WordPress bajo asedio: se registraron 37 288 ataques en un solo fin de semana
El fin de semana del 23 al 24 de mayo fue el más ajetreado que hemos vivido en la red hasta la fecha. Los sitios de nuestros miembros enviaron 37 288 informes de ataques a través de la ReportedIP , relacionados con 15 066 direcciones IP de atacantes únicas. Más de una cuarta parte de esos informes —10 078— procedían de sitios de WordPress que utilizan el plugin Hive.
Si gestionas un sitio web público de WordPress y no estás protegido por un bloqueador basado en la reputación, una semana normal incluye ahora un fin de semana completo de actividad en segundo plano. Esto es lo que nos ha proporcionado la comunidad durante esos dos días, cómo son los patrones y qué hemos incorporado además.
Cómo fue el fin de semana
Tres vectores, una infraestructura
Las tres principales categorías de ataques del sábado y el domingo fueron los intentos de piratería (23 019 notificaciones), los ataques de fuerza bruta para acceder a cuentas (10 215) y los ataques combinados contra SSH y WordPress (3 889). El total supera el recuento de direcciones IP únicas porque las mismas IP de los atacantes afectan a varias categorías en el mismo sitio en cuestión de minutos: un único host ejecuta un ataque de fuerza bruta, falla y, a continuación, vuelve a intentarlo inmediatamente. wp-config.php.bak y /.env en el mismo objetivo.
Este es el efecto de red que hace que la reputación de la comunidad funcione: una IP que bombardea el formulario de inicio de sesión del Sitio A a las 14:02 UTC ya figura en la lista de bloqueados del Sitio B a las 14:03 UTC, antes incluso de llegar al Sitio B. Durante el fin de semana, la IP media de los atacantes apareció en 2,5 de las 9 categorías de amenazas que rastrea la API; no se trata de bots de un solo uso, sino de completos conjuntos de herramientas.
Origen: cuatro países suman un total de 18 254 direcciones IP
La concentración geográfica durante el fin de semana fue inusualmente reducida. Cuatro países de origen generaron 18 254 de las direcciones IP únicas de los atacantes que rastreamos:
- Estados Unidos: 10 920 direcciones IP — en su mayoría proveedores de alojamiento web y redes en la nube, no residenciales.
- India: 3.038 direcciones IP — una amplia variedad de ASN de empresas de telecomunicaciones y pequeños proveedores de servidores VPS.
- Pakistán: 2.281 direcciones IP, concentradas en tres grandes proveedores de servicios de Internet.
- Países Bajos: 2.015 direcciones IP — casi exclusivamente alojamiento web a prueba de fallos y económico.
El bloqueo por país es una medida poco precisa y no lo recomendamos como opción predeterminada. Sin embargo, si detectas solicitudes repetidas procedentes de uno de estos cuatro orígenes y no tienes ninguna business para aceptar tráfico procedente de ellos, la relación coste-beneficio se inclina rápidamente a favor del bloqueo.
WordPress sigue siendo el objetivo principal
10 078 de los 37 288 informes —el 27 %— procedían de sitios de WordPress que utilizan ReportedIP . En conjunto, esos sitios bloquean más de 600 patrones de ataque distintos cada día; durante el fin de semana, esa cifra ascendió a más de 1 100 patrones por sitio. Los clientes que tenían activado el modo de refuerzo de Hive vieron cómo el nuevo periodo de retrospectiva de dos horas se activaba dos veces el sábado y una vez el domingo, cada vez que una oleada coordinada afectaba a un grupo de entre 20 y 50 sitios web en el mismo intervalo de 60 segundos.
El lunes por la mañana también recibimos las habituales llamadas de clientes cuyos sitios web no eran estaba protegida y se vio comprometida: una página de inicio desfigurada, un usuario de WP-Admin llamado admin-backup que nunca han creado, o una carpeta de complementos llena de archivos PHP ofuscados. Nada de esto es nada del otro mundo, y todo se puede evitar.
Qué hizo Hive al respecto
En los días posteriores al fin de semana se lanzaron dos novedades, ambas basadas directamente en las sugerencias que la comunidad envió a través de la API:
- Hive 2.0.15 (lanzada el 21 de mayo): el relé ya no descarta silenciosamente las notificaciones administrativas con varios destinatarios; el «modo de refuerzo» deja de reactivarse cada hora ante el mismo patrón de ataque; y el relé respeta ahora el tiempo de espera 429 en el lado del cliente. Notas completas de la versión →
- Superficie de señuelo de 40 vías: cualquier solicitud de
wp-config.php.bak,.env.production.bak,configuration.php.bak, archivos de volcado de SQL habituales en el directorio raíz del sitio web,.aws/credentials,.ssh/id_rsa, o cualquiera de los otros 33 archivos de señuelo, constituye ahora una señal de atacante de alta fiabilidad, y esa señal alimenta la base de datos de reputación de la comunidad cuando Hive se ejecuta en modo «Community Network».
Protégete
Si gestionas un sitio web público de WordPress, lo más barato y útil que puedes hacer esta semana es instalar Hive en modo «Community Network». No cuesta nada, reduce la carga de los ataques de fuerza bruta en un orden de magnitud y cada bloqueo que registras hace que la red sea más rápida para el siguiente sitio web.
- Consigue ReportedIP → Edición completa con 12 sensores, autenticación de dos factores (2FA) de cuatro métodos y modo de refuerzo de seguridad.
- Poner en marcha un honeypot → Instalar un servidor señuelo en la red y aportar información de inteligencia sobre amenazas de alta fiabilidad a la red.
- Referencia de la API → Utiliza directamente la API de reputación si gestionas tu propia pila WAF.
El fin de semana ya ha quedado atrás. El siguiente está al caer. Siguen llegando informes: el contador sigue subiendo mientras lees esto.