Introducción

Si alguna vez te has preguntado cómo un hacker realmente piratea cosas, entonces has venido al lugar correcto. Al utilizar este sitio web, podrá acceder a una computadora virtual y completar 2 desafíos de piratería en los que podrá emplear las herramientas y técnicas utilizadas por piratas informáticos reales para atacar sitios web reales. Así es: estarás pirateando de verdad y, con suerte, tendrás una idea de lo fácil que es aprovechar las malas prácticas de ciberseguridad.

No hace falta decir que nada de lo que aprenda aquí debería alguna vez usarse en la vida real contra un objetivo al que no tienes permiso para atacar.

Obtenga notas del certificado OSCP

Kit de herramientas de ingeniería social

SET es una aplicación basada en texto que se puede utilizar para lanzar una variedad de ataques cibernéticos, desde la suplantación de sitios web antes mencionada, ataques Wifi, phishing y mucho más. Comprender cómo se organizan los ciberataques puede hacer que sea mucho más fácil detectarlos antes de caer en ellos y esperamos que los siguientes ejercicios le den una idea de la ciberseguridad desde la perspectiva de un hacker.

Hackeo de WordPress

WordPress es un sistema de gestión de contenidos fácil de usar (CMS) que se ha utilizado para crear una gran cantidad de sitios web en todo el mundo. Desafortunadamente, puede ser relativamente fácil de piratear si está desactualizado o configurado incorrectamente.

Hay tres cosas principales que pueden comprometer un sitio de WordPress:

  • Error humano: Hay un dicho común en los círculos de hackers: “El eslabón más débil es el eslabón humano”. Este es muy a menudo el caso. Por ejemplo, si el administrador de un sitio tiene una contraseña débil, el sitio puede verse comprometido fácilmente. Esto incluye cosas que cumplen con los requisitos de contraseña pero que son fáciles de adivinar, como el nombre del hijo seguido de la fecha de nacimiento; A pesar de que la contraseña es técnicamente difícil de descifrar, la información de identificación personal facilita la generación de una lista de contraseñas personalizadas para atacar el sitio.
    Del mismo modo, los humanos suelen ser vulnerables a los ataques de ingeniería social. Un hacker carismático que llame por teléfono puede obtener credenciales para acceder a un sitio sin demasiadas dificultades si el personal no es consciente de los peligros.
  • Vulnerabilidades en WordPress: Las vulnerabilidades en el software principal de WordPress son raras, pero suelen ser muy peligrosas. Si el sitio no se ha actualizado por un tiempo, las posibilidades de encontrar una vulnerabilidad en el software principal son altas.
  • Complementos de WordPress: Una de las cosas que hace que sea tan fácil trabajar con WordPress es el sistema basado en complementos que emplea el software. Los complementos se pueden utilizar para agregar muchas funciones al núcleo de WordPress, desde formularios de correo electrónico hasta tiendas en línea y galerías de fotos simples. El problema con los complementos es que aumentan en gran medida la superficie de ataque disponible para un atacante. El software principal de WordPress es muy conocido y, por lo tanto, con frecuencia es el objetivo de los cazarrecompensas de errores éticos; lo que significa que las vulnerabilidades se encuentran y reparan rápidamente. Los complementos, por otro lado, generalmente no están tan bien auditados, especialmente si hay millones de ellos disponibles. Como tal, es común encontrar vulnerabilidades en complementos (especialmente los menos comunes); algunos de los cuales pueden ser muy graves.
    Al igual que con el software principal de WordPress, es mucho más probable que los complementos obsoletos sean vulnerables.

En última instancia, un atacante generalmente solo necesita que una cosa esté mal para poder ingresar al sitio. Un atacante con acceso administrativo a un sitio web de WordPress puede provocar el caos. En el peor de los casos, pueden utilizar el acceso para obtener acceso al servidor (y a cualquier otra cosa alojada en él); Esta suele ser una tarea muy sencilla con la configuración predeterminada de WordPress, ya que las características del sistema se prestan bien para ejecutar código arbitrario. Un atacante también podría utilizar su acceso para desfigurar el sitio, alojar archivos maliciosos en el servidor o realizar una amplia gama de otras acciones poco agradables, limitadas únicamente por su imaginación.

Tutorial en vídeo

 

, , ,
Mostrar Comentarios

Motasem

Acerca del Autor

Creo notas de ciberseguridad, notas de marketing digital y cursos online. También brindo consultoría de marketing digital que incluye, entre otros, SEO, Google y meta anuncios y administración de CRM.

Ver Artículos