ataque masivo a wordpress con illowp
TRANSCRIPT
![Page 1: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/1.jpg)
ILLO, ILLO, ILLO OTRO WORDPRESS DESACTUALIZADO
POR JORGE WEBSECWORDPRESSA.QUANTIKA14.COM
![Page 2: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/2.jpg)
WORDPRESSA.QUANTIKA14.COM 2
TÍTULOINDICE
[¡] Autor[¡] ¿Qué es el proyecto WordPressA?[¡] ¿Qué es ILLOWP?
- Alexa top 1 millon - Detectar un WordPress- Vulnerabilidades- Soluciones
[¡] Datos y más datos...[¡] El público aplaude y grita sobre la belleza del ponente ;P
![Page 3: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/3.jpg)
WORDPRESSA.QUANTIKA14.COM 3
TÍTULO
¿Quizás me recuerden de...?
![Page 4: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/4.jpg)
WORDPRESSA.QUANTIKA14.COM 4
TÍTULO¿Quien es JORGE WEBSEC?
- Socio fundador de QuantiKa14 - Perito informático socio en APTAN - Creador del Proyecto WordPressA - Colaborador en Canal Sur Radio
@JorgeWebsec
![Page 5: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/5.jpg)
WORDPRESSA.QUANTIKA14.COM 5
TÍTULO
![Page 6: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/6.jpg)
WORDPRESSA.QUANTIKA14.COM 6
TÍTULO¿Qué tiene el proyecto WordPressA?
- Nació en 2013 con el objetivo de ordenar proyectos de WordPress en la empresa de QuantiKa14.- Documentación gratuita.- WordPressA Security Plugin.- WordPressA Challenge.- AbueloWP.
wordpressa.quantika14.com
![Page 7: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/7.jpg)
WORDPRESSA.QUANTIKA14.COM 7
TÍTULO
![Page 8: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/8.jpg)
WORDPRESSA.QUANTIKA14.COM 8
TÍTULO
Es un proyecto que está dentro de WordPressA y tiene 2 objetivos:
1. Concienciar en la seguridad de WordPress a través del análisis de un big data.
2. Crear una lanzadera de exploits de vulnerabilidades automatizada.
¿Qué es ILLOWP?
![Page 9: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/9.jpg)
WORDPRESSA.QUANTIKA14.COM 9
TÍTULO
Usaremos:
- Python: para hacer los bots. - MongoDB: para almacenar los datos. - WordPress: para exponer los datos.
¿Qué vamos a usar?
![Page 10: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/10.jpg)
WORDPRESSA.QUANTIKA14.COM 10
TÍTULO¿Qué es Alexa top web?
![Page 11: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/11.jpg)
WORDPRESSA.QUANTIKA14.COM 11
TÍTULOCreamos top 1 millón
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
https://github.com/Quantika14/illoWP/
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
- Python- Modulos:
+ BeautifulSoup+ UrlLib2
![Page 12: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/12.jpg)
WORDPRESSA.QUANTIKA14.COM 12
TÍTULO
- Cada bot tarda una medía de 2 segundos en analizar una web.- 1.000.000 webs = 2.000.000 seg- 33333,34 minutos = 555,56 horas- 555,56 horas = 23,15 días
No morir sentados...
![Page 13: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/13.jpg)
WORDPRESSA.QUANTIKA14.COM 13
TÍTULOSolución
- Dividimos la lista en partes iguales.
- Creamos ejercito de bots.
![Page 14: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/14.jpg)
WORDPRESSA.QUANTIKA14.COM 14
TÍTULOSolución
- Contratación de 2 vps en OVH = 10 €
- 10 bots funcionando paralelamente con 3 ips diferentes.
![Page 15: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/15.jpg)
WORDPRESSA.QUANTIKA14.COM 15
TÍTULOCómo detectar un WP?
Versión 1: ● Buscamos “/wp-content/” en el
html● Buscamos link “xmlrpc.php”● Buscamos el Generator (obvius;)
Versión 2:● Buscamos “/wp-content/” y
comprobamos que tenga el mismo dominio que el target
● Hacemos una comprobación de directorios (aumenta mucho el tiempo)
● Extracción de la versión de los css● Estructura HTML – falsos positivos● Readme.html
![Page 16: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/16.jpg)
WORDPRESSA.QUANTIKA14.COM 16
TÍTULOQué hacer para no ser detectados?
1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y añadimos la siguiente línea: remove_action('wp_head', 'wp_generator');
2. Quitar readme.html
3. Cambiar ruta “wp-content”: ponemos en wp-config -> define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' );
4. Cambiar “/wp-content/uploads”: define('UPLOADS', 'wp-content/archivos');
5. Cambiar acceso de administración:https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin
![Page 17: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/17.jpg)
WORDPRESSA.QUANTIKA14.COM 17
TÍTULOEscáner de vulnerabilidades
![Page 18: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/18.jpg)
WORDPRESSA.QUANTIKA14.COM 18
TÍTULO¿Cuántos WP hay?
Fuente: http://one.elpais.com/gracias-a-el-se-publica-la-cuarta-parte-de-las-webs-del-mundo-matt-mullenweg-fundador-de-wordpress/
![Page 19: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/19.jpg)
WORDPRESSA.QUANTIKA14.COM 19
TÍTULO¿Cuántos WP hay?
Fuente: http://guiadeinternet.com/2014/04/el-22-de-las-webs-de-todo-el-mundo-utilizan-wordpress/
![Page 20: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/20.jpg)
WORDPRESSA.QUANTIKA14.COM 20
TÍTULO¿Cuántos WP hay?
Fuente:https://www.40defiebre.com/estadisticas-wordpress/
![Page 21: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/21.jpg)
WORDPRESSA.QUANTIKA14.COM 21
TÍTULO¿Cuantos WP hay?
En Alexa Top 1 millón de 2016:
4,2%
![Page 22: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/22.jpg)
WORDPRESSA.QUANTIKA14.COM 22
TÍTULO¿Entonces qué pasa?
![Page 23: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/23.jpg)
WORDPRESSA.QUANTIKA14.COM 23
TÍTULOY si...¿?
Fuente: https://es.wikipedia.org/wiki/WordPress
![Page 24: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/24.jpg)
WORDPRESSA.QUANTIKA14.COM 24
TÍTULOPuede ser que...
1. Al ser el ranking 1 millon mundial el indice de WP baja al no usar cms
2. Seguramente los datos de WP usaran los subdominios de wordpress.com como una web
![Page 25: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/25.jpg)
WORDPRESSA.QUANTIKA14.COM 25
TÍTULO¿Cuántos están actualizados?
Versión actualizada el 26/09/2016 → 4.6.1
Actualizado
No actualizado
63% No actualizado / 37% Actualizado
![Page 26: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/26.jpg)
WORDPRESSA.QUANTIKA14.COM 26
TÍTULO¿Qué es el readme.html?
![Page 27: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/27.jpg)
WORDPRESSA.QUANTIKA14.COM 27
TÍTULO¿Cuántos no tienen el readme.html?
Solo el 17% no tiene readme.html
El 83% tiene el readme.html
CON SIN
![Page 28: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/28.jpg)
WORDPRESSA.QUANTIKA14.COM 28
TÍTULOAlexa WP Themes
1. divi - by Elegant Themes: https://www.cvedetails.com/cve/CVE-2015-1579/
2. Fashionistas
3. Avada | Responsive Multi-Purpose Theme
4. BeTheme - Responsive Multi-Purpose WordPress Theme
5. Newspaper
![Page 29: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/29.jpg)
WORDPRESSA.QUANTIKA14.COM 29
TÍTULO
![Page 30: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/30.jpg)
WORDPRESSA.QUANTIKA14.COM 30
TÍTULOCONCLUSIONES
1. Los usuarios de WordPress no son conscientes y responsables de la seguridad de sus web
2. WordPress debe trabajar más en la actualización automática en plugins y themes
3. WordPress debe borrar el readme.html y generator por defecto
4. Viendo la facilidad de los ataques masivos entiendo la gran cantidad de intrusiones que se llevan acabo al día.
![Page 31: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/31.jpg)
WORDPRESSA.QUANTIKA14.COM 31
TÍTULO¿ALGUNA PREGUNTA?
![Page 32: Ataque masivo a WordPress con ILLOWP](https://reader033.vdocumento.com/reader033/viewer/2022051300/5871d3fb1a28ab423c8b6395/html5/thumbnails/32.jpg)
WORDPRESSA.QUANTIKA14.COM 32
TÍTULO
MUCHAS GRACIAS