Blog personal de Anibal Copitan. Herramientas y contenido de desarrollo, Linux, terminal, programación. Mejora tus habilidades tecnológicas.
¿Listo para aprender más? Contáctame por WhatsApp
domingo, 23 de julio de 2017
Un plugin podria hackear wordpress
Primero que nada la intensión de este post, no es aprender a hackear sitios web wordpress. Esto es una guia para los usuarios Administradores y Desarrolladores de wordpress.
Porque administradores: los administradores muchas veces son también a la vez desarrolladores ya que son ellos mismos lo que administran su website.
Para todos los que conocen a nivel básico wordpress sabemos que existen 2 componentes famosos que son:
Porque administradores: los administradores muchas veces son también a la vez desarrolladores ya que son ellos mismos lo que administran su website.
Para todos los que conocen a nivel básico wordpress sabemos que existen 2 componentes famosos que son:
- Plantillas: proporcionan el diseño o la cara del sitio web
- Plugins: este componente agrega nuevas funciones a tu sitio web
Es momento de enfocaremos en los plugins. Los plugin como mensioné agregan funcionalidades extras a tu web de manera rapida.
Para todos los administradores y Desarrolladores de plugins podria ser una bendición (las cosas se hacen fácil y rapido) o una maldición (abrir vulnerabilidades, crear y usar ataques a tus clientes y hasta el secuestro de tu web). Veamos la siguiente imagén:
Para todos los administradores y Desarrolladores de plugins podria ser una bendición (las cosas se hacen fácil y rapido) o una maldición (abrir vulnerabilidades, crear y usar ataques a tus clientes y hasta el secuestro de tu web). Veamos la siguiente imagén:
Revisemos la imagén: en la primera linea podemos ver la fecha y hora cuando se ejecuto este proceso [crear acceso al administrador web].
Ahí se muestra la lista de usuarios administradores el dato de mayor relevancia son los correos del sitio web http://local.wp.com por si queremos contactar. En la imagen también ya casi al final vemos los accesos de la web: http://local.wp.com con el usuario y clave: hack
Ahí se muestra la lista de usuarios administradores el dato de mayor relevancia son los correos del sitio web http://local.wp.com por si queremos contactar. En la imagen también ya casi al final vemos los accesos de la web: http://local.wp.com con el usuario y clave: hack
Accedamos con el
usuario y clave generado en http://local.wp.com/w-admin
|
Que es lo que Ocurrió?
El administrador instaló y
activo el plugin llamado discover-one
y gracias a realizar estas acciones me dio acceso como súper usuario
a su website.
Talvéz tú quieras probar el
plugin y verificar si realmente funciona: solo necesitas modificar el
valor de la variable iuser_mail
con el nombre de tu correo (Siendo así te llegara el correo cuando
activen el plugin).
Archivo: discover-one.php
El plugin tiene el poder de hacerlo todo |
Este plugin solo tiene 80 lineas de
codigo hasta el momento.
Y este código podría ser
distribuido: adjuntandolo, escondiendolo o empaquetandolo en
cualquier plugin de nombre reconocido o fiable para pasar
desapersibido e instalarlo sin revisar (como akismet
u otros) siendo asi debemos ser
cuidadosos cuando instalemos nuevos plugins esto podria hacer mucho
daño.
Cómo protegernos de los plugin maliciosos?
Las recomendaciones:
- No descargar plugins de sitios
dudosos y mucho menos via torrent.
- Si descargaste el plugin de una
fuente externa tienes la responsabilidad de revisar todo el codigo
fuente para no ser sorprendido mas adelante.
Nota: los correos que muestran las
imagenes son solo de prueba no son de uso personal.
Si quieres que explique el codigo fuente puedes mensionarlo (aunque son pocas lineas :) ) en tu comentario y lo haré en un siguiente articulo.
Suscribirse a:
Enviar comentarios (Atom)
Soy experto en Linux 🐧, desarrollo web 💻, aplicaciones móviles 📱, redes 🌐 y ciberseguridad 🔐
¿Listo para dar el siguiente paso con tu proyecto? ¡Contacta conmigo por WhatsApp ahora y empecemos a trabajar juntos! 🚀
¡Quiero contratar tu asesoría personalizada! ¡Necesito ayuda urgente para mi proyecto! ¡Quiero empezar mi proyecto contigo!
No hay comentarios:
Publicar un comentario