Según el experto en seguridad Daniel Cid de Sucuri, al menos 15.769 sitios web de WordPress se han comprometido este año. Sucuri ha publicado un informe, titulado Informe de 2016 de sitio webs hackeados. Las vulnerabilidades de seguridad de los plugins son el motivo de hackeo más habitual en este popular gestor CMS. Se calcula que más del 25% de internet usa WordPress.



Los expertos analizaron 21.821 sitios, de los cuales 3.099 estaban funcionando bajo Joomla! CMS, con WordPress 15.769 sitios, y el restante Magento, Drupal, vBulletin, y Modx.



Los investigadores se centraron su investigación en el software desactualizado en los sitios web comprometidos para descubrir que las instalaciones de WordPress estaban desactualizadas el 55% del tiempo, mientras que en Joomla! (86%), Drupal (84%), y Magento (96%).

La gran mayoría de la página web (aproximadamente el 75 por ciento) fueron backdoored por los delincuentes que luego serían utilizados para entregar el malware a los visitantes de destino, las redes de bots de control, y de esta manera ejecutar nuevos ataques.

Sucuri también puso de relieve que la mayoría de los sitios web fueron hackeados debido a las extensiones vulnerables o mal configuradas.



A continuación principales conclusiones del Informe Sucuri:

Cómo saber si tu WordPress ha sido hackeado

No esperes ver un defacement en la portada de tu sitio web, eso no les interesa a los atacantes, prefieren que tu no puedas ver que has sido hackeado mientras ellos distribuyen usando tu blog todo tipo de malware.

Los principales indicadores que sitio web ha sido comprometido son:

Indicadores comunes de un sitio web hackeado WordPress

• Advertencias lista negra de Google, Bing, McAfee
• Comportamientos extraños o anormales navegador
• Correo no deseado en el contenido del motor de búsqueda
• La notificación de suspensión sitio web por parte de tu hosting
• Las modificaciones del archivo o temas centrales de integridad
• Advertencias en los resultados de búsqueda de Google (SEO envenenamiento)
• Renombrar fichero wp-login.php para evitar ataques por fuerza bruta (logear intentos e instalar captcha)

Proteger - Securizar - Hardening - WordPress

• Mantener actualizada la versión Core (Núcleo) de WordPress
• Mantener actualizados los Plugins
• Manenter actualizados los Themes (temas de diseño)
• Usar themes y plugins con buena reputación
• Evitar usar contraseñas y/o usuarios por defecto (admin) y/o contraseñas débiles 

 Sentencia SQL para cambiar el usuario Admin por nuestro usuario

UPDATE wp_users SET user_login = 'elhacker' WHERE user_login = 'admin';, 

 Escructura interna de WordPress

/ 

The root WordPress directory: all files should be writable only by your user account, except .htaccess if you want WordPress to automatically generate rewrite rules for you.

/wp-admin/ 

The WordPress administration area: all files should be writable only by your user account.

/wp-includes/ 

The bulk of WordPress application logic: all files should be writable only by your user account.

/wp-content/ 

User-supplied content: intended to be writable by your user account and the web server process.

Within /wp-content/ you will find:

/wp-content/themes/ 

Theme files. If you want to use the built-in theme editor, all files need to be writable by the web server process. If you do not want to use the built-in theme editor, all files can be writable only by your user account.

/wp-content/plugins/ 

Plugin files: all files should be writable only by your user account.

En el fichero de configuración: wp-config.php

// automatic wordpress updates
//https://codex.wordpress.org/Configuring_Automatic_Background_Updates
define( 'WP_AUTO_UPDATE_CORE', true );

# Disables all core updates:

define( 'WP_AUTO_UPDATE_CORE', false );

# Enables all core updates, including minor and major:

define( 'WP_AUTO_UPDATE_CORE', true );

# Enables core updates for minor releases (default):

define( 'WP_AUTO_UPDATE_CORE', 'minor' );

Para los Themes y plugins añadir:

add_filter( 'auto_update_plugin', '__return_true' );
add_filter( 'auto_update_theme', '__return_true' );

Recuerda también cambiar las "secret keys" (security keys) en el fichero de configuración:

define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');

 Usar SSL/TLS, es decir, https si tu hosting lo soporta o lo implementa:

define('FORCE_SSL_LOGIN', true);
define('FORCE_SSL_ADMIN', true);

Otra opción no recomendada sería evitar todo tipo de cambios des de el escritorio:

define( ‘DISALLOW_FILE_EDIT’, true );

También sería útil cambiar el prefijo (prefix) por defecto de las tablas de wp:

$table_prefix = 'wp_';

Plugins de Seguridad en WordPress

Usar algún plugin de seguridad como el de Sucuri , iThemes o Acunetix:

• https://wordpress.org/plugins/sucuri-scanner/
• https://wordpress.org/plugins/better-wp-security/ 
• https://wordpress.org/plugins/wp-security-scan/

El plugin de Sucuri se encarga de:

• Security Activity Auditing
• File Integrity Monitoring
• Remote Malware Scanning
• Blacklist Monitoring
• Effective Security Hardening
• Post-Hack Security Actions
• Security Notifications
• Website Firewall (add on)

Ocultar la versión de WordPress:

Por defectoWordPress tener una meta etiqueta con la versión:

meta name="generator" content="WordPress " /

 Una opción sería:

remove_action('wp_head', 'wp_generator');

Pero sigue apareciendo en el feed de RSS.

Así que es mejor usar una función en el fichero functions.php para ocultar la versión en todas partes:

function wpversion_remove_version() {
return '';
}
add_filter('the_generator', 'wpversion_remove_version');

O puedes usar un cliente en línea de comandos como wp-cli

• http://wp-cli.org/

 Puedes programar para actualizar WordPress con una sencilla tarea programa si la necesidad de usar el navegador.

Ejemplo actualización del WordPress hwagm.elhacker.net

Core:

/usr/local/bin/php /home/hwagm.elhacker.net/wp-cli.phar --path=/home/hwagm.elhacker.net/public_html/hwagm-elhacker-net core update 

Plugins

/usr/local/bin/php /home/hwagm.elhacker.net/wp-cli.phar --path=/home/hwagm.elhacker.net/public_html/hwagm-elhacker-net plugin update --all

Themes

/usr/local/bin/php /home/hwagm.elhacker.net/wp-cli.phar --path=/home/hwagm.elhacker.net/public_html/hwagm-elhacker-net theme update --all

Permisos


Following is a list of desired permissions on sensitive items and fallback options:

• wp-config.php
  • Desired: 400
  • Fallback: 440, 600, 640
• uploads folder
  • Desired: 755
  • Fallback: 766, 777 (not recommended)
• .htaccess files
  • Desired: 400
  • Fallback: 440, 444, 600, 640

 Podemos también proteger WordPress usando ficheros .htaccess

Protegiendo el fichero wp-config.php para que no sea visible vía el navegador

<files wp-config.php>
order allow,deny
deny from all
</files>

O restringir el acceso vía ip (si tenemos una ip fija) del fichero wp-login.php

order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1

Deshabilitar XML-RPC

## block any attempted XML-RPC requests

order deny,allow
deny from all
allow from 123.123.123.123

Y si usamos ngninx en vez de Apache.

## block any attempted XML-RPC requests
location = /xmlrpc.php {
    deny all;
}

Vía:
http://www.redeszone.net/2016/09/23/wordpress-nuevo-cms-mas-hackeado/
http://securityaffairs.co/wordpress/51655/reports/compromised-websites-study.html