Expertos en seguridad de WordFence, una empresa que se centra en la seguridad de WordPress, han informado de una explosión de ataques de la vieja escuela que buscan los datos de configuración de WordPress.
En una instalación predeterminada de WordPress, ya sea que lo has instalado tú mismo o utilices un servicio alojado, el archivo de configuración wp-config.php debe estar fuera del alcance de los extraños.
WordPress describe el archivo:
Uno de los archivos más importantes en la instalación de WordPress es el archivo wp-config.php. Este archivo se encuentra en la raíz del directorio de archivos de WordPress y contiene los detalles de configuración base de su sitio web, como la información de conexión a la base de datos.
Dado que cualquier código PHP que se coloque en wp-config.php se ejecutará cada vez que tu sitio web maneje una solicitud, es un objetivo obvio para que los atacantes lo modifiquen, pero también es un regalo muy solicitado para los ciberdelincuentes si pueden acceder a él.
Las solicitudes normales de WordPress recibidas desde el exterior están limitadas a la parte de la instalación de WordPress donde residen los datos de tu sitio, por lo que en teoría es imposible construir una URL que llegue “a través y hacia arriba” desde el directorio que contiene tus datos públicos al directorio que contiene los archivos de configuración y los datos internos de tu web.
WordPress en sí hace todo lo posible para reconocer URL construidas maliciosamente que intentan engañar al sistema para que visite partes inesperadas del sistema de archivos, y los llamados exploits de recorrido de directorio son raros en estos días.
Pero si tienes instalado un plugin olvidado o un tema de WordPress no actualizado, el código puede contener un error que permita a un atacante leer archivos prohibidos, por ejemplo, engañando a un plugin para que incluya contenido confidencial en una respuesta que construya.
Los investigadores de WordFence dicen que durante el último mes han visto que cerca de un millón de webs diferentes de WordPress reciben solicitudes maliciosas diseñadas para liberar sus archivos wp-config.php.
Suponemos que estos ataques fueron orquestados usando una botnet, también conocida como malware zombie, porque aparecieron más de 20.000 IP diferentes en la lista de ordenadores involucrados en el ataque.
Los bots o zombies son ordenadores infectados con malware que regularmente, y generalmente de manera muy silenciosa, llama a casa a uno o más servidores de comando y control (C&C) gestionados por los delincuentes.
Al llamar a casa en conexiones salientes para obtener sus instrucciones maliciosas, y al usar tráfico de aspecto inocente, como solicitudes web, los bots funcionan bien incluso en redes domésticas y en empresas de alojamiento donde el proveedor bloquea todas o la mayoría de las conexiones entrantes por razones legales o de seguridad.
Por supuesto, con 20.000 IP diferentes en la lista, muchas de los cuales probablemente son ordenadores domésticos con IP que cambian cada pocos días o después de un reinicio, es difícil usar una lista de bloqueo para evitar problemas porque la lista es un objetivo muy móvil.
De hecho, a los ciberdelincuentes les encantan los robots no solo porque son difíciles de bloquear rápidamente, sino también porque significa que alguien más está pagando por el tráfico y que los intentos de rastrear el ataque hasta su origen terminan en un lugar equivocado: 20.000 lugares diferentes, en este caso.
¿Cuál es el riesgo?
Como hemos mencionado, los delincuentes que pueden sobrescribir su archivo wp-config.php pueden hacer lo que quieran con su servidor porque ese código se ejecuta en el servidor para cada solicitud.
Eso significa que un ciberdelincuente que puede modificar el archivo de configuración no tiene que esperar a que reinicie WordPress o reinicie su servidor; solo debe visitar la página de inicio de su sitio.
Pero incluso con acceso de lectura at archivo de configuración, un delincuente puede usar la información de seguridad para obtener acceso no autorizado a sus bases de datos de WordPress.
Eso significa que un atacante podría volver más tarde para robar datos confidenciales, agregar nuevos usuarios y alterar o eliminar contenido.
¿Qué hacer?
WordPress puede actualizarse solo, pero incluso si utilizas la actualización automática, no olvides comprobar que funciona correctamente.
(Irónicamente, quizás, la forma más fácil de configurar la actualización automática es a través del archivo wp-config.php).
WordPress también puede actualizar muchos plugins y temas pero no todos.
Muchos plugins y temas aún necesitan atención manual para las actualizaciones, o son lo suficientemente obsoletos como para no haber tenido actualizaciones a pesar de que contienen errores que los delincuentes ya conocen.
Recuerda que menos es más: si todavía usas plugins o temas que ya no están en desarrollo activo, trata de vivir sin ellos o encuentra otros que aún estén activos y ofrezcan actualizaciones de seguridad.