Cómo hackear un sitio web basado en WordPress con WPForce
Cómo hackear un sitio web basado en WordPress con WPForce
Hacking
·2 Minutos de lectura

WPForce: Probar la Seguridad tu Sitio Web basado en WordPress

Aprende cómo hacer pentesting de fuerza bruta de un sitio web basado en WordPress con WPForce, una herramienta automática de fuerza bruta para encontrar usuario y contraseña de administrador.

Aprende con EsGeeks

WordPress es, con mucho, el CMS más utilizado que existe, con más del 55% de los sitios web en Internet.

Hay muchas herramientas de seguridad de WordPress, como WPScan, escáner de vulnerabilidades. Ahora, hay una adición: WPForce, que considero es una herramienta más ofensiva que realiza intentos de fuerza bruta contra una instalación específica de WordPress.

Tabla de Contenido

1. ¿Qué es WPForce?

WPForce es un conjunto de herramientas para ataques de WordPress de código abierto y múltiples hilos, que inicia sesión de fuerza bruta a través de la API XML-RPC, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. WordPress tiene su implementación personalizada de la API XML-RPC que le permite publicar contenido en tu blog. Esta funcionalidad está habilitada por defecto desde WordPress 3.5!

1.1. Funciones de WPForce

  • Fuerza bruta a través de la API XML-RPC, evitando algunas formas de protección.
  • Puede cargar automáticamente un shell interactivo.
  • Puede ser usado para generar un shell invertido completo.
  • Descarga los hashes de contraseñas de WordPress.

WPForce es un conjunto de herramientas para ataques a WP. Actualmente contiene 2 scripts: WPForce, que fuerza los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. Yertle también contiene una serie de módulos posteriores a la explotación.

2. Descarga y preparación de WPForce

En este tutorial aprendemos cómo hacer un ataque de diccionario en cualquier sitio web de WordPress para obtener las credenciales de sus usuarios.

  • Descarga WPForce desde github
git clone https://github.com/n00py/WPForce.git
  • Ejecutar WPForce
cd WPForce
chmod +x wpforce.py
python wpforce.py -i [nombre_archivo_usuarios].txt -w [nombre_archivo_contraseñas].txt -u [URL_Sitio_Web]
Ejecutar WPForce en Linux
Ejecutar WPForce en Linux

3. Uso de WPForce

  • Para demostrar el uso de WPForce voy a considerar un sitio web de prueba. Las credenciales son: alexynior (Usuario) y esgeeks (contraseña).
Uso de WPForce para fuerza Bruta
Uso de WPForce para fuerza Bruta
  • He utilizado mi propio diccionario de fuerza bruta para usuario y contraseña. Si quieres crear tu propio diccionario, te recomiendo leer este post.
  • Finalmente con el uso de la herramienta, he podido “comprometer” el sitio web de ejemplo y conocer el usuario y la contraseña. (Ver vídeo al final de la publicación para mayor entendimiento).
Hackear Sitio Web WordPress
Pentesting Sitio Web WordPress

Para una mejor comprensión, consulte el video tutorial paso a paso. Sin embargo, puede leer más sobre el autor de la herramienta en este enlace.

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda