Una pequeña recopilación de ejemplos de hackeos vistas en casos en Sucuri en entornos WordPress. Se plantean también algunas medidas reactivas (qué hacer una vez has sido hackeado) y proactivas (las que se deben hacer antes de que ocurra).

1. Me han hackeado… ¿Y ahora qué?
Medidas y contramedidas Néstor Angulo De Ugarte

2. QUIÉN OS HABLA
š Ingeniero Informático
Tecnólogo humanista
Asesor en tecnología
š Fotógrafo y Early Adopter
Curioso por naturaleza
š 2015: SUCURI
š Incident Response & Easy SSL
š 2019: GoDaddy
š Head of IT @ GoDaddy España
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 2

3. Sobre
š Sucuri: Anaconda
(No Securi / Security)
š Website security
šTotalmente remota
šOperada por personas de más de 25 países
š 2008: Fundación
š 2017: Pasa a formar parte de la familia
šScanners gratuitos:
šSitecheck
šPerformance
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 3

4. ÍNDICE
1. Conceptos / Disclaimer
2. ¡¡Aaaargh!! ¡NOOOOOOOOO!
O galería de los horrores
3. ¿¿¿Y ahora qué???
O medidas Reactivas
4. ¡¡Más nunca!!
O medidas Proactivas
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 4

5. ÍNDICE
1. Conceptos / Disclaimer
2. ¡¡Aaaargh!! ¡NOOOOOOOOO!
O galería de los horrores
3. ¿¿¿Y ahora qué???
O medidas Reactivas
4. ¡¡Más nunca!!
O medidas Proactivas
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 5

6. Conceptos & Disclaimer

7. DISCLAIMER
Datos y código han sido ofuscados o
cambiados para proteger la privacidad.
Cualquier parecido con la realidad es pura
coincidencia.
Soy responsable de lo que digo,
no de lo que interpretes.
Consulta siempre a un experto.
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 7

8. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 8

9. HACKER VS
CIBERTERRORISTA
Hacker:
•Persona con curiosidad que explora
los límites impuestos por materiales,
leyes, algoritmos, etc. y va más allá
del objeto inicial por el que se
concibe un objeto, un entorno o un
algoritmo.
Ciberterrorista / Cracker:
•Hacker informático cuyo objetivo es
negativo o busca mejorar su
estatus, siempre a costa de los
demás
•El Hacker Malo.
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 9

10. HACKER MALO VS ANALISTA
HACKER MALO:
CRIMINAL
HACKER BUENO:
ANALISTA / CSI
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 10

11. WEB SECURITY
šCiberseguridad:
Rama de la seguridad
orientada al mundo digital
šSeguridad web:
Rama de la ciberseguridad
relacionada con todo lo que
ocurre en el Puerto 80 / 443
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 11

12. FACTS
Un ataque a tu sitio
casi nunca es
específico
(alrededor del 98%
de las ocasiones)
En la mayoría de los
casos se debe a un
mantenimiento y
monitoreo
deficiente
La seguridad nunca
es del 100%
Un certificado SSL
no es un escudo
anti-ataques
Los parches,
mejoras, nuevas
firmas, van (casi)
siempre detrás de
los hackers.
Errare Humanum Est
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 12

13. OBJETIVOS WORDPRESS
USUARIOS BASE DE DATOS,
INFORMACIÓN
INFRAESTRUCTURA BOT NET REPUTACIÓN
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 13

14. CÓMO ES UN HACKEO EN WORDPRESS
Exploit /
vulnerabilidad
Se Inyecta:
código final Backdoor
Spam /
defacement
BotNode Código final
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 14

15. ÍNDICE
1. Conceptos / Disclaimer
2. ¡¡Aaaargh!! ¡NOOOOOOOOO!
O galería de los horrores
3. ¿¿¿Y ahora qué???
O medidas Reactivas
4. ¡¡Más nunca!!
O medidas Proactivas
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 15

16. ¡¡Aaaargh!! ¡NOOOOOOOOO!
A.K.A. galería de los horrores

17. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 17

18. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 18

19. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 19

20. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 20

21. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 21

22. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 22

23. DEFACEMENT vs PHISHING
š Sustitución parcial o completa de
la vista de tu sitio web.
š Infección muy vistosa y obvia.
š Los escáneres gratuitos y los
usuarios lo detectan fácil.
š Objetivo: político/revindicativo
habitualmente.
š Suplantación de entorno de
seguridad o autenticación.
š Hackeo sutil, normalmente es
detectado por escáneres
gratuitos o por inclusión en
blacklists.
š Objetivo: Robar
credenciales/datos.
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 23

24. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 24

25. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 25

26. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 26

27. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 27

28. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 28

29. BLACK HAT SEO, REDIRECCIONES Y SPAM
š Se detecta especialmente por
problemas en los buscadores:
š Blacklisting o etiqueta “May be
hacked”
š Spam en la descripción o título en
las SERP
š Low ranking
š Redirecciones aleatorias a
páginas con contenido de
dudosa reputación
š Fácil detección con Escáneres
gratuitos:
š Sitecheck (sitecheck.sucuri.net)
š Objetivo: Afectar al ranking SEO
del sitio o de los que lo
promueven
š Tus users son tus mejores aliados:
Escúchalos!
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 29

30. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 30

31. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 31

32. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 32

33. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 33

34. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 34

35. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 35

36. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 36

37. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 37

38. RANK STEALER VS CC/LOGIN STEALER
š Difíciles de detectar
š Ataques sofisticados
š En muchos casos son ataques específicos
š La mejor forma de detectarlo es a través de tus propios usuarios
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 38

39. RANK STEALER VS CC/LOGIN STEALER
š Clonado del sitio.
š Te darás cuenta tú o tus
usuarios.
š ¿Tu sitio está infectado? NO.
š Denúncialo a los buscadores y
tomarán medidas
š Cuida tu SEO
š Se detecta con Escáner de
integridad de ficheros.
š Filtrado grave de información
de alta sensibilidad
š Obligación de comunicar al
cliente y las autoridades
competentes si procede
š ¿GDPR?
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 39

40. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 40

41. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 41

42. BOTNETS, CRYPTOMINERS, DDOS
šDifíciles de detectar.
Típicamente por uso extraño
de recursos consumidos
puntualmente.
šEscáner de integridad de
ficheros. Te avisa de
šCuándo y cuánto cambia un
fichero
šSi se añade o elimina alguno
šWAF
šObjetivo:
šExplotar recursos (ancho de
banda, CPU, Espacio, etc.)
šTu propio server
šVisitantes
šUsar tu sitio/server en modo
Zombie Soldado
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 42

43. Situación normal
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 43

44. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 44

45. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 45

46. ÍNDICE
1. Conceptos / Disclaimer
2. ¡¡Aaaargh!! ¡NOOOOOOOOO!
O galería de los horrores
3. ¿¿¿Y ahora qué???
O medidas Reactivas
4. ¡¡Más nunca!!
O medidas Proactivas
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 46

47. ¿¿¿Y ahora qué???
A.K.A. medidas Reactivas

48. Agentes implicados y jerarquía
Tú
•Owner / Admins
•Developer &
Designer
•Users/clients
Hosting
Provider
•Agente / C3
•Soporte &
Backups
Security
Expert
•Departamento
interno
•Servicios de
ciberseguridad
externos
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 48

49. š Escanea tu website para
obtener info
š sitecheck.sucuri.net
š virustotal.com (blacklist)
š Actualiza todo
š Actualizar sobreescribe los
ficheros con una versión limpia.
š También bloquea
vulnerabilidades.
š WordPress, temas, plugins.
ACCIONES QUE
PODEMOS REALIZAR
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 49

50. ACCIONES QUE PODEMOS REALIZAR
• Usuarios admins no necesarios (cambia la password de los demás)
• Plugins y temas no necesarios
• Carpetas y ficheros de copias de seguridad desfasados
• Sitios DEV y TEST en tu server de producción.
Comprueba y elimina
• Conexiones (cPanel, (S)FTP, SSH, …)
• Acceso a Base de Datos (recuerda actualizar tu wp-config.php)
• wp-admin, Etc.
Cambiar passwords
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 50

51. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 51

52. ACCIONES QUE PODEMOS REALIZAR
š Restaurar Backup
š Como última medida
š Se puede perder información
š No siempre sabemos exactamente
desde cuando está la infección o la
vulnerabilidad activa
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 52

53. ACCIONES QUE PODEMOS REALIZAR
š Restaurar Backup
š Como última medida
š Se puede perder información
š No siempre sabemos exactamente
desde cuando está la infección o la
vulnerabilidad activa
¿CREES QUE TIENES BACKUPS?
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 53

54. ÍNDICE
1. Conceptos / Disclaimer
2. ¡¡Aaaargh!! ¡NOOOOOOOOO!
O galería de los horrores
3. ¿¿¿Y ahora qué???
O medidas Reactivas
4. ¡¡Más nunca!!
O medidas Proactivas
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 54

55. ¡¡Más nunca!!
A.K.A. medidas Proactivas

56. SEGURIDAD POR CAPAS
Tú (vulnerable al Social hacking)
Tu dispositivo (Antivirus)
Tu conexión (SSL)
Tu sitio web (Firewall)
Tus credenciales (Contraseñas fuertes)
Tu seguridad del sitio (monitorización y actualizaciones)
Tu seguridad del server (monitorización y actualizaciones)
Tu base de datos (monitorización)
Mantenimiento
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 56

57. Principio
del mínimo
privilegio
Esto se aplica a
todo, wp-admin,
(S)FTP, cPanel,
dashboard, Base de
datos, etc.
Mientras más
administradores
tengas, mayores son
los riesgos de que
algo malo suceda
Asegúrate de que las
contraseñas de todas
las cuentas son
únicas y fuertes
(valora 2FA)
Haz las tareas
administrativas desde
la cuenta de
administración y crea
una cuenta diferente
para publicaciones
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 57

58. BACKUPS Y ACTUALIZACIONES
š ¡Crea una Estrategia de Copias de
Seguridad!
š NUNCA almacenes copias de seguridad en
tu servidor de producción (cross-site
contamination)
š Una copia de seguridad limpia y funcional
es tu mejor amiga en un mal día
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 58

59. BACKUPS Y ACTUALIZACIONES
š ¡Crea una Estrategia de Copias de
Seguridad!
š NUNCA almacenes copias de seguridad en
tu servidor de producción (cross-site
contamination)
š Una copia de seguridad limpia y funcional
es tu mejor amiga en un mal día
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 59

60. BACKUPS Y ACTUALIZACIONES
ACTUALIZA
...
¡SIEMPRE!
• PLUGINS
• TEMAS
• CORE
• PHP
• APACHE / NGINX
• SERVER
• CPANEL / PLESK
• …
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 60

61. INVIERTE EN
HOSTING SEGURIDAD
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 61

62. ELIGE BIEN EL HOSTING
PRIMERA CAPA DE DEFENSA EQUILIBRIO ENTRE ECONOMÍA Y
PRESTACIONES
ENCARGADOS DE LOS SERVICIOS,
BASE DE DATOS Y MANTENIMIENTO
A NIVEL SERVIDOR
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 62

63. SERVER COMPARTIDO
VS AISLADO
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 63

64. WAF. Tu perro de guarda
Limpia todo el tráfico a
tu sitio web
Previene XSS, DDoS,
etc…
Software vulnerable
parcheado y protegido
de manera virtual
Si incorpora CDN,
además mejorará en
velocidad y rendimiento.
Herramienta para
análisis forense
Permite bloquear a
criterio del usuario
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 64

65. WAF. Tu perro de guarda
Limpia todo el tráfico a
tu sitio web
Previene XSS, DDoS,
etc…
Software vulnerable
parcheado y protegido
de manera virtual
Si incorpora CDN,
además mejorará en
velocidad y rendimiento.
Herramienta para
análisis forense
Permite bloquear a
criterio del usuario
#WCIrun 19 Néstor Angulo De Ugarte (@pharar) 65

66. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 66

67. #WCIrun 19 Néstor Angulo De Ugarte (@pharar) 67

68. ¡ MIL GRACIAS
por su atención !
¡ PREGUNTAS !
Néstor Angulo
De Ugarte
@pharar