WordPress, sitios Joomla bajo ataque de contraseña de fuerza bruta

Miles de sitios de WordPress y Joomla están siendo atacados actualmente por una gran botnet que fuerza bruta contraseñas. Los administradores deben asegurarse de tener contraseñas seguras y nombres de usuario únicos para sus instalaciones de WordPress y Joomla.

En los últimos días, los perpetradores han intensificado significativamente los intentos de inicio de sesión de fuerza bruta basados ​​en diccionarios contra blogs de WordPress y sitios de Joomla, según informes de CloudFlare, HostGator y varias otras compañías. El ataque busca nombres de cuentas comunes, como “admin”, en el sitio e intenta sistemáticamente contraseñas comunes para entrar en la cuenta.

Los administradores no quieren que alguien intente acceder a sus sitios, ya que ese atacante podría desfigurar el sitio o incrustar código malicioso para infectar a otras personas con malware. Sin embargo, la naturaleza organizada del ataque y su operación a gran escala implica objetivos aún más siniestros. Parece probable que los atacantes estén intentando afianzarse en el servidor para poder encontrar una forma de hacerse cargo de toda la máquina. Los servidores web son generalmente más potentes y tienen canales de ancho de banda más grandes que los ordenadores domésticos, lo que los convierte en objetivos atractivos.

“El atacante está utilizando una botnet relativamente débil de PC domésticas para construir una botnet mucho más grande de servidores robustos en preparación para un ataque futuro”, escribió Matthew Prince, CEO de CloudFlare, en el blog de la compañía.

La botnet Brobot, que los investigadores creen que estuvo detrás de los ataques masivos de denegación de servicio contra las instituciones financieras estadounidenses que comenzaron el otoño pasado, está formada por servidores web comprometidos. “Estas máquinas más grandes pueden causar mucho más daño en los ataques DDoS porque los servidores tienen grandes conexiones de red y son capaces de generar cantidades significativas de tráfico”, dijo Prince.

Cuentas de fuerza bruta
Los atacantes están utilizando tácticas de fuerza bruta para ingresar a las cuentas de usuario de los sitios de WordPress y Joomla. Los cinco nombres de usuario principales a los que se dirige son “admin”, “test”, “administrador”, “Admin” y “root”. En un ataque de fuerza bruta, los perpetradores prueban sistemáticamente todas las combinaciones posibles hasta que acceden con éxito a la cuenta. Es más fácil adivinar y descifrar contraseñas simples, como secuencias de números y palabras del diccionario, y una botnet automatiza todo el proceso. Las cinco contraseñas principales que se intentan en este ataque son “admin”, “123456”, “111111”, “666666” y “12345678”.

Si está utilizando un nombre de usuario común o una contraseña común, cámbielo inmediatamente por algo menos obvio.

“Haga esto y estará por delante del 99 por ciento de los sitios y probablemente nunca tendrá un problema”, escribió Matt Mullenweg, creador de WordPress, en su blog.

Aumento del volumen de ataque
Las estadísticas de Sucuri indican que los ataques están aumentando. La compañía bloqueó 678,519 intentos de inicio de sesión en diciembre, seguido de 1,252,308 intentos de inicio de sesión bloqueados en enero, 1,034,323 intentos de inicio de sesión en febrero y 950,389 intentos en marzo, Daniel Cid, CTO de Sucuri, en el blog de la compañía. Sin embargo, en los primeros 10 días de abril, Sucuri ya ha bloqueado 774,104 intentos de inicio de sesión, dijo Cid. Eso es un salto significativo, pasando de 30 mil a 40 mil ataques por día a alrededor de 77,000 por día en promedio, y ha habido días este mes en los que los ataques superaron los 100 mil por día, dijo Sucuri.

“En estos casos, por el mero hecho de tener un nombre de usuario que no sea administrador / administrador / root, automáticamente queda fuera de funcionamiento”, dijo Cid, antes de agregar: “Lo que en realidad es agradable”.

Indicios de una gran botnet
El volumen de ataque es una pista del tamaño de la botnet. HostGator estimó que al menos 90.000 computadoras están involucradas en este ataque, y CloudFlare cree que se están utilizando “más de decenas de miles de direcciones IP únicas”.

Una botnet está compuesta por computadoras comprometidas que reciben instrucciones de uno o más servidores de comando y control centralizados y ejecutan esos comandos. En su mayor parte, estas computadoras han sido infectadas con algún tipo de malware y el usuario ni siquiera es consciente de que los atacantes están controlando las máquinas.

Credenciales sólidas, software actualizado
Los ataques contra los sistemas de gestión de contenido populares no son nuevos, pero el volumen y el aumento repentino son preocupantes. En este punto, no hay mucho que los administradores puedan hacer más allá de usar una combinación sólida de nombre de usuario y contraseña y asegurarse de que el CMS y los complementos asociados estén actualizados.

“Si todavía usa ‘admin’ como nombre de usuario en su blog, cámbielo, use una contraseña segura, si está en WP.com, active la autenticación de dos factores y, por supuesto, asegúrese de estar al día. fecha en la última versión de WordPress “, dijo Mullenweg. WordPress 3.0, lanzado hace tres años, permite a los usuarios crear un nombre de usuario personalizado, por lo que no hay razón para seguir teniendo una contraseña de “administrador” o “administrador”.

Imagen a través de CloudFlare