domingo, 23 de julio de 2017

Un plugin podria hackear wordpress

Primero que nada la intensión de este post, no es aprender a hackear sitios web wordpress. Esto es una guia para los usuarios Administradores y Desarrolladores de wordpress.
Porque administradores: los administradores muchas veces son también a la vez desarrolladores ya que son ellos mismos lo que administran su website.
Para todos los que conocen a nivel básico wordpress sabemos que existen 2 componentes famosos que son:

  • Plantillas: proporcionan el diseño o la cara del sitio web
  • Plugins: este componente agrega nuevas funciones a tu sitio web
Es momento de enfocaremos en los plugins. Los plugin como mensioné agregan funcionalidades extras a tu web de manera rapida.
Para todos los administradores y Desarrolladores de plugins podria ser una bendición (las cosas se hacen fácil y rapido) o una maldición (abrir vulnerabilidades, crear y usar ataques a tus clientes y hasta el secuestro de tu web). Veamos la siguiente imagén:

Revisemos la imagén: en la primera linea podemos ver la fecha y hora cuando se ejecuto este proceso [crear acceso al administrador web].
Ahí se muestra la lista de usuarios administradores el dato de mayor relevancia son los correos del sitio web http://local.wp.com por si queremos contactar. En la imagen también ya casi al final vemos los accesos de la web: http://local.wp.com con el usuario y clave: hack


Accedamos con el usuario y clave generado en http://local.wp.com/w-admin


Que es lo que Ocurrió?


El administrador instaló y activo el plugin llamado discover-one y gracias a realizar estas acciones me dio acceso como súper usuario a su website.

Talvéz tú quieras probar el plugin y verificar si realmente funciona: solo necesitas modificar el valor de la variable iuser_mail con el nombre de tu correo (Siendo así te llegara el correo cuando activen el plugin).
Archivo: discover-one.php
El plugin tiene el poder de hacerlo todo
Este plugin solo tiene 80 lineas de codigo hasta el momento.
Y este código podría ser distribuido: adjuntandolo, escondiendolo o empaquetandolo en cualquier plugin de nombre reconocido o fiable para pasar desapersibido e instalarlo sin revisar (como akismet u otros) siendo asi debemos ser cuidadosos cuando instalemos nuevos plugins esto podria hacer mucho daño.

Cómo protegernos de los plugin maliciosos?


Las recomendaciones:
- Instalar solo los plugin que ofrece el canal oficial de wordpres.
- No descargar plugins de sitios dudosos y mucho menos via torrent.
- Si descargaste el plugin de una fuente externa tienes la responsabilidad de revisar todo el codigo fuente para no ser sorprendido mas adelante.
Nota: los correos que muestran las imagenes son solo de prueba no son de uso personal.

Si quieres que explique el codigo fuente puedes mensionarlo (aunque son pocas lineas :) ) en tu comentario y lo haré en un siguiente articulo.

No hay comentarios.:

Publicar un comentario