Riesgo de phishing en blogs wordpress
Hace un rato recibí un mail automático, de mi propio blog, de esos que te avisan que tenés un Nuevo Comentario en tu blog, lo abrí, casi sin leerlo hice click en el link que me lleva a la página de moderación para aprobarlo o marcarlo como spam y me mandó a esta página:
Los que tengan un blog en wordpress seguramente la reconocerán. Es wp-login.php la página que te pide tu usuario y contraseña para entrar a la administración del sitio.
Sin prestar tampoco mucha atención, y de manera mecánica, hice click en Acceder y entré en mi blog a aprobar el comentario. Y ahí fue cuando me di cuenta de que sería extremadamente fácil hacer phishing de esta página en particular.
Para el que no lo sepa, el phishing es una técnica de hacking en la que te hacen entrar en una página falsa, idéntica a la de tu banco o tu email, te piden que ingreses tus datos y luevo te mandan a la página real, y vos nunca te diste cuenta.
El problema es que esta página en particular, wp-login.php es demasiado simple y genérica. Lo malo de ser genérica es que es la misma idéntica página en todos los blogs que usan wordpress, por lo que fácilmente podríamos ser engañados y entrar en una página visualmente igual a esta y poner nuestro usuario y contraseña, no hay nada que nos muestre que estamos entrando en nuestro login y no en otro. Y lo malo de ser tan simple es que lo hace muy fácil de imitar y hacer phishing.Generalmente las páginas de login tienen muchas formas de ser seguras y difíciles de imitar, justamente por esto. Además, esto no sólo funciona en blogs que usan el código de wordpress en sus propios hostings y dominios, sino que también aplica a todos los blogs.wordpress.com (imaginen el desastre que podría alguien malintencionado causar con esto).
Fácilmente podría alguien crear un sitio falso imitando la página wp-login.php, enviarnos un mail que imite un aviso de comentario nuevo, o alguno de los otros mails de aviso que wordpress suele mandar, engañarnos para que entremos, pedirnos nuestro usuario y contraseña (incluso podrían imitar el autocompletado) y guardarlo, luego redirigirnos a nuestro propio blog, evitando que sospechemos que algo raro acaba de ocurrir. Piénsenlo: ¿Estás seguro que la última vez que entraste a tu blog y pusiste tu usuario y contraseña, era realmente tu blog?
¿Cómo prevenirlo?
Para empezar, creo que deberíamos escribirle a los muchachos de wordpress, y pedirles que cambien esto. Que sea obligatorio que esta página muestre características distintivas de cada blog (como el logo, tipo de letra, fondo, etc) para diferenciarlo y hacerlo más seguro. Y que esto no dependa de si está implementado en el theme que usamos o no. Incluso podría haber una página en la configuración donde modificar el logo y algún otro parámetro para personalizarlo.
Pero mientras tanto, podemos hacer un par de sencillas modificaciones, para que esta página se parezca más al resto de nuestro blog. Creo que con cambiar la imagen del logo es suficiente, pero también podemos cambiar otras cosas, tipo de letra, que apunte a tu home en vez de a wordpress.org, fondo, etc. Podríamos hacer los cambios directamente en el archivo wp-login.php que se encuentra en la carpeta principal de nuestro blog, o reemplazando el archivo logo-login.gif que se encuentra en /wp-admin/images pero para evitar que futuras actualizaciones de wordpress deshagan los cambios, debemos utilizar el archivo functions.php que se encuentra en la carpeta de nuestro theme (y que sirve para este tipo de cosas). En este caso, la nueva imagen de logo la tienen que subir a la carpeta /images del theme que estén usando, no a /wp-admin/images.
Estas dos funciones harán el truco, la primera reemplaza la imagen por logo.png creada por nosotros. La segunda cambia la dirección a la que apunta el logo, para que en vez de apuntar a wordpress.org apunte a nuestra página de inicio.
También tenemos plugins que hacen este trabajo por nosotros, como Custom Login y My Brand Login. Pero honestamente no sé cómo funcionan, si cambiando el css, agregando funciones o reemplazando la página de login por otra de su propia autoría.
Bueno, como siempre, espero sus comentarios. Y si tienen amigos bloggers, no duden en compartir con ellos este post. Qué opinan? Es un caso tan obvio de peligro de phishing como yo lo veo o ustedes creen que no caerían en algo así? Debemos avisar a los demás?
Andrés
Genial que lo informes, no sabía. Gracias al destino vi esta entrada, mi internet cada tanto cambia de IP, y todo se desloguea, tengo que volver a entrar siempre; y sí, como dices, es un poco difícil reconocer si se está en una página fake en wordpress…
Saludos.
Neo
Lo mejor es estar atento y mirar la URL cuando te logueas. Pensá que si tenés el login a la vista http://n3ri.com.ar/wp-admin lo pueden ver y copiarlo. Lo que estaría piola es, además de lo que vos hiciste, agregar un .htaccess con otro login (con password diferente), como tengo yo. un 401. Entonces los que te quieran copiar el login para intentar pishearte, no van a poder, porque ni siquiera van a poder llegar al login! Hay
N3RI
tenés razón, de todas formas, el artículo es sobre phishing, el cual no suele apuntar a un blanco en concreto, sino que es masivo (mandan mail a miles de víctimas y algunas caen en la trampa)
N3RI
wordpress tiene funciones extra para modificar la url del login (y supongo que también hay que cambiar wp-admin.php) si te interesa las busco, porque no me acuerdo los nombres, y hacemos un ejemplo más robusto para protegerse incluso de phishing que apunte a un blog en particular.
Y esto es a lo que apunto con «habría que mandarle una cartita a los muchachos de wordpress para que cambien esto». Que todos los blogs tengan el mismo archivo de administración, en el mismo lugar, siendo que se podría configurar y cambiarlo.
Por cierto, en tu blog, si clickeo «Cancelar» me lleva a wp-login.php Un ataque personalizado para tu blog podría imitar ese comportamiento también. Lo ideal sería que al entrar a sitio.com/wp-admin o /wp-login no encuentre nada, porque el login está en otro lado.
Neo
tab+space = autopost xD fail mio. Iba a decir.. Hay que acordarse que cada vez que actualices el wordpress y reemplaces los archivos se te va a ir el login y vas a tener que tunearlo otra vez. Capaz por ese lado conviene el plugin.
N3RI
no, si las modificaciones las hacés en el archivo functions.php de tu theme, cuando se actualice wordpress los cambios no se borran, incluso cuando actualices el theme tampoco se pierden los cambios, para eso es justamente el archivo functions.php
obviamente se pierden si cambiás de theme, tenés que volver a modificar el archivo functions.php de ese theme.
Neo
ahh es verdad. el theme sobrevive al update. No sabía que el functions sobrevivía al update de themes. Yo justo updateo reemplazando los archivos. (porque soy un vago y no configure ftp xd)
Ariel
yo tengo mis pishings, pero no los uso con fines malevolos, solo por emergentcias, tengo todas las contraseñas de facebook de mis amigos gracias a mi pishing de facebook! pero nunca les haria lio en sus perfiles ni nada
Martin
Si tenes un blog y no miras la url antes de meter tu pass sos medio pelotudo.