Cómo deshabilitar el XML-RPC en WordPress (Apache y Nginx)

El siguiente tutorial explica como deshabilitar la funcionalidad XML-RPC en WordPress, para evitar la realización de ataques de fuerza bruta amplificados contra nuestros sitios a través del método system.multicall. Las directivas de acceso mostradas, en teoría, deben ser similares para la mayoría de los CMS que utilizan XML-RPC y son desplegados en servidores web Apache…

Análisis de la shellcode IndoXploit

La explotación de vulnerabilidades en aplicaciones web no constituye un fin mismo para los ciberdelincuentes. El verdadero objetivo del ataque se manifiesta en la etapa de post-explotación, donde se ejecuta el código dañino definitivo, más conocido por el término payload o carga útil en español. Las shellcode son un tipo de payload muy utilizado en…

WPScan a fondo para webmaster

Este artículo tiene dos propósitos: el primero es mostrarle a los administradores de aplicaciones web basadas en WordPress como pueden utilizar WPScan para realizar evaluaciones de seguridad. El segundo objetivo es adentrarnos en la comprensión del funcionamiento de WPScan porque hay muchos tutoriales que dan explicaciones superficiales que no abarcan todos los elementos necesarios para…

Si administras un CMS debe interesarte la alerta elaborada por la Public Safety Canada y el U.S. Department of Homeland Security

Haciendo una búsqueda hoy lunes, sobre metodologías para la realización de pruebas de penetración, encontré la alerta TA13-024A titulada “Content Management Systems Security and Associated Risks”, elaborada por la Public Safety Canada  y el U.S. Department of Homeland Security en el 2014 y actualizada en octubre del 2015. Contiene recomendaciones muy concretas y sencillas que…