Durante esta semana, venimos detectando que existe un aumento inusual de la actividad en nuestros servidores de alojamiento compartido así como en algunos servidores dedicados de clientes. Tras comprobar los registros del sistema así como los datos de uso de varios de los dominios comprobamos que se trataban de intentos de ataque por fuerza bruta contra los sitios web basados en Wordpress, el ataque consiste en lanzar varios cientos de peticiones simultáneas durante varios minutos contra el fichero wp-login.php simulando conexiones del administrador del sistema, el único fin de este tipo de ataques es conseguir averiguar, mediante el uso de diccionarios de palabras, la contraseña de los usuarios para poder acceder posteriormente al sitio atacado.

Debido a la naturaleza del ataque, no es posible predecir si el tráfico es legítimo o no, de forma que no podemos implementar medidas de seguridad a nivel de servidor o de red para evitar este tipo de ataques hasta que no se está produciendo, de forma que recomendamos a todos nuestros usuarios las siguientes medidas de prevención:

  1. Utiliza contraseñas seguras, a ser posible que cumplan las siguientes características: más de 10 carácteres, que no estén basadas en ninguna palabra conocida, que incorporen números y carácteres especiales (como %&/#), que mezclen letras minúsculas con mayúsculas.
  2. A ser posible genera y almacena tus contraseñas con un programa especializado, como KeePass.
  3. Cambia el nombre de usuario de admin y utiliza otro usuario.
  4. Nunca compartas tu contraseña de administrador con nadie y evita enviarla por email.
  5. Mantén tu instalación actualizada a diario, tanto el CMS como todos sus plugins y temas.

No obstante hemos implementado unas medidas de protección a nivel de red para evitar minimizar los daños una vez se detecta el ataque, estas medidas son:

a) Límite de conexiones simultáneas por dirección IP. Cuando el servidor detecta que una misma dirección IP en un intervalo de tiempo muy corto está estableciendo muchas conexiones, bloquea el acceso desde esta dirección. 
b) Restricción de las políticas de seguridad de suhosin. Hemos aumentado el nivel de seguridad de suhosin para restringir aún mas el uso de recursos por parte de un script PHP.

Este tipo de ataques han sido confirmados en blogs especializados donde ya se habla de un ataque a nivel mundial usando estos ataques de fuerza bruta. Por lo que cualquier medida, es siempre bien recibida para mantener una seguridad en sus blogs.

Cualquier duda o consulta, nos la pueden remitir por las vias tradicionales, como generando un ticket en su area de clientes.

Un Saludo

Roberto Tormo
Gerencia MundiServer



Sábado, Abril 13, 2013





« Atrás