WordPress sufre el mayor ataque masivo de su historia

WordPress
Imagen: John Fischer (vía Flickr).
Desde hace una semana se está coordinando el ataque a todos los usuarios de la plataforma de blogs a través de más de 100.000 direcciones IP, lo que hace que sea más difícil de contrarrestar el ataque.

WordPress
Actualmente WordPress alimenta 64 millones de sitios web que son leídos por 371 millones de personas cada mes. Imagen: John Fischer (vía Flickr).

Desde la semana pasada la plataforma de blogs está siendo víctima de un ataque masivo del que aún no se tiene una solución concreta. Según reportó la BBC, las compañías HostGator y CloudFlare alertaron que se están atacando simultáneamente a todos los usuarios de WordPress. 

Los responsables del ataque están utilizando el nombre de usuario ‘admin’, que es utilizado con frecuencia por los administradores de blogs, y están probando miles de contraseñas posibles para tratar de acceder a sus cuentas. The Next Web aseguró que durante este tiempo, los delincuentes informáticos están coordinando el ataque a través de más de 100.000 direcciones IP, lo que hace que sea más difícil contrarrestar el ataque. 

“Uno de los objetivos que puede tener un ataque como este es que el atacante esté utilizando un botnet relativamente débil para poder construir uno más grande con servidores más potentes para un ataque futuro”, afirmó Mateo Prince, presidente de CloudFlare.

Ante este hecho, Matt Mullenweg, fundador de WordPress, pidió a los administradores de los blogs de WordPress dejar de usar el nombre de usuario ‘admin’ y contraseñas que sean bastante comunes. Además, Mullenweg también sugirió que los usuarios de su plataforma se cambien al sistema de doble autenticación y que instalen la última versión de WordPress.

Éricka Duarte Roa

Éricka Duarte Roa

Antes que nada, debo confesar que la tecnología me era indiferente, pero desde que me topé con ella me enamoré y ha llegado a ser parte de mí. ENTER.CO ha sido mi trabajo y mi casa desde hace un año y gracias a este medio he podido desempeñar el oficio y la profesión que amo: el periodismo.
Me apasiona el tema del funcionamiento y la influencia que tienen las redes sociales en el ser humano, me encanta el todo lo relacionado a la ciberseguridad y considero que los ataques informáticos pueden llegar a tener casi el mismo poder de una bomba atómica. Soy fan de Apple, compradora compulsiva de tecnología y adicta a Twitter.

View all posts

40 comments

  • Hasta donde sé HostGator no es una compañia de seguridad, o por lo menos no es su principal fuerte. Y pues se nota que aunque WordPress no ha podido darle solucion definitiva, si tiene buenas medidas de seguridad.

      • A cualquier CMS le puede pasar, es que no es un fallo en la aplicación sino un ataque de fuerza bruta.
        Es que dejar el nombre de usuario admin es una irresponsabilidad enorme.

      • si el ataque esta siendo casualmente enviado a wordpress, pero ningun cms de codigo libre (drupal,wp, o joomla) tiene el sistemita que evita que una persona se intente iniciar sesion varias veces hasta adivinar la contraseña.
        por lo que este tipo de ataques son sencillos de crear y “faciles” de evitar.
        El posiblemente busca tener una colección gigante de contraseñas de cms’s, o puede tener listo un ataque despues para iniciarse sesion en todos ellos y postear publicidad de alvaro uribe

  • Hasta donde sé HostGator no es una compañia de seguridad, o por lo menos no es su principal fuerte. Y pues se nota que aunque WordPress no ha podido darle solucion definitiva, si tiene buenas medidas de seguridad.

      • A cualquier CMS le puede pasar, es que no es un fallo en la aplicación sino un ataque de fuerza bruta.
        Es que dejar el nombre de usuario admin es una irresponsabilidad enorme.

      • si el ataque esta siendo casualmente enviado a wordpress, pero ningun cms de codigo libre (drupal,wp, o joomla) tiene el sistemita que evita que una persona se intente iniciar sesion varias veces hasta adivinar la contraseña.
        por lo que este tipo de ataques son sencillos de crear y “faciles” de evitar.
        El posiblemente busca tener una colección gigante de contraseñas de cms’s, o puede tener listo un ataque despues para iniciarse sesion en todos ellos y postear publicidad de alvaro uribe

    • Es indiferente si atacan o no WP para quien lo tiene en servidor propio, esto afecta a todos los otros tipos de usuarios.

      • nop, pueden estar atacando a cualquier infraestructura, el tipo de ataque es basicamente automatizar la adivinada de la contraseña, solo que servidores más decentes que hostgator tienen firewalls mas seguros que depronto evitan eso. falta ver

    • Es indiferente si atacan o no WP para quien lo tiene en servidor propio, esto afecta a todos los otros tipos de usuarios.

      • nop, pueden estar atacando a cualquier infraestructura, el tipo de ataque es basicamente automatizar la adivinada de la contraseña, solo que servidores más decentes que hostgator tienen firewalls mas seguros que depronto evitan eso. falta ver

  • Yo utilizo WordPress en 2 paginas que juntas suman 70.000 visitantes diarios y no he notado algún problema, espero no tener ninguno.

    • puede q estes en un host diferente, si un man se adivina tu contraseña no te vas a dar cuenta si no hasta que empiece a publicar cualquier mkda en tu blog

  • Yo utilizo WordPress en 2 paginas que juntas suman 70.000 visitantes diarios y no he notado algún problema, espero no tener ninguno.

    • puede q estes en un host diferente, si un man se adivina tu contraseña no te vas a dar cuenta si no hasta que empiece a publicar cualquier mkda en tu blog

  • Muy bien, 6 días después del ataque 😉
    Hostgator no es una compañia de seguridad, es otra de las miles que existen que ofrecen hosting.
    Cloudflare tampoco lo es.

  • Muy bien, 6 días después del ataque 😉
    Hostgator no es una compañia de seguridad, es otra de las miles que existen que ofrecen hosting.
    Cloudflare tampoco lo es.

        • Si no estoy mal, Microsoft cambió de uno propio a WordPress para sus perfiles de Windows Live. Así que no siempre construir tu propio CMS es la mejor opción. De hecho, el tipo de ataque que sufre WordPress se puede hacer a cualquier tipo de CMS, incluyendo los desarrollos individuales, sin mencionar que muchos de ellos no guardan todas las configuraciones de seguridad que tiene estos CMS. Ademas, claro, de que los ataques que describe la nota pasan por sitios que tienen configuradas el nombre por omisión de la cuenta administrador. Grave error.

        • Si no estoy mal, Microsoft cambió de uno propio a WordPress para sus perfiles de Windows Live. Así que no siempre construir tu propio CMS es la mejor opción. De hecho, el tipo de ataque que sufre WordPress se puede hacer a cualquier tipo de CMS, incluyendo los desarrollos individuales, sin mencionar que muchos de ellos no guardan todas las configuraciones de seguridad que tiene estos CMS. Ademas, claro, de que los ataques que describe la nota pasan por sitios que tienen configuradas el nombre por omisión de la cuenta administrador. Grave error.

Archivos