https://esgeeks.com/?p=3623
Cómo hackear un sitio web basado en WordPress con WPForce
5 (100%) 18 votes

Aprende cómo hackear un sitio web basado en WordPress con WPForce, una herramienta automática de fuerza bruta para encontrar usuario y contraseña de administrador.

Hay muchas herramientas de seguridad de WordPress, como WPScan, escáner de vulnerabilidades. Ahora, hay una adición: WPForce, que considero es una herramienta más ofensiva que realiza intentos de fuerza bruta contra una instalación específica de WordPress.

1. ¿Qué es WPForce?

WPForce es un conjunto de herramientas para ataques de WordPress de código abierto y múltiples hilos, que inicia sesión de fuerza bruta a través de la API XML-RPC, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. WordPress tiene su implementación personalizada de la API XML-RPC que le permite publicar contenido en tu blog. Esta funcionalidad está habilitada por defecto desde WordPress 3.5!

1.1. Funciones de WPForce

  • Fuerza bruta a través de la API XML-RPC, evitando algunas formas de protección.
  • Puede cargar automáticamente un shell interactivo.
  • Puede ser usado para generar un shell invertido completo.
  • Descarga los hashes de contraseñas de WordPress.

WPForce es un conjunto de herramientas para ataques a WP. Actualmente contiene 2 scripts: WPForce, que fuerza los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. Yertle también contiene una serie de módulos posteriores a la explotación.


2. Descarga y preparación de WPForce

En este tutorial aprendemos cómo hacer un ataque de diccionario en cualquier sitio web de WordPress para obtener las credenciales de sus usuarios.

  • Descarga WPForce desde github
git clone https://github.com/n00py/WPForce.git
  • Ejecutar WPForce
cd WPForce
chmod +x wpforce.py
python wpforce.py -i [nombre_archivo_usuarios].txt -w [nombre_archivo_contraseñas].txt -u [URL_Sitio_Web]
Ejecutar WPForce en Linux

Ejecutar WPForce en Linux

3. Uso de WPForce

  • Para demostrar el uso de WPForce voy a considerar un sitio web de prueba. Dicho sitio lo he creado con Cloud9: Servidor Virtual para WordPrees. Las credenciales son: alexynior (Usuario) y esgeeks (contraseña).
Uso de WPForce para fuerza Bruta

Uso de WPForce para fuerza Bruta

  • He utilizado mi propio diccionario de fuerza bruta para usuario y contraseña. Si quieres crear tu propio diccionario, te recomiendo leer este post.


  • Finalmente con el uso de la herramienta, he podido “hackear” el sitio web de ejemplo y conocer el usuario y la contraseña. (Ver vídeo al final de la publicación para mayor entendimiento).
Hackear Sitio Web WordPress

Hackear Sitio Web WordPress

4. Tutorial de WPForce

Para una mejor comprensión, consulte el video tutorial paso a paso. Sin embargo, puede leer más sobre el autor de la herramienta en este enlace.



¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos tu email.