Cómo los hackers roban los correos electrónicos de los administradores de WordPress (y cómo detenerlos)

Comencemos con una verdad incómoda:

Tu correo electrónico de administrador de WordPress probablemente sea mucho más público de lo que crees.
¿Y a los hackers? Les encanta.

Para ellos, su correo electrónico de administrador no es solo una bandeja de entrada. Es una llave que desbloquea ataques de spam, intentos de phishing, inicios de sesión forzados y el ocasional desastre de "Restablecer contraseña" a las 3 de la madrugada.

Si ejecutas un WordPress sitio, sabiendo cómo Los piratas informáticos descubren los correos electrónicos de los administradores y cómo cerrar esas puertas es una cuestión básica de supervivencia.

¿Por qué los hackers se obsesionan con tu correo electrónico de administrador?

Los hackers no se despiertan pensando: “Hoy admiraré el diseño del sitio web”.”
Se despiertan pensando: “¿Qué puedo romper?”

Su correo electrónico de administrador les ayuda a hacer exactamente eso:

• Relleno de credenciales
  ¿Encontraste contraseñas filtradas en internet? Los hackers las probarán aquí.
• Suplantación de identidad (phishing)
  Los correos electrónicos falsos de “alerta de seguridad de WordPress” son más dañinos cuando se envían al administrador real.
• Spam y malware
  Una vez que conozca su correo electrónico, disfrute del correo basura digital.
• Intentos de apropiación de cuentas
  Los correos electrónicos de restablecimiento de contraseña son herramientas poderosas, pero en las manos equivocadas.

En resumen: si conocen tu correo electrónico de administrador, ya estás en su radar.

Cómo los hackers encuentran los correos electrónicos de administración de WordPress

Nada de magia. Nada de escenas de hacking de Hollywood. Más que nada, pura pereza… todo automatizado con mucha eficiencia.

1. Páginas de autor: El exceso de contenido accidental

WordPress crea páginas de autor de forma muy útil como:

yoursite.com/autor/nombredeusuario

Suena inofensivo. Pero:

• Muchos temas muestran información del autor públicamente
• Las imágenes de Gravatar están vinculadas a correos electrónicos.
• Los nombres de usuario se pueden cotejar con bases de datos de infracciones

Felicitaciones, la biografía de tu blog acaba de unirse a la lista de exploración de la dark web.

2. Secciones de comentarios: Sitios de sumideros de Loose Lips

Los comentarios pueden filtrar silenciosamente más que las opiniones.

• Algunos temas generan metadatos ocultos
• Los complementos antiguos exponen accidentalmente correos electrónicos en HTML
• A los hackers les gusta más "Ver código fuente" que el café

Si los comentarios no están bloqueados, se convierten en máquinas expendedoras de información.

3. Páginas de contacto: el bufé favorito de Internet

Ese amable “Contáctanos en [email protected]”?

Los bots lo ven como:
“OBJETIVO LIBRE ADQUIRIDO.”

Incluso disfraces ingeniosos como "admin [arroba] sitio [punto] com" no siempre ayudan. Los bots son más inteligentes de lo que desearíamos.

4. API REST: útil para desarrolladores, útil también para hackers

La API REST de WordPress puede exponer:

• Nombres de usuario
• Hashes de Gravatar
• Datos públicos de usuario

Y a partir de un hash de Gravatar, los piratas informáticos a veces realizan ingeniería inversa del correo electrónico.

No es ideal.

5. XML-RPC: La puerta lateral que nadie cerró

XML-RPC no filtra correos electrónicos directamente, pero una vez que los piratas informáticos tienen su correo electrónico, se convierte en su ruta de ataque favorita.

Piensa en intentos de inicio de sesión automatizados. Miles de ellos. Muy rápido.

6. Temas y complementos: el punto más débil

Los complementos obsoletos y los temas mal codificados pueden:

• Filtrar correos electrónicos en plantillas
• Exponer datos de administración en registros de errores
• Volcar tablas de usuario si se explotan

Los hackers primero escanean las versiones. Después, explotan. Nunca duermen.

Cómo mantener a los hackers alejados de tu correo electrónico de administrador

Buenas noticias: no necesitas paranoia, sólo una configuración inteligente.

1. Deja de publicar como administrador (en serio)

Cree una cuenta de autor o editor independiente para el contenido público.

• Nombre genérico
• Correo electrónico genérico
• El administrador permanece invisible

Su cuenta de administrador debe ser aburrida, privada y rara vez utilizada.

2. Bloquear la API REST

Si no lo necesitas públicamente, restringelo.

• Limitar el acceso a los usuarios que han iniciado sesión
• O deshabilitar los puntos finales expuestos

Menos datos = menos problemas.

3. Eliminar u ocultar los archivos del autor

Si no lo necesitas /autor/nombre de usuario páginas:

• Noindexar o deshabilitarlos mediante complementos de SEO
• Redirigirlos a la página de inicio
• Finge que nunca existieron

Los hackers no perderán lo que no puedan encontrar.

4. Limpiar la configuración de los comentarios

• No exponga correos electrónicos en el marcado
• Utilice complementos antispam seguros
• Mantener privados los datos de los comentarios

Su sección de comentarios debe generar debate, no filtraciones de datos.

5. Olvídate de los correos electrónicos públicos y usa formularios

Si los usuarios necesitan ponerse en contacto con usted:

• Utilice formularios de contacto
• Ofuscar correos electrónicos con JavaScript
• Nunca muestre correos electrónicos de administrador en los pies de página

Los formularios no se raspan. Los correos electrónicos sí.

6. Desactivar XML-RPC (si es posible)

Si no lo estás usando:

• Apágalo
• O restringirlo fuertemente

Un vector de ataque menos. Cero arrepentimientos.

7. Actualiza todo. Siempre.

La mayoría de las fugas se producen a través de:

• Complementos antiguos
• Temas abandonados
• Actualizaciones de WordPress ignoradas

Si no estás usando algo, elimínalo.
El desorden digital atrae a los delincuentes digitales.

8. Utilice un complemento de seguridad real

Los buenos complementos de seguridad no sólo bloquean los ataques, sino que también detienen las fugas de información.

• Detección de bots
• Protección contra el abuso de API
• Monitoreo de inicio de sesión

Piense en ellos como si fueran porteros de su sitio web.

Reflexiones finales: La privacidad es una característica del rendimiento

Proteger su correo electrónico de administrador de WordPress no es “seguridad adicional”.”
Es higiene básica.

Los piratas informáticos confían en valores predeterminados perezosos.
Ganas siendo un poco más inteligente de lo que parece por defecto.

En AIRSANG, Esta mentalidad está presente en todo lo que hacemos.
Nos especializamos en comercio electrónico transfronterizo, WordPress & Shopify diseño del sitio web y estabilidad del sitio a largo plazo, no solo imágenes que se ven bien el día del lanzamiento.

Si está creando un sitio global, rediseñando una tienda en línea o reforzando la seguridad antes de escalar, nos encantaría poder ayudarlo.
No solo diseñamos sitios web: diseñamos sistemas que crecen de forma segura.

Seguir AIRSANG para obtener información más práctica sobre diseño web, rendimiento y crecimiento transfronterizo.