Una explicación detallada de cómo los atacantes usan Man-in-the-Middle (MitM) para hackear sitios web de WordPress y credenciales de inicio de sesión. Este artículo es solo para fines educativos.
Al igual que cualquier otra aplicación web con un formulario de inicio de sesión, WordPress envía su nombre de usuario y contraseña en una solicitud HTTP al iniciar sesión. De forma predeterminada, HTTP no es un protocolo cifrado. Eso significa que, a menos que su sitio web de WordPress esté utilizando HTTPS, la comunicación entre usted y el servidor web es susceptible de escuchas.
Los hackers con intención maliciosa pueden interceptar y modificar fácilmente el tráfico HTTP de texto claro (no cifrado) de su sitio web de WordPress. Naturalmente, una de las piezas de información más interesantes para un atacante serían sus credenciales de administrador de WordPress.
El software utilizado para realizar ataques Man-in-the-Middle (MitM) está libre y ampliamente disponible. Este artículo cubrirá algunos ejemplos del mundo real de cómo se puede usar MitM para tomar el control de su sitio web de WordPress. Luego recomienda la mejor manera de defenderse contra ellos.
- ¿Qué es un ataque Man-in-the-Middle (MitM)?
- ¿Cómo se pone un atacante en el medio?
- Hackear sitios web de WordPress-robar contraseñas & credenciales de inicio de sesión
- Robo de cookies de autenticación
- ¿Cómo se relacionan las cookies con la autenticación?
- Protegerse a sí mismo / a su sitio web de WordPress de ataques MitM
- Precauciones adicionales de endurecimiento de la seguridad de WordPress
¿Qué es un ataque Man-in-the-Middle (MitM)?
Un ataque de Hombre en el Medio (MitM) es un término general para los ataques en los que un hacker se posiciona como intermediario entre un emisor y un receptor. Por ejemplo, entre su navegador y el sitio web que está visitando. Esto permite al atacante escuchar a escondidas, y en muchos casos, también modificar el contenido a medida que se envía y recibe entre las dos partes. En la mayoría de los casos, si capturan las credenciales, pueden iniciar sesión y hackear su sitio web de WordPress.
¿Cómo se pone un atacante en el medio?
Los ataques Man-in-the-Middle (MitM) normalmente (no siempre) implican que un atacante esté en la misma Red de Área Local (LAN) que usted. Uno de los ataques MitM más comunes es la suplantación de ARP. Los detalles esenciales de la suplantación de ARP están más allá del alcance de este artículo. Sin embargo, el resultado de un ataque de suplantación de ARP exitoso provocaría que su conmutador de red o enrutador fuera engañado para que pensara que la máquina del atacante es su máquina y viceversa.
El resultado de esto es que en lugar de que cada parte se envíe datos entre sí directamente, primero se los envía al atacante. Para que las cosas parezcan normales, el atacante reenvía el tráfico al destino correcto. Sin embargo, esto le da al atacante la capacidad de inspeccionar e incluso modificar el contenido de la transmisión.
Hackear sitios web de WordPress-robar contraseñas & credenciales de inicio de sesión
Para comprender cómo se robarían las credenciales de WordPress, primero veamos una solicitud HTTP que contiene las credenciales enviadas utilizando las herramientas de desarrollo integradas del navegador.
Tenga en cuenta que este no es un ataque de Hombre en el Medio (MitM), pero esto ayuda a ilustrar qué buscar más adelante.
Ahora echemos un vistazo a lo que un atacante vería al inspeccionar el tráfico HTTP no cifrado. En este ejemplo estamos utilizando Wireshare, es una herramienta de análisis de red gratuita y popular.
Además de robar contraseñas / credenciales de WordPress, un atacante también puede simplemente robar su cookie de autenticación para hacerse pasar por usted.
HTTP es un protocolo sin estado. En HTTP, el servidor no asigna ningún significado especial a las solicitudes que llegan a través del mismo socket TCP. Esto significa que, a menos que desee escribir su contraseña cada vez que solicite una página, el navegador debe almacenar un token temporal. Este token se conoce como token de sesión. El navegador envía este token automáticamente con cada solicitud. Afortunadamente, los navegadores tienen un mecanismo incorporado para esto: cookies. Es por eso que eliminar las cookies de su navegador lo hará cerrar la sesión de todos los sitios web.
Lo que esto implica es que un atacante ni siquiera necesita tu contraseña para hacerse pasar por ti. Lo único que necesitan es obtener su token de sesión.
Una vez más, un atacante dentro de Wireshark puede acceder a la misma información.
Usando una extensión de navegador gratuita como el Editor de cookies, un atacante puede usar fácilmente el valor de la cookie robada en su navegador y comenzar a navegar por el administrador de WordPress como usted.
Protegerse a sí mismo / a su sitio web de WordPress de ataques MitM
Los ataques Man-in-the-Middle, como el que se muestra en este artículo, requieren muy poco esfuerzo para que un atacante lo logre. Especialmente en redes públicas o con poca seguridad, como un WiFi público. Afortunadamente, protegerse de estos ataques de piratería es muy sencillo: asegúrese de habilitar y hacer cumplir HTTPS en su sitio web de WordPress.
HTTPS cifra el tráfico entre su navegador y el servidor. Si un atacante tiene que intentar leer el contenido del tráfico HTTPS, todo lo que verá es un montón de texto cifrado sin sentido y confuso.
Precauciones adicionales de endurecimiento de la seguridad de WordPress
Si bien es indudable que debe habilitar HTTPS en su sitio web como su primera prioridad para frustrar los ataques Man-in-the-Middle (MitM), las siguientes son buenas prácticas de seguimiento recomendadas para observar el apuntalamiento.
- Agregue autenticación de dos factores (2FA) para aumentar la seguridad del mecanismo de autenticación de su sitio web de WordPress
- Aplique contraseñas seguras de WordPress para hacer que los ataques de adivinación de contraseñas sean significativamente más difíciles
- Mantenga un registro de actividad de WordPress para monitorear el acceso no autorizado al administrador de WordPress
- Instale un Monitor de integridad de archivos de WordPress para detectar cambios maliciosos de archivos en su instalación de WordPress
- Configure un firewall y una solución de seguridad de WordPress para frustrar los ataques comunes a aplicaciones web.