ARQUITECTURA DE UN ENTORNO VIRTUAL PARA

PRUEBAS DE ETHICAL HACKING A SISTEMAS WORDPRESS

Pascual Yana Chejo

Boliviano, Ingeniero de Sistemas, Docente
Universidad Pública de El Alto
e-mail: pascualyana@gmail.com

RESUMEN

Reyes Plata (2010), “Las computadoras en todo el mundo son susceptibles de ser atacadas por
crackers o hackers capaces de comprometer los sistemas informáticos y robar información valiosa, o
bien borrar una gran parte de ella. Esta situación hace imprescindible conocer si estos sistemas y
redes de datos están protegidos de cualquier tipo de intrusiones”.
En el presente trabajo se pretende virtualizar una de red de computadoras para identificar las
vulnerabilidades que presenta el sistema de gestión de contenidos Wordpress y estudiar las técnicas de
intrusión empleados por los atacantes al ganar acceso al sistema. Con el resultado el administrador de
sitio podrá aplicar tecnologías Hardening y garantizar una seguridad eficiente.
Para ello en una maquina con buenas capacidades, se instalara VirtualBox, en ella se implementará una
red con tres computadoras; las que tendran sistemas operativos Windows y Linux.
La configuración de la red se lo realizara con IPV4. En el servidor se implementara el sistema
wordpress y el Cliente2 tendra la distribución “Kali Linux” para ejecutar pruebas de intrusión.
Se aplicara las pruebas de intrusión sobre el sistema Wordpress para identificar las vulnerabilidades
que presenta.

PALABRAS CLAVES:

 Entorno virtual, creación a través de software de una versión virtual de una red de
computadoras, con un sistema operativo, un dispositivo de almacenamiento u otros recursos de
red.
 Ethical Hacking, consiste en la simulación de posibles escenarios donde se reproducen
ataques de manera controlada, esta forma de actuar tiene su justificación en la idea de que:
"Para atrapar a un intruso, primero debes pensar como intruso"
 Kali Linux, es una distribución basada en Debían GNU/Linux diseñada principalmente para la
auditoría y seguridad informática en general.
 Seguridad Informática, disciplina que se encarga de garantizar la confidencialidad, integridad
y la disponibilidad de la información almacenada en un sistema informático.
 Wordpress, plataforma web que permite administrar contenidos dinámicos escritos en
lenguajes pensados para que los entienda un servidor, por ejemplo PHP o MySQL.
 ARCHITECTURE OF A VIRTUAL ENVIRONMENT FOR
ETHICAL HACKING TESTS TO WORDPRESS SYSTEMS

ABSTRACT
Computers around the world are susceptible to being attacked by crackers or hackers
capable of compromising computer systems and stealing valuable information, or erase a
large part of it. This situation makes it imperative to know if these systems and data networks
are protected from any type of intrusions.
In this paper we intend to virtualize a computer network to identify the vulnerabilities
presented by the Wordpress content management system and study the intrusion techniques
used by the attackers gaining access to the system. With the result the site administrator can
apply Hardening technologies to the system and ensure efficient computer security.
For this in a machine with good capabilities, VirtualBox will be installed, it will implement a
network with three computers; which will have Windows and Linux operating systems.
The configuration of the network will be done with IPV4. On the server the wordpress system
will be implemented and Client2 will have the "Kali Linux" distribution to run intrusion tests.
It will apply intrusion tests on the Wordpress system to identify the vulnerabilities that it
presents.

KEYWORDS:

 Virtual environment, creation through software of a virtual version of a computer

network, with an operating system, a storage device or other network resources.
 Ethical Hacking consists of simulating possible scenarios where attacks are played in a
controlled manner, this way of acting has its justification in the idea that: "To catch an
intruder, you must first think as an intruder"
 Kali Linux, is a distribution based on Debian GNU / Linux designed mainly for the audit
and computer security in general.
 Computer Security, a discipline that ensures the confidentiality, integrity and availability
of information stored in a computer system.
 Wordpress, a web platform that allows you to manage dynamic content written in
languages designed to be understood by a server, for example PHP or MySQL

1. INTRODUCCIÓN
Yana Chejo (2017), “No existe sistema informático
cien por ciento seguro, pero en nuestras manos
está la posibilidad de minimizar al máximo los
riesgos de que una amenaza explote una
vulnerabilidad en nuestro sistema”.
WordPress es un software de código abierto que se
emplea para crear fantásticas webs, blogs o
aplicaciones. Es, a tiempo, gratis y de un precio
incalculable. Dicho de forma sencilla, WordPress es
el sistema que emplea cuando se desea trabajar
con una herramienta de publicación en lugar de
pelearte con ella.
Sin duda WordPress es el sistema más empleado
para el desarrollo de sitios web a nivel mundial.
En Bolivia los sitios con extensión .BO que han sido
implementados con el sistema Wordpress
ascienden al 32 %, como se aprecia en la Figura 1.
Figura N° 1. Estadísticas de sitios Web que utilizan
tecnologías CMS en Bolivia que usan la extensión
.BO
Fuente: https://trends.builtwith.com 2017
Si bien es el más usado, no es de extrañarse
también que sea el más hackeado, como lo afirman
en SUCURI “Plataforma de seguridad de sitios
web”, que en su Informe de Sitios Web Hackeados
– 2016 T3 afirman que de cuatro sitios hackeados
tres pertenecen a Wordpress.
Figura N° 2. Distribución de las plataformas de
sitios web infectados T3-2016.
Fuente: SUCURI Blog 2016
Los datos presentados se basan en el análisis de
más de 8.000 sitios web infectados. WordPress
asistió con el 74% del muestreo.
2. MATERIALES Y MÉTODOS
2.1. MATERIALES, los materiales que se empleara
para la implementación del laboratorio se detalla
continuación:
 PC, recomendable i5 con disco duro de 500
GB, una RAM de 32GB como base.
 Virtual Box, que servirá para implementar la
estructura de RED.
 Sistemas Operativos, Windows para
implementar el servidor Apache, servidor
MySQL, CMS Wordpress. Kali Linux con
herramientas para realizar prácticas de
hacking.
 XAMP. Que contiene el servidor Apache y
MySQL para los archivos necesarios.
 CMS Wordpress, para implementar el sitio
web.
2.2. METODOLOGÍA, la puesta en marcha del
entorno virtualizado y practicar hacking a sistemas
Wordpress cubre las fases:
2.2.1. Fase de planeación. La arquitectura del
entorno virtualizado será conformado por un
servidor y dos pc’s clientes, ver Figura 3.
Figura N° 3. Estructura de la red Luego de descargar el instalador de wordpress en
formato .rar, se lo extrae en el directorio
“c:\xammp\htdocs\wordpress”, inicia el navegador
internet explorer y ingrese en el url
http://localhost/wordpress. Ver figura 6.

Figura N° 6. Pantalla inicial de Instalación de

WordPress

Fuente: Elaboración propia 2017

2.2.2. Fase de desarrollo. En VirtualBox se

agrega tres pc’s virtuales las con configuraciones
necesarias en disco duro, RAM, sistemas
operativos, ver Figura 4.

INSTALACIÓN DEL AMBIENTE VIRTUAL (RED)

Figura N° 4. Estructura de redes Fuente: Elaboración propia 2017

Al finalizar la instalación del sistema wordpress, se

tendrá un pc que ofrece servicios web a la red, ver
Figura 7.

Figura N° 7. Apariencia final de Wordpress

Fuente: Elaboración propia 2017

INSTALACIÓN DEL SERVIDOR.

Se instala XAMPP con ella el servidor Apache, para
que comparta nuestro sitio web a los demás en la
red, Mysql para almacenar los datos del sistema
Wordpress, ver Figura 5.

Figura N° 5. Software XAMPP

Fuente: Elaboración propia 2017

INSTALACIÓN DE PC “Cliente 1”.

En máquina virtual “cliente 1”, se instala Windows
7. Hace uso de los servicios web en la red, ver
Figura 8.

Fuente: Elaboración propia 2017

Figura N° 8. Pantalla de PC Cliente. Figura N° 10. Ventana de configuración IPV4 del
servidor.

Fuente: Elaboración propia 2017

INSTALACIÓN DE PC “Cliente 2” Fuente: Elaboración propia 2017

En la maquina “Cliente 2” se instala Kali Linux que
tiene nucleo debían. A través de esta máquina se Se asigna la dirección IP en la maquina “Cliente 1”
realizara los ataques al servidor, ver Figura 9. de la red, ver Figura 11.

Figura N° 11. Ventana de configuración IPV4 del

Figura N° 9. Pantalla de PC Cliente 2. PC Cliente 1.

Fuente: Elaboración propia 2017

CONFIGURACIÓN DE LAS IP’s.

Se asigna la dirección IP la maquina “servidor” de la
red, ver Figura 10.
Fuente: Elaboración propia 2017

Se asigna la dirección IP en la maquina “Cliente 2”

de la red, ver Figura 12.
Figura N° 12. Ventana de configuración IPV4 del Figura N° 15. Vista sitio Wordpress en PC Cliente 1
PC Cliente 2.

Fuente: Elaboración propia 2017

2.2.3. Fase de pruebas. En esta se probara las

funcionalidades de la configuracion de la red, asi
como el servicio web y pruebas de Hacking Ethical.
PRUEBAS DE CONECTIVIDAD EN LA RED.
Conectividad entre pc “Cliente 1” y el pc “servidor”,
ver Figura 13.
Fuente: Elaboración propia 2017
Servicio web entre pc “Cliente 2” y el pc “servidor”,
ver Figura 16.
Figura N° 16. Vista sitio Wordpress en PC Cliente 2

magen N° 13. Ventana ping al servidor web desde

PC Cliente 1.

Fuente: Elaboración propia 2017

Conectividad entre pc “Cliente 2” y el pc “servidor”,

ver Figura 14.
Fuente: Elaboración propia 2017
Imagen N° 14. Ventana ping al servidor web desde
PC Cliente 2. PRUEBAS DE HACKING ETHICAL A SISTEMA
WORDPRESS

Se prueba seguridad de la del sistema wordpress,

para evidenciar si presenta vulnerabilidades dentro
de su configuración empleando la herramienta
WPScan que viene en Kali Linux,

Fuente: Elaboración propia 2017 Se abre una terminal y se ingresa la siguiente línea,

PRUEBAS DE SERVICIO WEB EN LA RED.

Servicio web entre pc “Cliente 1” y el pc “servidor”, Wpscan –-url
ver Figura 15. https://192.168.186.1/wordpress/
-- enumerate u

Ver Figura 17.


Figura N° 17. Ventana de inicio de WPSCAN
Fuente: Elaboración propia 2017
El resultado de la línea de comandos enumera los
usuarios del sistema, en esta caso “admin”, ver
Figura 18
Figura N° 18. Ventana de salida de WPSCAN
Fuente: Elaboración propia 2017
Con el nombre de usuario obtenido, el atacante
podrá realizar un ataque de “fuerza bruta” para
obtener el password, explotar esa vulnerabilidad del
sistema para los intereses del atacante.
3. RESULTADOS Y DISCUSIÓN
Se aprovechó el avance de la tecnología para
estudiar las técnicas de penetración realizada por
un atacante en un entorno controlado.
Para ello se tiene una maquina anfitrión (con
características citadas en el apartado de requisitos)
instalado con el software VirtualBox.
En VirtualBox, se ejecutan una pc “servidor” y dos
pc’s clientes (“Cliente1” y “Cliente2”). El servidor
bajo sistema Windows7 de 32 bits, Cliente1 con
Windows7 de 64 bits y cliente2 con la distribución
Kali Linux.
Se tiene la red virtual funcional con la siguiente
configuración el servidor con ip192.168.186.1/24,
Cliente1 con ip 192.168.186.254/24 y Cliente2 con
ip 192.168.186.253/24.
En el servidor corren los servicios de apache para
servicio web, mysql para gestión base de datos y el
sitio Wordpress implementado.
Se realizó la simulación de un vector de ataques al
sistema wordpress. Ejm. con la herramienta wpscan
se enumeró los usuarios registrados en el sistema,
este ataque permitió identificar a “admin” como
usuario activo; demostrando así la existencia de
esa vulnerabilidad que podría ser aprovechado por
un hacker para hacer daño al institución.
Esa vulnerabilidad debiera permitir al administrador
del sistema prever posibles ataques y mitigar ese
riesgo antes de que sistema Wordpress sea puesto
en producción.
4. CONCLUSIONES.
A nivel mundial, el robo de información va en
crecimiento en los últimos años se ha propagado a
diferentes empresas e instituciones, con necesidad
de tener conectividad desde cualquier punto del
territorio, se expone a sufrir un ataque cibernético y
incrementa el riesgo a la privacidad y a la integridad
de los datos personales.
Ante esta amenaza en crecimiento se tiene la
necesidad de realizar Hardening a nuestros sitios
web para garantizar la confidencialidad, integridad y
disponibilidad de los datos en Internet.
El “entorno virtual”, permite la simulación de
posibles ataques a un objetivo (en este caso
sistema wordpress), esto permite identificar las
vulnerabilidades que presenta; las debiera
sobrellevarlas empleando las buenas prácticas en
seguridad. Así como dispositivos, herramientas de
software y/o mecanismos de defensa.
Aplicar metodologías de Hardening a los sistemas
Wordpress con la información obtenida.
5. BIBLIOGRAFÍA.
Sucuri.(2017). plataforma-de-seguridad-de-sitios-
web. Recuperado de https://sucuri.net/es/
Reyes Plata.(2010).EthicalHacking.Recuperado_de
https://www.seguridad.unam.mx/
Wikipedia.(2007).KaliLinux.Recuperado_de
https://es.wikipedia.org/wiki/
s/n.(2008-2017). seguridad-informatica
.Recuperdado_de https://definicion.de/
Rodríguez García.(2017).ques-
eswordpress.Recuperado_de
https://rootear.com/web/