ben Martin subraya que, independientemente de las diversas tácticas utilizadas, el objetivo final sigue siendo el mismo: engañar a los visitantes desprevenidos de un sitio web para que descarguen troyanos de acceso remoto. Estos troyanos sirven como punto de entrada inicial para posibles ataques de ransomware.
Mitigación de los riesgos de ciberseguridad para WordPress
La mitigación de los ataques de fuerza bruta requiere medidas de seguridad proactivas. A medida que cambia el panorama de las amenazas, la necesidad de proteger los sitios web de WordPress se hace más evidente. Aunque el motivo del reciente cambio de los vaciadores de criptomonedas a los ataques de fuerza bruta distribuidos sigue siendo especulativo, refuerza la importancia de adaptar las estrategias de seguridad a las amenazas emergentes.
Conclusión
En conclusión, salvaguardar tu sitio de WordPress contra las amenazas cibernéticas en evolución requiere un enfoque multifacético. Fortalecer las contraseñas, limitar el acceso a archivos e interfaces críticos y desplegar una sólida protección antimalware son pasos cruciales para fortificar tus defensas digitales.
A medida que los actores de las amenazas adaptan sus tácticas, mantenerse informado, aplicar medidas proactivasy adoptando las mejores prácticas de seguridad de WordPress seguirán siendo esenciales para mantener la seguridad y la integridad de su presencia en línea.
Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.