ILLO, ILLO, ILLO OTRO
WORDPRESS DESACTUALIZADO
POR JORGE WEBSEC
WORDPRESSA.QUANTIKA14.COM
WORDPRESSA.QUANTIKA14.COM 2
TÍTULO
INDICE
[¡] Autor
[¡] ¿Qué es el proyecto WordPressA?
[¡] ¿Qué es ILLOWP?
- Alexa top 1 ...
WORDPRESSA.QUANTIKA14.COM 3
TÍTULO
¿Quizás me recuerden de...?
WORDPRESSA.QUANTIKA14.COM 4
TÍTULO¿Quien es JORGE WEBSEC?
- Socio fundador de QuantiKa14
- Perito informático socio en APT...
WORDPRESSA.QUANTIKA14.COM 5
TÍTULO
WORDPRESSA.QUANTIKA14.COM 6
TÍTULO
¿Qué tiene el proyecto
WordPressA?
- Nació en 2013 con el objetivo de
ordenar proyectos...
WORDPRESSA.QUANTIKA14.COM 7
TÍTULO
WORDPRESSA.QUANTIKA14.COM 8
TÍTULO
Es un proyecto que está dentro de
WordPressA y tiene 2 objetivos:
1. Concienciar en la ...
WORDPRESSA.QUANTIKA14.COM 9
TÍTULO
Usaremos:
- Python: para hacer los bots.
- MongoDB: para almacenar los datos.
- WordPre...
WORDPRESSA.QUANTIKA14.COM 10
TÍTULO¿Qué es Alexa top web?
WORDPRESSA.QUANTIKA14.COM 11
TÍTULOCreamos top 1 millón
- Python
- Modulos:
+ BeautifulSoup
+ UrlLib2
https://github.com/Q...
WORDPRESSA.QUANTIKA14.COM 12
TÍTULO
- Cada bot tarda una medía de 2 segundos en
analizar una web.
- 1.000.000 webs = 2.000...
WORDPRESSA.QUANTIKA14.COM 13
TÍTULOSolución
- Dividimos la lista en partes iguales.
- Creamos ejercito de bots.
WORDPRESSA.QUANTIKA14.COM 14
TÍTULOSolución
- Contratación de 2 vps en OVH = 10 €
- 10 bots funcionando paralelamente
con ...
WORDPRESSA.QUANTIKA14.COM 15
TÍTULOCómo detectar un WP?
Versión 1:
●
Buscamos “/wp-content/” en el
html
●
Buscamos link “x...
WORDPRESSA.QUANTIKA14.COM 16
TÍTULOQué hacer para no ser
detectados?
1. Quitar Generator: Editamos el archivo functions.ph...
WORDPRESSA.QUANTIKA14.COM 17
TÍTULOEscáner de
vulnerabilidades
WORDPRESSA.QUANTIKA14.COM 18
TÍTULO¿Cuántos WP hay?
Fuente: http://one.elpais.com/gracias-a-el-se-
publica-la-cuarta-parte...
WORDPRESSA.QUANTIKA14.COM 19
TÍTULO¿Cuántos WP hay?
Fuente: http://guiadeinternet.com/2014/04/el-
22-de-las-webs-de-todo-e...
WORDPRESSA.QUANTIKA14.COM 20
TÍTULO¿Cuántos WP hay?
Fuente:https://www.40defiebre.com/estadisticas
-wordpress/
WORDPRESSA.QUANTIKA14.COM 21
TÍTULO¿Cuantos WP hay?
En Alexa Top 1 millón de 2016:
4,2%
WORDPRESSA.QUANTIKA14.COM 22
TÍTULO
¿Entonces qué pasa?
WORDPRESSA.QUANTIKA14.COM 23
TÍTULOY si...¿?
Fuente: https://es.wikipedia.org/wiki/WordPress
WORDPRESSA.QUANTIKA14.COM 24
TÍTULOPuede ser que...
1. Al ser el ranking 1 millon mundial el indice de
WP baja al no usar ...
WORDPRESSA.QUANTIKA14.COM 25
TÍTULO
¿Cuántos están
actualizados?
Versión actualizada el 26/09/2016 → 4.6.1
Actualizado
No ...
WORDPRESSA.QUANTIKA14.COM 26
TÍTULO
¿Qué es el readme.html?
WORDPRESSA.QUANTIKA14.COM 27
TÍTULO
¿Cuántos no tienen el
readme.html?
Solo el 17% no tiene
readme.html
El 83% tiene el re...
WORDPRESSA.QUANTIKA14.COM 28
TÍTULO
Alexa WP Themes
1. divi - by Elegant Themes:
https://www.cvedetails.com/cve/CVE-2015-1...
WORDPRESSA.QUANTIKA14.COM 29
TÍTULO
WORDPRESSA.QUANTIKA14.COM 30
TÍTULO
CONCLUSIONES
1. Los usuarios de WordPress no son conscientes y
responsables de la segu...
WORDPRESSA.QUANTIKA14.COM 31
TÍTULO¿ALGUNA PREGUNTA?
WORDPRESSA.QUANTIKA14.COM 32
TÍTULO
MUCHAS GRACIAS
Próxima SlideShare
Cargando en…5
×

Ataque masivo a WordPress con ILLOWP

419 visualizaciones

Publicado el

Ataque masivo a WordPress es la presentación "illo, illo, illo otro WordPress desactualizado" utilizada en la WordCamp de Sevilla 2016.

Publicado en: Internet
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
419
En SlideShare
0
De insertados
0
Número de insertados
91
Acciones
Compartido
0
Descargas
4
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Ataque masivo a WordPress con ILLOWP

  1. 1. ILLO, ILLO, ILLO OTRO WORDPRESS DESACTUALIZADO POR JORGE WEBSEC WORDPRESSA.QUANTIKA14.COM
  2. 2. WORDPRESSA.QUANTIKA14.COM 2 TÍTULO INDICE [¡] Autor [¡] ¿Qué es el proyecto WordPressA? [¡] ¿Qué es ILLOWP? - Alexa top 1 millon - Detectar un WordPress - Vulnerabilidades - Soluciones [¡] Datos y más datos... [¡] El público aplaude y grita sobre la belleza del ponente ;P
  3. 3. WORDPRESSA.QUANTIKA14.COM 3 TÍTULO ¿Quizás me recuerden de...?
  4. 4. WORDPRESSA.QUANTIKA14.COM 4 TÍTULO¿Quien es JORGE WEBSEC? - Socio fundador de QuantiKa14 - Perito informático socio en APTAN - Creador del Proyecto WordPressA - Colaborador en Canal Sur Radio @JorgeWebsec
  5. 5. WORDPRESSA.QUANTIKA14.COM 5 TÍTULO
  6. 6. WORDPRESSA.QUANTIKA14.COM 6 TÍTULO ¿Qué tiene el proyecto WordPressA? - Nació en 2013 con el objetivo de ordenar proyectos de WordPress en la empresa de QuantiKa14. - Documentación gratuita. - WordPressA Security Plugin. - WordPressA Challenge. - AbueloWP. wordpressa.quantika14.com
  7. 7. WORDPRESSA.QUANTIKA14.COM 7 TÍTULO
  8. 8. WORDPRESSA.QUANTIKA14.COM 8 TÍTULO Es un proyecto que está dentro de WordPressA y tiene 2 objetivos: 1. Concienciar en la seguridad de WordPress a través del análisis de un big data. 2. Crear una lanzadera de exploits de vulnerabilidades automatizada. ¿Qué es ILLOWP?
  9. 9. WORDPRESSA.QUANTIKA14.COM 9 TÍTULO Usaremos: - Python: para hacer los bots. - MongoDB: para almacenar los datos. - WordPress: para exponer los datos. ¿Qué vamos a usar?
  10. 10. WORDPRESSA.QUANTIKA14.COM 10 TÍTULO¿Qué es Alexa top web?
  11. 11. WORDPRESSA.QUANTIKA14.COM 11 TÍTULOCreamos top 1 millón - Python - Modulos: + BeautifulSoup + UrlLib2 https://github.com/Quantika14/illoWP/ - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2 - Python - Modulos: + BeautifulSoup + UrlLib2
  12. 12. WORDPRESSA.QUANTIKA14.COM 12 TÍTULO - Cada bot tarda una medía de 2 segundos en analizar una web. - 1.000.000 webs = 2.000.000 seg - 33333,34 minutos = 555,56 horas - 555,56 horas = 23,15 días No morir sentados...
  13. 13. WORDPRESSA.QUANTIKA14.COM 13 TÍTULOSolución - Dividimos la lista en partes iguales. - Creamos ejercito de bots.
  14. 14. WORDPRESSA.QUANTIKA14.COM 14 TÍTULOSolución - Contratación de 2 vps en OVH = 10 € - 10 bots funcionando paralelamente con 3 ips diferentes.
  15. 15. WORDPRESSA.QUANTIKA14.COM 15 TÍTULOCómo detectar un WP? Versión 1: ● Buscamos “/wp-content/” en el html ● Buscamos link “xmlrpc.php” ● Buscamos el Generator (obvius;) Versión 2: ● Buscamos “/wp-content/” y comprobamos que tenga el mismo dominio que el target ● Hacemos una comprobación de directorios (aumenta mucho el tiempo) ● Extracción de la versión de los css ● Estructura HTML – falsos positivos ● Readme.html
  16. 16. WORDPRESSA.QUANTIKA14.COM 16 TÍTULOQué hacer para no ser detectados? 1. Quitar Generator: Editamos el archivo functions.php de nuestro tema y añadimos la siguiente línea: remove_action('wp_head', 'wp_generator'); 2. Quitar readme.html 3. Cambiar ruta “wp-content”: ponemos en wp-config -> define( 'WP_CONTENT_DIR', 'NUEVA RUTA A WP-CONTENT' ); 4. Cambiar “/wp-content/uploads”: define('UPLOADS', 'wp-content/archivos'); 5. Cambiar acceso de administración: https://es.wordpress.org/plugins/search.php?type=term&q=hide+wp-admin
  17. 17. WORDPRESSA.QUANTIKA14.COM 17 TÍTULOEscáner de vulnerabilidades
  18. 18. WORDPRESSA.QUANTIKA14.COM 18 TÍTULO¿Cuántos WP hay? Fuente: http://one.elpais.com/gracias-a-el-se- publica-la-cuarta-parte-de-las-webs-del-mundo- matt-mullenweg-fundador-de-wordpress/
  19. 19. WORDPRESSA.QUANTIKA14.COM 19 TÍTULO¿Cuántos WP hay? Fuente: http://guiadeinternet.com/2014/04/el- 22-de-las-webs-de-todo-el-mundo-utilizan- wordpress/
  20. 20. WORDPRESSA.QUANTIKA14.COM 20 TÍTULO¿Cuántos WP hay? Fuente:https://www.40defiebre.com/estadisticas -wordpress/
  21. 21. WORDPRESSA.QUANTIKA14.COM 21 TÍTULO¿Cuantos WP hay? En Alexa Top 1 millón de 2016: 4,2%
  22. 22. WORDPRESSA.QUANTIKA14.COM 22 TÍTULO ¿Entonces qué pasa?
  23. 23. WORDPRESSA.QUANTIKA14.COM 23 TÍTULOY si...¿? Fuente: https://es.wikipedia.org/wiki/WordPress
  24. 24. WORDPRESSA.QUANTIKA14.COM 24 TÍTULOPuede ser que... 1. Al ser el ranking 1 millon mundial el indice de WP baja al no usar cms 2. Seguramente los datos de WP usaran los subdominios de wordpress.com como una web
  25. 25. WORDPRESSA.QUANTIKA14.COM 25 TÍTULO ¿Cuántos están actualizados? Versión actualizada el 26/09/2016 → 4.6.1 Actualizado No actualizado 63% No actualizado / 37% Actualizado
  26. 26. WORDPRESSA.QUANTIKA14.COM 26 TÍTULO ¿Qué es el readme.html?
  27. 27. WORDPRESSA.QUANTIKA14.COM 27 TÍTULO ¿Cuántos no tienen el readme.html? Solo el 17% no tiene readme.html El 83% tiene el readme.html CON SIN
  28. 28. WORDPRESSA.QUANTIKA14.COM 28 TÍTULO Alexa WP Themes 1. divi - by Elegant Themes: https://www.cvedetails.com/cve/CVE-2015-1579/ 2. Fashionistas 3. Avada | Responsive Multi-Purpose Theme 4. BeTheme - Responsive Multi-Purpose WordPress Theme 5. Newspaper
  29. 29. WORDPRESSA.QUANTIKA14.COM 29 TÍTULO
  30. 30. WORDPRESSA.QUANTIKA14.COM 30 TÍTULO CONCLUSIONES 1. Los usuarios de WordPress no son conscientes y responsables de la seguridad de sus web 2. WordPress debe trabajar más en la actualización automática en plugins y themes 3. WordPress debe borrar el readme.html y generator por defecto 4. Viendo la facilidad de los ataques masivos entiendo la gran cantidad de intrusiones que se llevan acabo al día.
  31. 31. WORDPRESSA.QUANTIKA14.COM 31 TÍTULO¿ALGUNA PREGUNTA?
  32. 32. WORDPRESSA.QUANTIKA14.COM 32 TÍTULO MUCHAS GRACIAS

×