Protección para la vulnerabilidad XML-RPC de WordPress

Llevo unos días con el servidor en el que se aloja este blog y otros (todos desarrollados en WordPress) caído por intervalos, con un consumo tan alto de CPU que a veces no podía ni conectarme a la máquina para poder administrarla.

Cuando conseguí conectarme y ejecutar un htop (un top mejorado) había una gran cantidad de procesos de Apache, que por separado consumían pocos recursos pero todos juntos estaban tirando la máquina.

Al detener el servicio de Apache pude ver que la máquina se estabilizaba; es decir, algo estaba sobrecargando el servicio de Apache.

Tras analizar la últimas entradas del log había una gran cantidad de peticiones por segundo desde diferentes IP que ejecutaban

“POST /xmlrpc.php HTTP/1.1”

Este ataque es conocido desde hace tiempo y se aprovecha de una funcionalidad de WordPress que implementa XML-RPC.

La solución es sencilla, y simplemente hay que desabilitar la llamada al PHP xmlrpc.php mediante una configuración de Apache en el .htaccess en cada uno de los sitios creados con WordPress:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Si quieres habitar alguna IP para poder usar las funcionalidades del xmlrpc.php simplemente hay que permitir el acceso a esas IP:

# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
Allow from 11.22.33.44
Allow from 55.66.77.88
</Files>

Backups en MySQL automatizados con AutoMySQLBackup

MySQL backup AutoMySQLBackup

Voy a explicar cómo realizar backups o copias de seguridad  de MySQL de forma automática con la herramienta AutoMySQLBackup en Linux.

AutoMySQLBackup permite crear, con una configuración básica, copias diarias, semanales y mensuales de una o de varias bases de datos MySQL en uno o en varios servidores MySQL. Además permite:

  • Notificar la ejecución de las copias de seguridad por correo electrónico.
  • Comprimir y cifrar las copias de seguridad.
  • Rotar las copias de seguridad.
  • Realizar copias de seguridad incrementales.

Sobre los sistemas automáticos de seguridad en el transporte ferroviario

Me imagino que tendréis información de sobra sobre el accidente ferroviario ocurrido en la tarde del 24 de julio cerca de Santiago de Compostela. Parece que el descarrilamiento del tren se debió al exceso de velocidad al tomar la curva. Los medios de comunicación, con sus habituales todólogos, ya se están encargando de lapidar al maquinista (me recuerda a la mítica portada de la mirada del asesino que no era), por lo que yo casi que paso de analizar nada de esto. No me voy a poner a analizar los sistemas ERTMS, ASFA, incompatibilidades entre ellos, ausencia,…

Solo quiero dejar una reflexión/pregunta: ¿Cómo es posible que en el año 2.013, en el que ya es legal que un coche circule sin conductor o un avión aterrice con control automático, con las ingentes cantidades de dinero que se invierten en el transporte ferroviario, sea posible que un error humano pueda provocar una catástrofe como ésta y que no esté todo automatizado para reducir la velocidad, detener el tren o tomar las medidas de seguridad adecuadas? Al final pagará el maquinista del tren, pero las responsabilidades deberían de buscarse mucho más arriba, sobre todo en los técnicos y políticos que permiten estas situaciones.

Cómo me convertí en un cracker de contraseñas

Un artículo muy interesante (y largo) de Nate Anderson, periodista de Ars Technica, en el que explica cómo en 1 día aprendió a crackear contraseñas, una labor que por lo que parece está mucho más cerca del trabajo de los script kiddies que de los hackers. El reto que superó:

Could I, using only free tools and the resources of the Internet, successfully:

  1. Find a set of passwords to crack
  2. Find a password cracker
  3. Find a set of high-quality wordlists and
  4. Get them all running on commodity laptop hardware in order to
  5. Successfully crack at least one password
  6. In less than a day of work?

Guía sobre las tecnologías biométricas aplicadas a la seguridad

Dejo un enlace a una guía que presentó Inteco hace un mes sobre la biometría aplicada a la seguridad. Tal y como define Inteco la biometría “consiste en el uso de ciertos rasgos o características del ser humano, sean estrictamente físicas o relativas al comportamiento, para identificar a las personas. El avance tecnológico ha permitido la automatización de este reconocimiento, existiendo diversas tecnologías ya aplicadas a la identificación biométrica, como puede ser el reconocimiento de huellas dactilares, de iris, de retina o de voz.

El archivo en local en este enlace.

¿Qué son las vulnerabilidades del software?

La gente de INTECO acaba de publicar una miniguía introductoria sobre las vulnerabilidades del software. Puede ser interesante para aquellas personas que están introduciéndose en el mundo de la seguridad informática que no tiene ningún tipo de conocimiento sobre el tema. El archivo en formato PDF ¿Qué_son_las_vulnerabilidades_del_ software?.