Cuando un software se vuelve masivo, puede resultar peligroso. Te parecerá una afirmación extremista, pero en realidad está incompleta: cuando un software se vuelve masivo, y es vulnerable, puede resultar peligroso. Esto es lo que sucedió con el sistema de administración de contenidos WordPress, cuyas vulnerabilidades fueron recientemente explotadas para realizar un ataque masivo de denegación de servicio.
Vamos por partes.
Un Sistema de Administración de Contenidos (CMS, siglas de Content Management System) es un software que te permite administrar una página web de forma sencilla, sin tener que recurrir ni necesitar de un programador cada vez que queremos subir una nota en nuestro sitio. Existe una gran diversidad de CMSs, pero uno de los más utilizados últimamente, por su potencial, por su maleabilidad, velocidad y otras características que lo hacen muy popular, es el CMS de WordPress, el mismo que se utiliza en los blogs de WordPress.com, sólo que instalado en un servidor propio.
Si logramos infectar un WordPress, podemos infectar millones con la misma técnica
Existen millones de sitios con este CMS, que en el último año se ha tornado muy vulnerable y resulta muy peligroso no actualizarlo. Por lo que si tenés algún WordPress instalado, te recomiendo actualizarlo YA, al igual que sus plugins. Cada actualización corrige vulnerabilidades y lo torna más seguro. Existen incluso virus para este administrador de contenidos, producto de que además es de los más usados, por lo que si logramos infectar uno, podemos infectar millones con la misma técnica.
Un grupo de crackers logró coordinar un inmenso ataque de denegación de servicio (DDOS) creando una enorme red de sitios con este CMS y utilizándola como un poderosísimo botnet. Un ataque de DDOS, es utilizado para evitar que un conjunto de usuarios legítimos tenga acceso al servicio al que desea acceder.
Te pongo un ejemplo: en estos días muchos monotributistas están recategorizándose producto de los cambios de ese régimen, y esta recategorización se hace vía web. Si hacemos un ataque DDOS e impedimos que la gente se recategorice, vamos a generar un problema impositivo a muchas personas. Suponiendo que el calendario de recategorizaciones sea por ley (y no una decisión administrativa de la AFIP, no sé cuál de los dos sea el caso), obligaríamos a miles de personas a quedarse en una categoría superior a la que corresponde o al estado a modificar la ley de calendario, o a la AFIP a hacerlo.
El estado debería gastar recursos en comunicar la situación y los nuevos pasos a seguir, y una gran cantidad de temas despegados de un ataque DDOS, aunque hay temas mucho más cruciales que el monotributo, pero es un ejemplo simple para que veas cuán profundo puede ser no de estos ataques y cuán débil se torna el estado al descentralizar completamente sus agencias.
Un botnet, es un robot, no uno físico, sino un programa que tiene previsto un determinado comportamiento y lo hace con precisión matemática y automática. Quien controla un botnet, puede programarlo para que haga lo que le plazca a través del control remoto que los botnets permiten.
Recientemente los sitios CloudFlare y HostGator alertaron a la comunidad de WordPress de un posible ataque masivo lanzado contra los blogs de todo el globo que usen su CMS. El ataque se basa en un problema de seguridad que permitiría crear administradores y mostrar todas las contraseñas en los blogs con este CMS instalado.
El mes pasado se dio a conocer la existencia del bot Fort Disco, de un potencial impresionante: en 26 segundos tomó el control de más de 500 blogs.
La comunidad de WordPress ya se encuentra trabajando en una actualización del sistema para evitar futuros ataques, por lo pronto, te recomendamos actualizar a la versión reciente tanto tu WordPress como tus plugins. No es necesario actualizar en instalaciones de WordPress que estén hosteadas en WordPress.com ya que en este caso es una tarea automática (y no se tienen permisos suficientes).
Se calcula que alrededor del 70% de los blogs del mundo pueden estar infectados, por lo que si sos usuario de este CMS además deberías extremar precauciones como limpiar a fondo tu computadora (si sos usuario de Window$), cambiar todas tus contraseñas por las más robustas posibles, y con todas me refiero a TODAS: ftp, cpanel, correos electrónicos, datos de admin, usuarios de bases de datos, etc. Todas las contraseñas que uses, así como también utilizar una contraseña diferente para cada servicio.
¡Happy Hacking!
Oh, shit, yo tengo un blog por materia, en wordpress… nada complejo… pero… muy buena info. Gracias!