Planeta WordPress

Creo que ya va siendo hora de aclarar esta cuestión, y zanjar del debate de una vez por todas. A pesar de las dudas, y algunos odiadores, el núcleo de WordPress es, sin duda alguna, el más seguro de todas las plataformas que puedas elegir para crear una web.

Me dirás que una instalación de WordPress puede verse comprometida por culpa de plugins, pero esa es otra cuestión, que además ya hemos tratado hace tiempo.

Recientemente hemos visto historias acerca de un bot que trataba de hacer ataques de fuerza bruta en sitios WordPress, pero debes tener claro que no podía entrar en sitios donde el usuario tenía contraseñas fuertes, tenían la última versión de WordPress y estaban comprometidos con la seguridad de todos los componentes de su instalación.

Pero cómo hay mucho escéptico, lo que no es malo de suyo, vamos a ver si terminamos de aclarar algunas cosas.

Críticas “amistosas”

Durante el verano de 2009 WordPress recibió algunos “toques” de la comunidad de publicación online, debido a cuestiones de seguridad explotadas esos días. Lo que pasaba es que WordPress estaba creciendo enormemente, y recibió algunas críticas, bien y mal intencionadas, que hubo de todo, cuestionando si WordPress era lo suficientemente seguro para los usuarios a los que atraía de manera importante.

Por decirlo de algún modo, lo que se decía era algo así:

“Eh, WordPress, sabemos que eres ambicioso, y eso nos encanta, pero debes asegurar que tu seguridad es a prueba de balas para los usuarios antes de ser tan popular”

Curioso ¿no?, sobre todo cuando en parte venía de usuarios de comunidades de software de publicación con problemas de seguridad sin solucionar hacía años, pero bueno, vamos al tema.

Los desarrolladores del núcleo de WordPress respondieron, y en los siguientes meses se añadieron parches y ajustes de seguridad para afianzar fuera de toda duda que WordPress es uno de los CMS más seguros de Internet. Eso fue hace cuatro años, una eternidad en términos de innovación tecnológica.

El verano de 2009

En unas pocas semanas, en 2009, el equipo del núcleo de WordPress lanzó una serie de 4 parches de seguridad. El equipo cerró de manera rápida y sistemática cualquier factor remanente de inseguridad en el núcleo de WordPress. A finales de ese verano el código base de WordPress empezaba a parecer Fort Knox.

Sin embargo, si tenías alguna instalación en marcha de WordPress en esa época, tuviste que actualizar WordPress bastante a menudo, cada vez que se lanzaba un nuevo parche de seguridad. En total se emitieron seis versiones de WordPress, desde la 2.8.1 el 19 de Julio hasta la 2.8.6 antes de Navidad. Ciertamente fueron un buen montón de actualizaciones. ¿Te acuerdas?

Vale que actualizar WordPress no es difícil, pero actualizaciones cada pocas semanas se hacía pesado. Cada nueva actualización de seguridad implica comprobar compatibilidad de plugins y temas antes de lanzarse, y eso duele a veces. Y lo mismo en cada nueva actualización. Ahora bien, cualquier software solo es seguro en su última versión, así que hay que actualizar siempre a la última versión publicada, que no se te olvide.

Pero vaya, que tener que revisar todo, cada 2 o 3 semanas, en cada sitio que tengas, se hace cansino, y esto no nos tenía contentos, cómo se reconocía en muchos comentarios del blog, y con razón.

En solo 34 días hubo nada menos que 4 actualizaciones de seguridad para WordPress 2.8, y te recuerdo que esto era antes de que tuviésemos herramientas de gestión que nos facilitaran las instalaciones, así que todas las actualizaciones eran manuales.

Vamos, que era un puto infierno y un coñazo.

Y lo peor es que muchos usuarios no actualizaban … y algunos de los sitios de esos usuarios fueron hackeados al funcionar con versiones de WordPress anticuadas (y hablamos solo de unas semanas), lo que nos trae de nuevo la necesidad de tener WordPress actualizado. Así que grábatelo a fuego:

Si estás actualizado estás seguro

Si no estás actualizado eres un objetivo.

El hacking es noticia

En 2009 hubo muchas instalaciones de WordPress, cada vez más, y con toda esta retahíla de actualizaciones fuimos noticia. Hubo una buena cantidad de blogueros e incluso diarios digitales generalistas que ese año hablaron, y mucho, acerca de “los problemas de seguridad de WordPress“, y esto ha quedado en la memoria colectiva de Internet, a pesar de que 4 años en la red es una eternidad en términos de software, pero no es así con la mente humana.

Ahora, cuatro años después, aún no es posible tener un debate sobre WordPress sin que alguien te suelte eso de “Eh, espera ¿es WordPress inseguro?“.

De repente, WordPress tenía una reputación, merecida o no, de ser una plataforma que tenía que estar actualizándose constantemente, y que podría no ser lo suficientemente segura.

La realidad es que ya a finales de 2009 WordPress se había convertido en una plataforma segura y sin problemas para los millones de usuarios que la usábamos, lo mismo para sitios de alto tráfico cómo The New York Times.

La popularidad de WordPress se hacía patente en la ingente cantidad de grandes empresas y organizaciones que migraban a WordPress.

Responsabilidad compartida de los usuarios de WordPress

Los usuarios de WordPress debemos ser responsables de nuestra propia seguridad, de usar contraseñas fuertes y de mantener los plugins y el mismo WordPress actualizado.

Esta responsabilidad debemos asumirla cómo responsabilidad compartida, pues en la mayoría de las ocasiones compartimos alojamiento web con otros usuarios y sitios, que pueden también verse afectados por nuestras malas prácticas.

Suficientemente seguro para ser el más popular

El término “popular” quizás no sea el más acertado, pero a fin de cuentas es verdad y hay que asumirlo. Y es que con 64 millones de instalaciones de WordPress (el 17% de todas las webs están creadas con WordPress), y subiendo, los datos confirman que el partido está ganado. No hay ninguna otra plataforma (Ruby on Rails, Python, etc) que se acerque siquiera a tal nivel de aceptación.

El núcleo de WordPress es lo suficientemente seguro para ese uso masivo, lo que hace todavía más sorprendente que aún haya desarrolladores que sigan con la idea, anticuada y falsa, de una supuesta inseguridad de WordPress.

Es más, con el nivel de implantación actual de WordPress, incluso un 0,0001% de inseguridad sería un problema, pero WordPress sigue creciendo sin problemas y dando servicio a millones de usuarios, administradores y desarrolladores satisfechos.

Las evidencias son claras, así que hay que reabrir el debate de manera activa, blogueando sobre ello, explicando al mundo la realidad de que el núcleo de WordPress es seguro, y que todos los sepan, para cambiar esa falsa memoria colectiva, que sigue coleando desde hace nada menos que 4 años.

WordPress sigue creciendo, mejorando, y convenciendo a cada vez más usuarios, y es una plataforma segura, ágil, potente y sencilla de utilizar y mejorar, y además es software libre.

Así que WordPress merece que también Internet reconozca esa reputación de ser un CMS seguro, ¡difúndelo!, estoy deseando ver enlaces en los comentarios a las entradas de vuestros blogs explicando al mundo que WordPress es seguro.

Tomado está el testigo lanzado por Jason Cosper.

Acaba de salir a la luz la versión 1.7.2 de BuddyPress, una actualización que soluciona un grave problema de seguridad detectado tras la actualización de la versión 1.7.1 por el que podría ser vulnerable de inyecciones SQL, así que actualiza ya mismo sin dudarlo.

Llevo un buen rato recibiendo avisos de que se están produciendo inyecciones de archivos, en concreto de uno denominado “satan.php” en la carpeta “upgrade” de WordPress, así que revisa urgentemente tu instalación para eliminarlo lo antes posible.

La carpeta upgrade, situada dentro de wp-content (o sea, en tusitio.es/wp-content/upgrade/) es la que usa WordPress para los archivos temporales en actualizaciones e instalaciones de plugins y temas.

Pues bien, sin interacción por parte del administrador están apareciendo dentro de esta carpeta archivos como si fueran de una instalación fallida de un tema, en concreto de uno llamado BoxTheme, y dentro de esa carpeta un archivo único denominado satan.php con código malicioso que puede comprometer toda tu instalación de WordPress.

Así que revisa mediante FTP la carpeta upgrade y si encuentras algo así lo borras directamente (esta carpeta debería estar siempre vacía salvo mientras actualizas o instalas algo). A continuación instala algún plugin que te avise de modificaciones en tu instalación, cómo Wordfence o WordPress File Monitor, y protege la carpeta contra escritura cambiando los permisos de la misma a 444 (temporalmente).

Sobre todo, modifica las contraseñas de acceso FTP cuando antes. El fichero es un mal bicho, con 1.420 líneas, algunas ofuscadas, de código que no hace nada bueno, pues prácticamente da acceso a todo tu servidor. No es una amenaza nueva, pero si que hace meses que no se veía, y ahora parece haber renacido. Un posible culpable sería un timthumb sin actualizar.

Si detectas algo más nos lo cuentas para actualizar la información y, por favor, difunde este aviso, que al menos estemos avisados.

Actualizaciones:

• Algunos proveedores de alojamiento, cómo CDmon, reconocen el archivo como virus, y lo borra automáticamente (bien hecho).
  

Cómo hace tiempo que ya vimos cómo hacer para que WordPress se acuerde de ti lo más permanentemente posible, hoy toca justo lo contrario: evitar que WordPress mantenga la cookie de acceso las 2 semanas que dura por defecto.

Porque estar permanentemente conectado puede ser buena idea en el ordenador de tu casa, pero en absoluto es recomendable la conexión activa en tu ordenador portátil o tableta, no digamos en ordenadores compartidos.

Para estas situaciones, y sobre todo para evitar manías habituales, hay un plugin que elimina (no lo oculta) la casilla de “Recuérdame” de la pantalla de acceso, evitando la tentación de marcarla y que WordPress no corte tu conexión durante 14 días y lo haga en cada sesión del ordenador.

No hay nada que configurar, lo instalas, lo activas y listo, en la pantalla de acceso ya no estará la casilla para mantener la conexión 14 días, y la cookie de acceso caducará en cada sesión de tu ordenador o tableta, evitando accesos de extraños.

Ayer ha avisado Sucuri, web especializada en seguridad informática de una grave amenaza de seguridad que afecta a los dos plugins de cache más populares en WordPress: W3 Total Cache y WP Super Cache.

En el informe publicado en el blog de Sucuri, se da detalle del aviso que se hizo en los foros de WordPress.org al respecto de una vulnerabilidad que afectaría a estos plugins.

El problema es gordo, pues permitiría la ejecución de código remoto incluso de manera arbitraria.

La manera de comprobar si te has visto afectado es publicar en un comentario el siguiente código:

<!–mfunc echo PHP_VERSION; –><!–/mfunc–>

Y si tras publicarlo ves la versión de PHP de tu servidor mala noticia, podrías estar afectado. Porque lo que significa es que cualquiera puede ejecutar comandos de código en tu WordPress y se ejecutan gracias a que está habilitado mfunc por obra y gracia de estos plugins, en este caso una nadería pues solo muestras la versión de PHP mediante un echo, ya que es solo una comprobación.

Por cierto, si usas servicios externos cómo Disqus o similares no funcionará.

El problema viene porque los códigos insertados no solo pueden ser mediante mclude sino también mediante código PHP (mfunc), y siempre que abrimos la posibilidad de incluir código PHP directamente se abre la posibilidad de meter código ejecutable, y supone un riesgo.

Los plugins de cache, y en concreto WP Super Cache y W3 Total Cache, guardan las páginas completas en cache, comentarios incluídos, y si contienen trozos de código podrían ejecutarse desde esas versiones cacheadas por parte de alguien con malas intenciones, y cómo WordPress permite usar etiquetas HTML pues está casi todo preparado para que alguien aproveche esa puerta abierta.

Resumiendo … 

Si usas una versión de WP Super Cache anterior a la 1.3 o de W3 Total Cache anterior a la 0.9.2.9 corres el riesgo de una inyección de código PHP. Los comentarios de tu WordPress podrían incluir códigos dinámicos, mediante HTML, y el núcleo de WordPress no los filtraría para controlarlos.

Los plugins de cache, al guardar una versión de esas páginas, incluirían también el código PHP inyectado, y hasta que no se volviera a cachear la página o páginas afectadas, alguien podría ejecutar ese código, o se ejecutaría solo, depende de lo que te hayan metido.

La solución pasa por actualizar los plugins a las últimas versiones que los desarrolladores de ambos han lanzado ya ante la vulnerabilidad, y en las que desactivan mfunc por defecto, que es donde radicaba el problema.

Un día después del ataque mundial de fuerza bruta contra sitios creados con WordPress (y también Joomla), en el Codex de WordPress.org se ha tomado nota y se ha creado una página en la que se dan consejos para evitar este tipo de ataques.

Personalmente hubiese esperado algo más … no sé … ampliado, ya que los consejos que se dan son básicos, quizá demasiado, y ahí el que no me termine de convencer. Pero bueno, los consejos son buenos, y siempre los puedes ampliar con los que di yo el otro día, cuando se produjo el ataque y corrí a avisar.

Básicamente, por si no te manejas bien con el inglés, los consejos que se dan son estos:

• No uses el usuario “admin” que se crea al instalar WordPress por defecto, para lo que ya expliqué hace tiempo cómo cambiarlo, aunque siempre puedes usar el plugin Admin rename extended
• Usa buenas contraseñas, de más de 8 caracteres, incluyendo letras, números y caracteres aleatorios. Hay un montón de generadores de contraseñas por ahí. Otra buena idea es, para evitar la vagancia de los usuarios, forzar el cambio de contraseña y obligar a que sea buena.
• Usa plugins de seguridad para proteger WordPress
• En casos extremos puedes bloquear el acceso a wp-login.php o wp-admin añadiendo al fichero .htaccess una regla que devuelva un error, así:

  ErrorDocument 401 default

• Y otros muchos modos que hay de proteger WordPress con .htaccess
• Activar el mod_security, como expliqué el otro día
• Usar la redirección de “referrers“ para evitar ataques masivos
• Restringir el acceso a wp-admin

Y te dejo unos trucos extra:

• Redirección para accesos fallidos.
• Usa htaccess cómo Firewall
• Protege WordPress contra malware
• Fuerza el reinicio de contraseñas de admin
• Protege WordPress contra inyecciones SQL
• Asegura la instalación de WordPress

Para finalizar, comprueba si tu combinación usuario/clave está en la lista de abajo y cámbiala ya mismo, ya estás tardando:

{\rtf1\ansi\ansicpg1252\cocoartf1138\cocoasubrtf510 {\fonttbl\f0\fmodern\fcharset0 Courier;} {\colortbl;\red255\green255\blue255;} \margl1440\margr1440\vieww10800\viewh8400\viewkind0 \deftab720 \pard\pardeftab720 \f0\fs24 \cf0 admin:5327001012\ admin:5327001012\ admin:5327001012\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ admin:test123\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:775besunny\ jessica:acissej\ jessica:jessica\ jessica:jessicajessica\ jessica:jessica1\ jessica:jessica123\ jessica:jessica111\ jessica:blackrocksolar.org\ jessica:blackrocksolar.org123\ jessica:blackrocksolar\ jessica:blackrocksolar123\ jessica:123456\ jessica:111111\ jessica:123123\ jessica:qwerty\ jessica:123321\ jessica:123456789\ jessica:12345\ jessica:666666\ jessica:456852\ jessica:1234567\ jessica:7777777\ jessica:1234567890\ jessica:159753\ jessica:121212\ jessica:12345678\ jessica:112233\ jessica:123qwe\ jessica:life777\ jessica:555555\ jessica:654321\ jessica:qazwsx\ jessica:gfhjkm\ jessica:123\ jessica:1234\ jessica:000000\ jessica:775besunny\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:!\ admin:!\ admin:!@\ admin:!@\ admin:!@#\ admin:!@#\ admin:!@#$\ admin:!@#$\ admin:!@#$%\ admin:!@#$%\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:!@#$%^\ admin:/\ admin:/\ admin:@dm1n\ admin:@dm1n\ admin:000\ admin:000\ admin:0000\ admin:0000\ admin:00000\ admin:00000\ admin:000000\ admin:000000\ admin:00000000\ admin:00000000\ admin:00009999\ admin:00009999\ admin:0079FC\ admin:0079FC\ admin:012345\ admin:012345\ admin:0123456\ admin:0123456\ admin:01234567\ admin:01234567\ admin:012345678\ admin:012345678\ admin:0123456789\ admin:0123456789\ admin:09876543\ admin:09876543\ admin:098765432\ admin:098765432\ admin:0987654321\ admin:0987654321\ admin:0admin\ admin:0admin\ admin:1\ admin:1\ admin:100827092\ admin:100827092\ admin:1010\ admin:1010\ admin:101032\ admin:101032\ admin:10111979\ admin:10111979\ admin:10203\ admin:10203\ admin:10203040\ admin:10203040\ admin:111\ admin:111\ admin:1111\ admin:1111\ admin:11111\ admin:11111\ admin:111111\ admin:111111\ admin:1111111\ admin:1111111\ admin:11111111\ admin:11111111\ admin:1111111111\ admin:1111111111\ admin:1111114\ admin:1111114\ admin:11112222\ admin:11112222\ admin:111222\ admin:111222\ admin:111222333\ admin:111222333\ admin:111333\ admin:111333\ admin:112211\ admin:112211\ admin:112233\ admin:112233\ admin:11223344\ admin:11223344\ admin:1122334455\ admin:1122334455\ admin:11235813\ admin:11235813\ admin:11qq22ww\ admin:11qq22ww\ admin:12\ admin:12\ admin:12021980\ admin:12021980\ admin:12041961\ admin:12041961\ admin:120688\ admin:120688\ admin:1212\ admin:1212\ admin:121212\ admin:121212\ admin:121314\ admin:121314\ admin:123\ admin:123\ admin:123123\ admin:123123\ admin:123123123\ admin:123123123\ admin:123321\ admin:123321\ admin:1234\ admin:1234\ admin:12341234\ admin:12341234\ admin:1234321\ admin:1234321\ admin:12344321\ admin:12344321\ admin:12345\ admin:12345\ admin:1234554321\ admin:1234554321\ admin:123456\ admin:123456\ admin:1234567\ admin:1234567\ admin:1234567654321\ admin:1234567654321\ admin:12345678\ admin:12345678\ admin:123456789\ admin:123456789\ admin:1234567890\ admin:1234567890\ admin:123456789q\ admin:123456789q\ admin:12345abcde\ admin:12345abcde\ admin:12345qwert\ admin:12345qwert\ admin:12345zxc\ admin:12345zxc\ admin:1234qwer\ admin:1234qwer\ admin:123654\ admin:123654\ admin:123654789\ admin:123654789\ admin:123789\ admin:123789\ admin:123abc\ admin:123abc\ admin:123ewq\ admin:123ewq\ admin:123qwe\ admin:123qwe\ admin:124578\ admin:124578\ admin:12qwaszx\ admin:12qwaszx\ admin:1313\ admin:1313\ admin:131313\ admin:131313\ admin:134679\ admin:134679\ admin:13579\ admin:13579\ admin:135790\ admin:135790\ admin:142536\ admin:142536\ admin:147258\ admin:147258\ admin:147258369\ admin:147258369\ admin:1475369\ admin:1475369\ admin:1475963\ admin:1475963\ admin:147852\ admin:147852\ admin:150887\ admin:150887\ admin:151515\ admin:151515\ admin:159357\ admin:159357\ admin:159753\ admin:159753\ admin:159951\ admin:159951\ admin:179179\ admin:179179\ admin:190782\ admin:190782\ admin:19121968\ admin:19121968\ admin:19681968\ admin:19681968\ admin:1971\ admin:1971\ admin:19851104\ admin:19851104\ admin:19921992\ admin:19921992\ admin:19951995\ admin:19951995\ admin:1q2w3e\ admin:1q2w3e\ admin:1q2w3e4r\ admin:1q2w3e4r\ admin:1q2w3e4r5t\ admin:1q2w3e4r5t\ admin:1q2w3e4r5t6y\ admin:1q2w3e4r5t6y\ admin:1qaz\ admin:1qaz\ admin:1qaz2wsx\ admin:1qaz2wsx\ admin:1qaz2wsx3edc\ admin:1qaz2wsx3edc\ admin:1qazXSW@\ admin:1qazXSW@\ admin:1qazxsw2\ admin:1qazxsw2\ admin:200000\ admin:200000\ admin:2017\ admin:2017\ admin:2020\ admin:2020\ admin:2112\ admin:2112\ admin:212121\ admin:212121\ admin:22\ admin:22\ admin:2222\ admin:2222\ admin:22222\ admin:22222\ admin:222222\ admin:222222\ admin:223344\ admin:223344\ admin:22446688\ admin:22446688\ admin:225588\ admin:225588\ admin:230187\ admin:230187\ admin:232323\ admin:232323\ admin:234567890\ admin:234567890\ admin:2468\ admin:2468\ admin:258456\ admin:258456\ admin:2802\ admin:2802\ admin:290382\ admin:290382\ admin:3030\ admin:3030\ admin:321\ admin:321\ admin:321321321\ admin:321321321\ admin:3214\ admin:3214\ admin:321654\ admin:321654\ admin:33333\ admin:33333\ admin:333333\ admin:333333\ admin:33333333\ admin:33333333\ admin:333666999\ admin:333666999\ admin:334455\ admin:334455\ admin:4187\ admin:4187\ admin:4321\ admin:4321\ admin:4444\ admin:4444\ admin:445566\ admin:445566\ admin:450450\ admin:450450\ admin:456\ admin:456\ admin:456123\ admin:456123\ admin:456800\ admin:456800\ admin:4815162342\ admin:4815162342\ admin:54321\ admin:54321\ admin:555\ admin:555\ admin:55555\ admin:55555\ admin:555555\ admin:555555\ admin:55555555\ admin:55555555\ admin:620149\ admin:620149\ admin:654321\ admin:654321\ admin:6543210\ admin:6543210\ admin:66666\ admin:66666\ admin:666666\ admin:666666\ admin:666999\ admin:666999\ admin:696969\ admin:696969\ admin:7\ admin:7\ admin:7007\ admin:7007\ admin:741852963\ admin:741852963\ admin:753951\ admin:753951\ admin:7654321\ admin:7654321\ admin:777\ admin:777\ admin:7777\ admin:7777\ admin:77777\ admin:77777\ admin:777777\ admin:777777\ admin:7777777\ admin:7777777\ admin:77777778\ admin:77777778\ admin:78787878\ admin:78787878\ admin:789456\ admin:789456\ admin:7895123\ admin:7895123\ admin:7896321\ admin:7896321\ admin:838383\ admin:838383\ admin:852456\ admin:852456\ admin:8675309\ admin:8675309\ admin:88888\ admin:88888\ admin:888888\ admin:888888\ admin:88888888\ admin:88888888\ admin:909090\ admin:909090\ admin:9379992\ admin:9379992\ admin:963852\ admin:963852\ admin:978443\ admin:978443\ admin:987456321\ admin:987456321\ admin:987654\ admin:987654\ admin:987654321\ admin:987654321\ admin:999\ admin:999\ admin:9999\ admin:9999\ admin:99990000\ admin:99990000\ admin:99999\ admin:99999\ admin:999999\ admin:999999\ admin:999999999\ admin:999999999\ admin:a\ admin:a\ admin:a12345\ admin:a12345\ admin:a1b2c3\ admin:a1b2c3\ admin:a1b2c3d4\ admin:a1b2c3d4\ admin:a1s2d3\ admin:a1s2d3\ admin:a1s2d3f4\ admin:a1s2d3f4\ admin:aaa\ admin:aaa\ admin:AAAAAA\ admin:AAAAAA\ admin:aaron\ admin:aaron\ admin:abby\ admin:abby\ admin:abc123\ admin:abc123\ admin:abcd1234\ admin:abcd1234\ admin:accept\ admin:accept\ admin:access\ admin:access\ admin:achtung\ admin:achtung\ admin:acne\ admin:acne\ admin:adam\ admin:adam\ admin:adidas\ admin:adidas\ admin:adm1n\ admin:adm1n\ admin:admin\ admin:admin\ admin:admin!@\ admin:admin!@\ admin:admin:password\ admin:admin:password\ admin:admin1\ admin:admin1\ admin:admin123\ admin:admin123\ admin:admin123456\ admin:admin123456\ admin:adminadmin\ admin:adminadmin\ admin:administrator\ admin:administrator\ admin:adminpass\ admin:adminpass\ admin:adminsupport\ admin:adminsupport\ admin:adrian\ admin:adrian\ admin:alejandra\ admin:alejandra\ admin:alexandr\ admin:alexandr\ admin:america\ admin:america\ admin:andrea\ admin:andrea\ admin:andrew\ admin:andrew\ admin:andrey\ admin:andrey\ admin:angel\ admin:angel\ admin:angela\ admin:angela\ admin:angels\ admin:angels\ admin:anthony\ admin:anthony\ admin:apple\ admin:apple\ admin:apples\ admin:apples\ admin:arizona\ admin:arizona\ admin:arsenal\ admin:arsenal\ admin:artist\ admin:artist\ admin:as12\ admin:as12\ admin:asd\ admin:asd\ admin:asd123\ admin:asd123\ admin:asdasd\ admin:asdasd\ admin:asdasdasd\ admin:asdasdasd\ admin:asdf\ admin:asdf\ admin:asdf12\ admin:asdf12\ admin:asdfg\ admin:asdfg\ admin:asdfgh\ admin:asdfgh\ admin:asdfghjkl\ admin:asdfghjkl\ admin:asdfzxcv\ admin:asdfzxcv\ admin:asdzxc\ admin:asdzxc\ admin:ashley\ admin:ashley\ admin:assass\ admin:assass\ admin:asterix\ admin:asterix\ admin:aToDfc\ admin:aToDfc\ admin:attack\ admin:attack\ admin:AYLRX\ admin:AYLRX\ admin:azerty\ admin:azerty\ admin:banana\ admin:banana\ admin:bandit\ admin:bandit\ admin:barbara\ admin:barbara\ admin:barney\ admin:barney\ admin:baseball1\ admin:baseball1\ admin:basketball\ admin:basketball\ admin:black\ admin:black\ admin:blink182\ admin:blink182\ admin:blog\ admin:blog\ admin:blogadmin\ admin:blogadmin\ admin:blogger\ admin:blogger\ admin:blue\ admin:blue\ admin:bonnie\ admin:bonnie\ admin:booger\ admin:booger\ admin:boroda\ admin:boroda\ admin:brandy\ admin:brandy\ admin:braves\ admin:braves\ admin:brazil\ admin:brazil\ admin:brian\ admin:brian\ admin:bubba\ admin:bubba\ admin:buddy\ admin:buddy\ admin:buster\ admin:buster\ admin:camera\ admin:camera\ admin:canada\ admin:canada\ admin:capitaine\ admin:capitaine\ admin:carolina\ admin:carolina\ admin:cgfhnfr\ admin:cgfhnfr\ admin:changeme\ admin:changeme\ admin:charles\ admin:charles\ admin:charlie\ admin:charlie\ admin:cheese\ admin:cheese\ admin:chelsea\ admin:chelsea\ admin:chicago\ admin:chicago\ admin:chicken\ admin:chicken\ admin:Christ\ admin:Christ\ admin:christia\ admin:christia\ admin:cjkysirj\ admin:cjkysirj\ admin:cjmasterinf\ admin:cjmasterinf\ admin:clock\ admin:clock\ admin:cocacola\ admin:cocacola\ admin:computer\ admin:computer\ admin:cookie\ admin:cookie\ admin:cooper\ admin:cooper\ admin:corona\ admin:corona\ admin:corvette\ admin:corvette\ admin:ctrhtn\ admin:ctrhtn\ admin:cyber\ admin:cyber\ admin:dadada\ admin:dadada\ admin:dallas\ admin:dallas\ admin:daniel\ admin:daniel\ admin:danielle\ admin:danielle\ admin:dantes\ admin:dantes\ admin:david\ admin:david\ admin:debbie\ admin:debbie\ admin:default\ admin:default\ admin:deicide\ admin:deicide\ admin:delta\ admin:delta\ admin:demo\ admin:demo\ admin:denidied\ admin:denidied\ admin:denise\ admin:denise\ admin:diablo\ admin:diablo\ admin:diamond\ admin:diamond\ admin:digital1\ admin:digital1\ admin:disabled\ admin:disabled\ admin:doctor\ admin:doctor\ admin:doggie\ admin:doggie\ admin:dolphin\ admin:dolphin\ admin:dolphins\ admin:dolphins\ admin:don\ admin:don\ admin:donald\ admin:donald\ admin:doudou\ admin:doudou\ admin:dragon\ admin:dragon\ admin:dundee\ admin:dundee\ admin:e10adc3949ba59abbe\ admin:e10adc3949ba59abbe\ admin:56e057f20f883e\ admin:56e057f20f883e\ admin:easytocrack1\ admin:easytocrack1\ admin:einstein\ admin:einstein\ admin:ekaterina\ admin:ekaterina\ admin:elwood\ admin:elwood\ admin:eminem\ admin:eminem\ admin:energy\ admin:energy\ admin:enter\ admin:enter\ admin:evropa\ admin:evropa\ admin:express\ admin:express\ admin:facebook\ admin:facebook\ admin:falcon\ admin:falcon\ admin:fender\ admin:fender\ admin:ferrari\ admin:ferrari\ admin:fishing\ admin:fishing\ admin:fktrcfylh\ admin:fktrcfylh\ admin:fktrctq\ admin:fktrctq\ admin:flower\ admin:flower\ admin:flvbybcnhfnjh\ admin:flvbybcnhfnjh\ admin:focal\ admin:focal\ admin:foobar\ admin:foobar\ admin:football\ admin:football\ admin:football1\ admin:football1\ admin:ford\ admin:ford\ admin:forever\ admin:forever\ admin:freedom\ admin:freedom\ admin:fuck\ admin:fuck\ admin:fuckoff\ admin:fuckoff\ admin:fuckyou\ admin:fuckyou\ admin:fuckyou1\ admin:fuckyou1\ admin:future\ admin:future\ admin:fyfcnfcbz\ admin:fyfcnfcbz\ admin:fylhtq\ admin:fylhtq\ admin:gandalf\ admin:gandalf\ admin:genius\ admin:genius\ admin:george\ admin:george\ admin:gewinner\ admin:gewinner\ admin:gfhfpbn\ admin:gfhfpbn\ admin:gfhjkm\ admin:gfhjkm\ admin:ghbdtn\ admin:ghbdtn\ admin:ghbrjk\ admin:ghbrjk\ admin:ghjgjufylf\ admin:ghjgjufylf\ admin:ghjktnfhcrbq\ admin:ghjktnfhcrbq\ admin:ginger\ admin:ginger\ admin:golden\ admin:golden\ admin:golfer\ admin:golfer\ admin:guest\ admin:guest\ admin:guitar\ admin:guitar\ admin:hacker\ admin:hacker\ admin:hallo\ admin:hallo\ admin:hallo123\ admin:hallo123\ admin:hammer\ admin:hammer\ admin:hannah\ admin:hannah\ admin:happy\ admin:happy\ admin:hardcore\ admin:hardcore\ admin:hedgehog\ admin:hedgehog\ admin:hejsan\ admin:hejsan\ admin:hello\ admin:hello\ admin:helpme\ admin:helpme\ admin:herman\ admin:herman\ admin:hermes\ admin:hermes\ admin:herring\ admin:herring\ admin:Hey\ admin:Hey\ admin:hockey\ admin:hockey\ admin:holden\ admin:holden\ admin:holysh!t\ admin:holysh!t\ admin:house\ admin:house\ admin:iloveyou\ admin:iloveyou\ admin:iloveyou21\ admin:iloveyou21\ admin:impala\ admin:impala\ admin:infinity\ admin:infinity\ admin:INNgft\ admin:INNgft\ admin:insignia\ admin:insignia\ admin:internet\ admin:internet\ admin:ireland\ admin:ireland\ admin:jack\ admin:jack\ admin:jackie\ admin:jackie\ admin:jackson\ admin:jackson\ admin:james\ admin:james\ admin:jasmine\ admin:jasmine\ admin:jason\ admin:jason\ admin:jennifer\ admin:jennifer\ admin:jeremy\ admin:jeremy\ admin:jessica\ admin:jessica\ admin:jktcbr\ admin:jktcbr\ admin:john316\ admin:john316\ admin:joker\ admin:joker\ admin:joshua\ admin:joshua\ admin:junior\ admin:junior\ admin:k.,jdm\ admin:k.,jdm\ admin:kamasutra\ admin:kamasutra\ admin:karen\ admin:karen\ admin:kikugalanetroot\ admin:kikugalanetroot\ admin:killer\ admin:killer\ admin:kirill\ admin:kirill\ admin:knopka\ admin:knopka\ admin:kolobok\ admin:kolobok\ admin:kotenok\ admin:kotenok\ admin:laura\ admin:laura\ admin:lauren\ admin:lauren\ admin:leonard\ admin:leonard\ admin:letmein\ admin:letmein\ admin:lister\ admin:lister\ admin:liverpool\ admin:liverpool\ admin:login\ admin:login\ admin:lol\ admin:lol\ admin:lol123\ admin:lol123\ admin:lollipop\ admin:lollipop\ admin:louise\ admin:louise\ admin:loulou\ admin:loulou\ admin:love\ admin:love\ admin:lovers\ admin:lovers\ admin:lozinka\ admin:lozinka\ admin:lthgfhjkm\ admin:lthgfhjkm\ admin:lucky\ admin:lucky\ admin:maddog\ admin:maddog\ admin:madison\ admin:madison\ admin:madrid\ admin:madrid\ admin:maggie\ admin:maggie\ admin:magic\ admin:magic\ admin:manager\ admin:manager\ admin:maria\ admin:maria\ admin:marina\ admin:marina\ admin:marlboro\ admin:marlboro\ admin:martin\ admin:martin\ admin:martini\ admin:martini\ admin:mary\ admin:mary\ admin:master\ admin:master\ admin:matrix\ admin:matrix\ admin:maverick\ admin:maverick\ admin:maximius\ admin:maximius\ admin:maxwell\ admin:maxwell\ admin:memory\ admin:memory\ admin:mercury\ admin:mercury\ admin:merlin\ admin:merlin\ admin:michael\ admin:michael\ admin:michel\ admin:michel\ admin:mickey\ admin:mickey\ admin:mike\ admin:mike\ admin:mirage\ admin:mirage\ admin:miss\ admin:miss\ admin:monday\ admin:monday\ admin:monica\ admin:monica\ admin:monkey\ admin:monkey\ admin:monkey1\ admin:monkey1\ admin:monster\ admin:monster\ admin:morgan\ admin:morgan\ admin:mother\ admin:mother\ admin:mountain\ admin:mountain\ admin:mozart\ admin:mozart\ admin:muffin\ admin:muffin\ admin:mustang\ admin:mustang\ admin:mypassword\ admin:mypassword\ admin:naruto\ admin:naruto\ admin:nastya\ admin:nastya\ admin:natasha\ admin:natasha\ admin:nathan\ admin:nathan\ admin:ncc1701\ admin:ncc1701\ admin:newyork\ admin:newyork\ admin:ngockhoa\ admin:ngockhoa\ admin:nicole\ admin:nicole\ admin:nikita\ admin:nikita\ admin:nimda\ admin:nimda\ admin:nintendo\ admin:nintendo\ admin:nokia\ admin:nokia\ admin:none\ admin:none\ admin:nopass\ admin:nopass\ admin:oliver\ admin:oliver\ admin:orange\ admin:orange\ admin:oscar\ admin:oscar\ admin:P@$$w0rd\ admin:P@$$w0rd\ admin:P@$$word\ admin:P@$$word\ admin:P@ssw0rd\ admin:P@ssw0rd\ admin:p@ssword\ admin:p@ssword\ admin:Pa$$w0rd\ admin:Pa$$w0rd\ admin:pa$$word\ admin:pa$$word\ admin:Pa55w0rd\ admin:Pa55w0rd\ admin:Pa55word\ admin:Pa55word\ admin:paris\ admin:paris\ admin:parola\ admin:parola\ admin:pass\ admin:pass\ admin:pass1\ admin:pass1\ admin:pass123\ admin:pass123\ admin:pass1234\ admin:pass1234\ admin:passw0rd\ admin:passw0rd\ admin:password\ admin:password\ admin:Password1\ admin:Password1\ admin:password12\ admin:password12\ admin:password123\ admin:password123\ admin:password1234\ admin:password1234\ admin:password12345\ admin:password12345\ admin:password123456\ admin:password123456\ admin:password1234567\ admin:password1234567\ admin:password12345678\ admin:password12345678\ admin:password123456789\ admin:password123456789\ admin:patrick\ admin:patrick\ admin:peace\ admin:peace\ admin:pepper\ admin:pepper\ admin:pepsi\ admin:pepsi\ admin:personal\ admin:personal\ admin:phoenix\ admin:phoenix\ admin:plan\ admin:plan\ admin:pljhjdmt\ admin:pljhjdmt\ admin:poiuyt\ admin:poiuyt\ admin:pokemon\ admin:pokemon\ admin:porno\ admin:porno\ admin:porsche\ admin:porsche\ admin:porshe\ admin:porshe\ admin:power\ admin:power\ admin:princess\ admin:princess\ admin:private\ admin:private\ admin:purple\ admin:purple\ admin:q1q1q1\ admin:q1q1q1\ admin:q1w2e3\ admin:q1w2e3\ admin:q1w2e3r4\ admin:q1w2e3r4\ admin:q1w2e3r4t5\ admin:q1w2e3r4t5\ admin:qazedctgb\ admin:qazedctgb\ admin:qazwsx\ admin:qazwsx\ admin:qazwsxedc\ admin:qazwsxedc\ admin:qazwsxedcrfv\ admin:qazwsxedcrfv\ admin:qazxsw\ admin:qazxsw\ admin:qq\ admin:qq\ admin:qq18ww899\ admin:qq18ww899\ admin:qqqqqq\ admin:qqqqqq\ admin:qqwwee\ admin:qqwwee\ admin:queen\ admin:queen\ admin:qwaszx\ admin:qwaszx\ admin:qwe123\ admin:qwe123\ admin:qweasd\ admin:qweasd\ admin:qweasdzxc\ admin:qweasdzxc\ admin:qweqwe\ admin:qweqwe\ admin:qwert\ admin:qwert\ admin:qwert1\ admin:qwert1\ admin:qwerty\ admin:qwerty\ admin:qwerty1\ admin:qwerty1\ admin:qwerty123\ admin:qwerty123\ admin:qwerty1234\ admin:qwerty1234\ admin:qwerty12345\ admin:qwerty12345\ admin:qwerty123456\ admin:qwerty123456\ admin:qwerty4321\ admin:qwerty4321\ admin:qwerty45\ admin:qwerty45\ admin:qwerty5\ admin:qwerty5\ admin:qwertyu\ admin:qwertyu\ admin:qwertyui\ admin:qwertyui\ admin:qwertyuiop\ admin:qwertyuiop\ admin:qwertyuiop[]\ admin:qwertyuiop[]\ admin:rachel\ admin:rachel\ admin:rainbow\ admin:rainbow\ admin:ramones\ admin:ramones\ admin:rangers\ admin:rangers\ admin:rastaman\ admin:rastaman\ admin:reddog\ admin:reddog\ admin:redwings\ admin:redwings\ admin:richard\ admin:richard\ admin:rocket\ admin:rocket\ admin:roger\ admin:roger\ admin:rolex\ admin:rolex\ admin:root\ admin:root\ admin:rosebud\ admin:rosebud\ admin:roses\ admin:roses\ admin:rtyuehe\ admin:rtyuehe\ admin:rugby\ admin:rugby\ admin:runner\ admin:runner\ admin:rush2112\ admin:rush2112\ admin:russel\ admin:russel\ admin:samson\ admin:samson\ admin:samsung\ admin:samsung\ admin:sandra\ admin:sandra\ admin:saravn\ admin:saravn\ admin:saturn\ admin:saturn\ admin:scooby\ admin:scooby\ admin:scooter\ admin:scooter\ admin:scorpio\ admin:scorpio\ admin:scott\ admin:scott\ admin:secret\ admin:secret\ admin:select\ admin:select\ admin:seo\ admin:seo\ admin:sergey\ admin:sergey\ admin:sergo\ admin:sergo\ admin:shadow\ admin:shadow\ admin:shannon\ admin:shannon\ admin:sierra\ admin:sierra\ admin:silver\ admin:silver\ admin:slipknot\ admin:slipknot\ admin:Smokey\ admin:Smokey\ admin:snoopy\ admin:snoopy\ admin:sobaka\ admin:sobaka\ admin:soccer\ admin:soccer\ admin:soccer1\ admin:soccer1\ admin:sophie\ admin:sophie\ admin:sparky\ admin:sparky\ admin:spartak\ admin:spartak\ admin:spider\ admin:spider\ admin:stalker\ admin:stalker\ admin:star\ admin:star\ admin:starwars\ admin:starwars\ admin:steve\ admin:steve\ admin:success\ admin:success\ admin:summer\ admin:summer\ admin:sunshine\ admin:sunshine\ admin:super\ admin:super\ admin:superadmin\ admin:superadmin\ admin:superman\ admin:superman\ admin:support\ admin:support\ admin:swimming\ admin:swimming\ admin:sydney\ admin:sydney\ admin:sysadmin\ admin:sysadmin\ admin:system\ admin:system\ admin:tecktonik\ admin:tecktonik\ admin:temp123\ admin:temp123\ admin:TempPassWord\ admin:TempPassWord\ admin:teresa\ admin:teresa\ admin:test\ admin:test\ admin:test123\ admin:test123\ admin:tester\ admin:tester\ admin:testing\ admin:testing\ admin:testtest\ admin:testtest\ admin:texas\ admin:texas\ admin:thomas\ admin:thomas\ admin:thunder\ admin:thunder\ admin:thx1138\ admin:thx1138\ admin:tiger\ admin:tiger\ admin:tigers\ admin:tigers\ admin:toor\ admin:toor\ admin:topgun\ admin:topgun\ admin:toyota\ admin:toyota\ admin:trek\ admin:trek\ admin:trustno1\ admin:trustno1\ admin:tundra_cool2\ admin:tundra_cool2\ admin:turtle\ admin:turtle\ admin:united\ admin:united\ admin:user\ admin:user\ admin:user123\ admin:user123\ admin:vavilon\ admin:vavilon\ admin:vfhbyf\ admin:vfhbyf\ admin:vfrcbv\ admin:vfrcbv\ admin:victoria\ admin:victoria\ admin:viking\ admin:viking\ admin:vkontakte\ admin:vkontakte\ admin:voodoo\ admin:voodoo\ admin:voyager\ admin:voyager\ admin:wachtwoord\ admin:wachtwoord\ admin:webmaster\ admin:webmaster\ admin:webmaster1\ admin:webmaster1\ admin:welcome\ admin:welcome\ admin:whatever\ admin:whatever\ admin:william\ admin:william\ admin:winner\ admin:winner\ admin:wordpress\ admin:wordpress\ admin:wsxedc\ admin:wsxedc\ admin:xavier\ admin:xavier\ admin:xx\ admin:xx\ admin:xxxxxx\ admin:xxxxxx\ admin:xxxxxxxx\ admin:xxxxxxxx\ admin:ya\ admin:ya\ admin:yamaha\ admin:yamaha\ admin:ybrekby\ admin:ybrekby\ admin:yellow\ admin:yellow\ admin:yfnfif\ admin:yfnfif\ admin:z1x2c3v4\ admin:z1x2c3v4\ admin:zaq12wsx\ admin:zaq12wsx\ admin:zaq12wsxcde3\ admin:zaq12wsxcde3\ admin:zaq1xsw2\ admin:zaq1xsw2\ admin:zaqwsx\ admin:zaqwsx\ admin:zasada\ admin:zasada\ admin:zephyr\ admin:zephyr\ admin:zeppelin\ admin:zeppelin\ admin:znt,zk.,k.\ admin:znt,zk.,k.\ admin:zoloto\ admin:zoloto\ admin:zxc123\ admin:zxc123\ admin:zxcvbn\ admin:zxcvbn\ admin:zxcvbnm\ admin:zxcvbnm\ admin:zxczxc\ admin:zxczxc\ admin:zzzzzz\ admin:zzzzzz\ admin:zzzzzzzz\ admin:zzzzzzzz\ admin:admin\ chase@blackrocksolar.org:pmcpmc26\ chase@blackrocksolar.org:Pmcpmc26\ chase@blackrocksolar.org:pmcpmc26\ admin:password\ admin:123456789\ admin:123456\ admin:password\ admin:wordpress\ chase@blackrocksolar.org:775besunny\ chase:775besunny\ chase:775besunny\ chase:775besunny\ admin:Admin\ admin:Admin1\ admin:admin1\ admin:wordpress\ admin:adminadmin\ admin:pwd\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:admin\ admin:admin123\ admin:123456\ admin:abc123\ admin:123123\ admin:1q2w3e4r\ admin:password1\ admin:123\ admin:1qaz2wsx\ admin:12345\ admin:1234\ admin:master\ admin:12345678\ admin:letmein\ admin:123qwe\ admin:123654\ admin:123321\ admin:1234567\ admin:passw\ admin:passwd\ admin:pass1234\ admin:admin\ admin:123456789\ admin:123456\ admin:pass\ admin:password\ admin:1q2w3e4r\ admin:q1w2e3r4\ admin:master\ admin:test123\ admin:1qaz2wsx\ admin:12345\ admin:qwerty\ admin:parola\ admin:1234\ admin:password1\ admin:qwerty\ admin:123123\ admin:adidas\ admin:121212\ admin:star\ admin:merlin\ admin:alexandra\ admin:green\ admin:123456789\ admin:123abc\ admin:abc123\ admin:sunny\ admin:webmaster\ admin:qwaszx\ admin:q1w2e3r4\ admin:1111\ admin:qweasd\ admin:123qwe\ admin:power\ admin:qweqwe\ admin:jordan23\ admin:1234\ admin:123123\ admin:123654\ admin:alex\ admin:start\ admin:stella\ admin:test\ admin:online\ admin:cookies\ admin:nintendo\ admin:1q2w3e\ admin:asdfghjkl\ admin:asdfasdf\ admin:jackson\ admin:asdasd\ admin:test123\ admin:spider\ admin:123\ admin:passw0rd\ admin:fuckoff\ admin:letmein\ admin:batman\ admin:garfield\ admin:abcdef\ admin:metallica\ admin:111\ admin:tester\ admin:password\ admin:112233\ admin:password1\ admin:admin\ admin:qaz123\ admin:qwerty\ admin:melanie\ admin:master\ admin:qwe123\ admin:123321\ admin:monkey\ admin:shadow\ admin:qwe\ admin:654321\ admin:welcome\ admin:flower\ admin:zxcvbnm\ admin:123ewq\ admin:superman\ admin:111111\ admin:112233\ admin:asdasd\ admin:123456\ admin:admin\ admin:pass\ admin:p@ss\ admin:pword\ admin:passwd\ admin:admin1\ admin:admin\ admin:pass\ admin:p@ss\ admin:pword\ admin:passwd\ admin:admin1\ admin:12\ admin:1234\ admin:12345678\ admin:123321\ admin:121212\ admin:12345\ admin:adm\ admin:admins\ admin:admin\ admin:admin123\ admin:12345\ admin:computer\ admin:liverpool\ admin:baseball\ admin:999999\ admin:qwertyuiop\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:admin\ admin:12345\ admin:123456\ admin:12admin34\ admin:123\ admin:1234\ admin:12345678\ admin:1234567890\ admin:123321\ admin:121212\ admin:adm\ Admin:333333\ Admin:asdfghjkl\ Admin:passwd\ Admin:parol\ Admin:pass\ admin:admins\ admin:administrator\ admin:administrators\ admin:Admin\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:qwerty\ admin:jesus\ admin:test\ admin:love\ admin:hello\ admin:trustno1\ admin:christ\ admin:sunshine\ admin:princess\ admin:tigger\ admin:angel\ admin:jesus1\ admin:whatever\ admin:freedom\ admin:asdf\ admin:soccer\ admin:michael\ admin:cheese\ admin:internet\ admin:joshua\ admin:blessed\ admin:purple\ admin:jordan\ admin:faith\ admin:summer\ admin:ashley\ admin:buster\ admin:heaven\ admin:pepper\ admin:hunter\ admin:lovely\ admin:andrew\ admin:thomas\ admin:angels\ admin:charlie\ admin:daniel\ admin:jennifer\ admin:single\ admin:hannah\ admin:happy\ admin:pass\ admin:amanda\ admin:nothing\ admin:ginger\ admin:mother\ admin:snoopy\ admin:jessica\ admin:welcome\ admin:pokemon\ admin:iloveyou1\ admin:11111\ admin:mustang\ admin:helpme\ admin:justin\ admin:jasmine\ admin:orange\ admin:testing\ admin:apple\ admin:michelle\ admin:peace\ admin:secret\ admin:1\ admin:grace\ admin:william\ admin:iloveyou2\ admin:nicole\ admin:muffin\ admin:gateway\ admin:fuckyou1\ admin:hahaha\ admin:poop\ admin:blessing\ admin:blahblah\ admin:myspace1\ admin:matthew\ admin:canada\ admin:silver\ admin:robert\ admin:forever\ admin:rachel\ admin:rainbow\ admin:guitar\ admin:peanut\ admin:cookie\ admin:bailey\ admin:soccer1\ admin:mickey\ admin:biteme\ admin:hello1\ admin:eminem\ admin:dakota\ admin:samantha\ admin:compaq\ admin:diamond\ admin:taylor\ admin:forum\ admin:john316\ admin:richard\ admin:blink182\ admin:peaches\ admin:cool\ admin:flower\ admin:scooter\ admin:banana\ admin:james\ admin:victory\ admin:london\ admin:startrek\ admin:george\ admin:winner\ admin:maggie\ admin:trinity\ admin:online\ admin:123abc\ admin:chicken\ admin:junior\ admin:chris\ admin:passw0rd\ admin:austin\ admin:sparky\ admin:merlin\ admin:google\ admin:friends\ admin:hope\ admin:shalom\ admin:nintendo\ admin:looking\ admin:harley\ admin:smokey\ admin:7777\ admin:joseph\ admin:lucky\ admin:church\ admin:friend\ admin:god\ admin:destiny\ admin:microsoft\ admin:bubbles\ admin:cocacola\ admin:jordan23\ admin:ilovegod\ admin:football1\ admin:loving\ admin:nathan\ admin:emmanuel\ admin:scooby\ admin:fuckoff\ admin:sammy\ admin:maxwell\ admin:jason\ admin:john\ admin:baby\ admin:red123\ admin:blabla\ admin:prince\ admin:qwert\ admin:chelsea\ admin:55555\ admin:angel1\ admin:hardcore\ admin:dexter\ admin:saved\ admin:hallo\ admin:jasper\ admin:danielle\ admin:kitten\ admin:cassie\ admin:stella\ admin:prayer\ admin:hotdog\ admin:sdfgfdgjjretjl\ admin:@e74jnsw\ admin:xiwmfg1&82\ danporras:f*ck\ tom:fuck\ jessica:connect\ tom:f*ck\ admin:+mw^jhenbs\ admin:!@#qwe\ admin:!Q@W#E\ admin:!QAZxsw2\ admin:10203\ admin:12345\ admin:1\ admin:111\ admin:1111\ admin:11111\ admin:111111\ admin:111222\ admin:112233\ Admin:pas\ Admin:12344321\ Admin:88888888\ Admin:789456\ Admin:password1\ admin:1212\ admin:123\ admin:123!@#\ Admin:password12\ Admin:password123\ Admin:password1234\ Admin:password12345\ Admin:administrator\ admin:123123\ admin:12321\ admin:123321\ admin:123321123\ admin:1234\ admin:12341234\ admin:12345\ admin:123456\ admin:1234567\ admin:12345678\ admin:123456789\ admin:1234567890\ admin:12345qwe\ admin:12345qwert\ admin:1234abcd\ admin:1234qwer\ admin:123654\ admin:12369874\ admin:123abc\ admin:123abc123\ admin:123admin\ admin:123qaz\ admin:123qwe\ admin:123qwe123qwe\ admin:123qweasd\ admin:123zxc\ admin:12qwaszx\ admin:147258\ admin:147852\ admin:159357\ admin:159753\ admin:171717\ admin:181818\ admin:1a2b3c\ admin:1a2b3c4d\ admin:1q2w3e\ admin:1q2w3e4\ admin:1q2w3e4r\ admin:1q2w3e4r5\ admin:1q2w3e4r5t\ admin:1q2w3e4r5t6y\ admin:1q2w3e4r5t6y7u8i9o0p\ admin:1qa2ws3ed\ admin:1qaz\ admin:1qaz2wsx\ admin:1qaz2wsx3edc\ admin:1qaz2wsx3edc4rfv5tgb6yhn7ujm\ admin:1qaz@WSX\ admin:1qazse4\ admin:1qazxsw2\ admin:1qazxsw23edc\ admin:1z2x3c\ admin:2009\ admin:2013\ admin:202020\ admin:22\ admin:222222\ admin:22222222\ admin:232323\ admin:2wsx3edc\ admin:2wsxzaq1\ admin:321321\ admin:333\ admin:4444\ admin:4444444444\ admin:456852\ admin:4dm1n\ admin:4dm1n1str4t0r\ admin:admin\ admin:4rfvbgt5\ admin:5555555\ admin:654321\ admin:666666\ admin:789789\ admin:12345678 \ admin:8675309\ admin:951753\ admin:123456\ admin:963852741\ admin:987654\ admin:999999\ admin:999999\ admin:ABC123\ admin:Admin123\ admin:P455w0rd\ admin:P@$w0rd\ admin:P@55w0rd\ admin:P@ssw0rd\ admin:P@ssw0rd1\ admin:P@ssword\ admin:P@ssword123\ admin:Pa$w0rd\ admin:Pa55w0rd\ admin:Pa55word\ admin:Pass123\ admin:Pass1234\ admin:Pass12345\ admin:Passw0rd\ admin:Passw0rd1\ admin:Password!\ admin:Password1\ admin:Password123\ admin:Password1234\ admin:a123456\ admin:a1b2c3d4\ admin:a1s2d3f4\ admin:aaaa\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:abc123\ admin:abc123456\ admin:abcd\ admin:abcd1234\ admin:abcdef\ admin:access\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:access!\ admin:adm\ admin:adm1n\ admin:admin\ admin:admin!\ admin:admin!@#\ admin:admin007\ admin:admin01\ admin:admin1\ admin:admin12\ admin:admin123\ admin:admin1234\ admin:admin123456\ admin:admin2010\ admin:admin2011\ admin:admin2012\ admin:admin2012\ admin:admin2013\ admin:admin5\ admin:adminadmin\ admin:adminadmin123\ admin:administrator\ admin:adminpassword\ admin:admins\ admin:aircraft\ Admin:admin\ Admin:support\ Admin:system\ Admin:manager\ Admin:super\ Admin:god\ Admin:1\ Admin:admin123\ Admin:11111111\ Admin:12\ admin:alberto\ admin:alex\ admin:ali\ admin:alpha\ admin:alpine\ admin:amadeus\ admin:america\ admin:andrea\ admin:angela\ admin:angelika\ admin:animal\ admin:anna\ admin:antje123\ admin:antje123\ admin:anton123\ admin:apollo13\ admin:apple\ admin:apples\ admin:arianne\ admin:arrow\ admin:asd123\ admin:asdasd\ admin:asdf\ admin:asdfasdf\ admin:asdfgh\ admin:asdfghjkl\ admin:asdfjkl\ admin:astrid\ admin:baseball\ admin:bastard\ admin:bernard\ admin:bettina\ admin:bigdog\ admin:book\ admin:boss\ admin:bruno\ admin:buster\ admin:c00p3r\ admin:carmen\ admin:caroline\ admin:cartoon\ admin:casper\ admin:cccccc\ admin:changeme\ admin:cheese\ admin:cheyenne\ admin:classic\ admin:cluster\ admin:columbia\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:company\ admin:compaq\ admin:control\ admin:counter\ admin:d0lph1n\ admin:dance\ admin:daniel\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:daniela\ admin:david\ admin:default\ admin:demo\ admin:design\ admin:dietcoke\ admin:dreamer\ admin:drowssap\ admin:e3w2q1\ admin:edison\ admin:!@#qwe\ admin:elisabeth\ admin:elise\ admin:enter\ admin:erik\ admin:erwin\ admin:expert\ admin:explorer\ admin:f00bar\ admin:falcon\ admin:fckgwrhqq2\ admin:firefox\ admin:!Q@W#E\ admin:flowers\ admin:foo\ admin:foobar\ admin:football\ admin:fr33d0m\ admin:fred\ admin:garfield\ admin:global\ admin:gold\ admin:golfer\ admin:!QAZxsw2\ admin:gustav123\ jessica:JMR9760\ jessica:JMR9760\ jessica:JMR9760\ admin:hacked\ admin:hacker\ admin:hacker123\ admin:hahaha\ admin:hammer\ admin:hamster\ admin:heiko\ admin:hitler\ admin:hotmail\ admin:iapula\ admin:iloveyou\ admin:indiana\ admin:info\ admin:inside\ admin:ivory\ admin:jackass\ admin:johann\ admin:john316\ admin:julie123\ admin:passwd\ admin:junior\ admin:10203\ admin:karl\ admin:katrin\ admin:katrin123\ admin:killer\ admin:l3tm3in\ admin:laura\ admin:legend\ jepser:WRONG_PASSWORD\ jepser:jepser\ jepser:blackrocksolar.org\ jepser:blackrocksolar.org1\ jepser:WRONG_PASSWORD\ jepser:jepser111\ jepser:jepser123\ jepser:jepser1\ jepser:blackrocksolar.org123\ jepser:blackrocksolar\ jepser:123jepser\ jepser:1jepser\ jepser:12345\ jepser:password\ jepser:123456\ jepser:admin\ jepser:admin123\ jepser:1234567\ jepser:123456789\ jepser:passw0rd\ jepser:password1\ admin:letmein\ admin:letmein123\ admin:lewis\ admin:limited\ admin:12345\ admin:linux\ admin:lisa123\ admin:liverpool\ admin:localhost\ admin:login\ admin:m4rlb0r0\ admin:magnet\ admin:manager\ admin:marcel\ admin:marcel\ admin:marlboro\ admin:martina\ admin:1\ admin:master\ admin:master12\ admin:masterkey\ admin:matrix\ admin:matthias\ admin:maverick\ admin:max\ admin:admin\ admin:melanie123\ admin:123456\ admin:merlin\ admin:michel\ admin:123\ admin:michel123\ admin:111\ admin:12345\ admin:michelle123\ admin:1234\ admin:mihai\ admin:5327001012\ admin:5327001012\ admin:5327001012\ jessica:775besunny\ admin:5327001012\ admin:5327001012\ admin:5327001012\ admin:123321\ admin:mike\ admin:121212\ admin:milan\ admin:123123\ admin:mnbvcxz\ admin:mona\ admin:12345678\ admin:pass1234\ admin:monika\ admin:1234567890\ admin:monster\ admin:12admin34\ admin:moritz\ admin:abc12345\ admin:mouse\ admin:1111\ admin:gfhjkm\ admin:muller\ admin:network\ admin:qwerty\ admin:newpass\ admin:pass\ admin:newpassword\ admin:adminadmin\ admin:nirvana\ admin:administrator\ admin:noaccess\ admin:nopassword\ admin:norman\ admin:office\ admin:olga123\ admin:11111\ admin:oliver\ admin:oliver123\ admin:olivier\ admin:online\ admin:onlyme\ admin:owned\ admin:p0o9i8u7\ admin:qwerty\ admin:p0o9i8u7y6t5\ admin:p455w0rd\ admin:p4ssw0rd\ admin:p4ssword\ admin:111111\ admin:p@$w0rd\ admin:p@55w0rd\ admin:p@ss123\ admin:#@F#GBH$R^JNEBSRVWRVW\ admin:#@F#GBH$R^JNEBSRVWRVW\ admin:p@ssw0rd\ admin:p@ssword\ admin:pa$w0rd\ admin:gatbl\ admin:gatbl\ administrator:ajbehg\ administrator:ajbehg\ admin1:qdxcwkt\ admin1:qdxcwkt\ user:imff\ user:imff\ support:rsihbbg\ support:rsihbbg\ test:cvmim\ test:cvmim\ adm:lcnk\ manager:tfrlio\ adm:lcnk\ manager:tfrlio\ qwerty:dluls\ qwerty:dluls\ admin:pa$word\ admin:pa55w0rd\ admin:pa55word\ admin:$#GBERBSTGBR%GSERHBSR\ admin:$#GBERBSTGBR%GSERHBSR\ admin:nhhv\ admin:nhhv\ user:qurb\ user:qurb\ support:yavcmf\ support:yavcmf\ adm:sjbfixe\ adm:sjbfixe\ test:iewew\ test:iewew\ manager:cnehsv\ manager:cnehsv\ admin1:wlkxhpx\ admin1:wlkxhpx\ qwerty:ksii\ qwerty:ksii\ administrator:hqoys\ administrator:hqoys\ admin:pamela\ admin:111222\ admin:panasonic\ admin:parola\ admin:pass\ admin:pass123\ admin:RGA%BT%HBSERGAEEAHAEH\ admin:RGA%BT%HBSERGAEEAHAEH\ admin:pass1234\ admin:qweqwe\ admin:passpass\ admin:passw0rd\ admin:passwd\ admin:passwd1\ admin:password\ admin:112233\ admin:aethAEHBAEGBAEGEE%\ admin:aethAEHBAEGBAEGEE%\ admin:password1\ admin:password123\ admin:patrick\ admin:paul\ admin:paul123\ admin:penguin\ admin:%G#GBAEGBW%HBFGBFXGB\ admin:%G#GBAEGBW%HBFGBFXGB\ jepser:jepser\ jepser:jepser\ danporras:danporras\ danporras:danporras\ rose:rose\ rose:rose\ tom:tom\ tom:tom\ jessica:jessica\ jessica:jessica\ admin:pentium\ admin:admin\ admin:!\ admin:qazwsx\ admin:money\ admin:admin123\ admin:!@#$%^\ admin:!@#\ admin:monkey\ admin:123456\ admin:1234567\ admin:a123456\ admin:test123\ admin:pass\ admin:1qaz2wsx\ admin:password\ admin:7777\ admin:!@\ admin:nicole\ admin:111111\ admin:777\ admin:123456789\ admin:!@#$\ admin:changeme\ admin:1q2w3e4r\ admin:#@!\ admin:letmein\ admin:654321\ admin:12345\ admin:freedom\ admin:michael\ admin:77777\ admin:passw0rd\ admin:1111\ admin:abc123\ admin:p@ssw0rd\ admin:123abc\ admin:1234qwer\ admin:abcd1234\ admin:123123\ admin:P@ssw0rd\ admin:asd123\ admin:q1w2e3r4\ admin:!@#$%^\ admin:password123\ admin:123\ admin:p@ssword\ admin:passwd\ admin:12345678\ admin:1234\ admin:11111\ admin:777777\ admin:test\ admin:password1\ admin:1q2w3e\ admin:jessica\ admin:asdf1234\ admin:trustno1\ admin:!@#$%^\ admin:121212\ admin:superman\ admin:1qazxsw2\ admin:123321\ admin:!@#$%\ admin:112233\ admin:123qwe\ admin:##\ admin:pass1234\ admin:000000\ admin:root\ admin:qwer1234\ admin:QWERTY\ admin:master\ admin:qwerty\ admin:money4me\ admin:0000\ admin:pass123\ admin:football\ admin:princess\ admin:555555\ admin:blog\ admin:a1b2c3\ admin:super123\ admin:administrator\ admin:12qwaszx\ admin:qwerty123\ admin:hello\ admin:computer\ admin:admin!\ admin:a1b2c3d4\ admin:666666\ admin:###\ admin:666\ admin:321\ admin:wordpress\ admin:welcome\ admin:Password\ admin:123456a\ admin:111\ admin:samsung\ admin:54321\ admin:1q2w3e4r5t\ admin:secret\ admin:google\ admin:daniel\ admin:aaaaaa\ admin:66666\ admin:admin1\ admin:qwertyuiop\ admin:fuckyou\ admin:lol\ admin:iloveyou\ admin:7777777\ admin:12345a\ admin:qwerty12\ admin:q1w2e3\ admin:123asd\ admin:sunshine\ admin:success\ admin:jordan23\ admin:1234abcd\ admin:pussy\ admin:baseball\ admin:hello123\ admin:6666\ admin:a12345\ admin:yahoo\ admin:starwars\ admin:soccer\ admin:asdfgh\ admin:1a2b3c4d\ admin:zxcvbn\ admin:qwert\ admin:lol123\ admin:bailey\ admin:apple\ admin:azerty\ admin:abc123456\ admin:123456abc\ admin:shadow\ admin:charlie\ admin:ashley\ admin:killer\ admin:jesus\ admin:admin111\ admin:matthew\ admin:blink182\ admin:babygirl\ admin:qaz123\ admin:love\ admin:thomas\ admin:john316\ admin:jennifer\ admin:ADMIN\ admin:*\ admin:$creen10\ admin:aaa111\ admin:123456ab\ admin:kathmandu\ admin:dragon\ admin:william\ admin:rockyou\ admin:qweasd\ admin:ginger\ admin:chelsea\ admin:1a2b3c\ admin:$cript\ admin:qwe\ admin:joshua\ admin:george\ admin:angel\ admin:michelle\ admin:madison\ admin:jordan\ admin:zxccxz\ admin:naruto\ admin:mustang\ admin:happy\ admin:andrew\ admin:12345678a\ admin:->\ admin:$y$tem\ admin:richard\ admin:patrick\ admin:david\ admin:brandon\ admin:tigger\ admin:money123\ admin:hunter\ admin:diamond\ admin:blessed\ admin:samantha\ admin:red123\ admin:pepper\ admin:jasmine\ admin:james\ admin:buddy\ admin:$dolar$\ admin:rocky\ admin:scooter\ admin:justin\ admin:harley\ admin:buster\ admin:bond007\ admin:temporal\ admin:robert\ admin:lucky\ admin:qazqaz123\ admin:mypass\ admin:heather\ admin:amanda\ admin:a12345678\ admin:www\ admin:taylor\ admin:mirror\ admin:longhorn\ admin:enter\ admin:columb\ admin:chocolat\ admin:beagle\ admin:phoenix\ admin:please\ admin:private\ admin:purple\ admin:1212\ admin:q\ admin:q1w2e3\ admin:q1w2e3r4\ admin:q1w2e3r4t5\ admin:qawsedrf\ admin:qaz123\ admin:qaz123wsx\ admin:qazwsx\ admin:qazwsx123\ admin:qazxsw\ admin:123\ admin:qwe123\ admin:qweasd\ admin:qweasdzxc\ admin:qwer123\ admin:qwer1234\ admin:qwerasdf\ admin:qwert\ admin:qwerty\ admin:12345\ admin:qwerty12\ admin:qwerty123\ admin:123!@#\ admin:qwezxc\ admin:radio\ admin:rainbow\ admin:redalert\ admin:123456\ admin:123456\ admin:redhat\ admin:remember\ admin:rewq4321\ admin:rock\ admin:qwerty\ admin:qwerty\ admin:111111\ admin:111111\ admin:1234567\ admin:1234567\ admin:666666\ admin:666666\ admin:romania\ admin:root\ admin:root123\ admin:123123\ admin:rootpass\ admin:123456\ admin:666666\ admin:666666\ admin:rootuser\ admin:samsung\ admin:666666\ admin:666666\ admin:sandra\ admin:secret\ admin:12345678\ admin:12345678\ admin:secret1\ admin:secret123\ admin:7777777\ admin:7777777\ admin:siemens\ admin:sistemas\ admin:123321\ admin:123321\ admin:site\ admin:12321\ admin:soleil\ admin:spiderman\ admin:star\ admin:654321\ admin:654321\ admin:start\ admin:success\ admin:1234567890\ admin:1234567890\ admin:sugipula\ admin:sun123\ admin:123123\ admin:123123\ admin:sunny\ admin:super\ admin:555555\ admin:555555\ admin:superman\ admin:123321\ admin:superuser\ admin:gfhjkm\ admin:gfhjkm\ admin:swordfish\ admin:123321\ admin:sysadmin1234\ admin:159753\ admin:159753\ admin:system\ admin:system12\ admin:777777\ admin:777777\ admin:systemadmin\ admin:qazwsx\ admin:qazwsx\ admin:tatiana\ admin:techno\ admin:1q2w3e\ admin:1q2w3e\ admin:temp\ admin:temp123\ admin:112233\ admin:112233\ admin:123321123\ admin:temp1234\ admin:tempass\ admin:121212\ admin:121212\ admin:temporal\ admin:terminator\ admin:qwertyuiop\ admin:qwertyuiop\ admin:blackrocksolar\ admin:test\ admin:aviyyqw\ admin:aviyyqw\ admin1:kbmak\ admin1:kbmak\ test:vtbeayd\ test:vtbeayd\ support:lowdo\ support:lowdo\ qwerty:hmpkp\ qwerty:hmpkp\ user:ektbeg\ manager:whljgpp\ user:ektbeg\ manager:whljgpp\ adm:fxegkw\ adm:fxegkw\ aaa:pdih\ administrator:tfpc\ aaa:pdih\ administrator:tfpc\ root:bvwnlf\ root:bvwnlf\ admin:test1\ admin:987654321\ admin:987654321\ admin:test123\ admin:zxcvbn\ admin:zxcvbn\ admin:test1234\ admin:fepahp\ admin:fepahp\ adm:igjjs\ adm:igjjs\ admin1:oiscp\ admin1:oiscp\ root:ddbpsd\ root:ddbpsd\ aaa:rkml\ aaa:rkml\ sysadmin:tyxnihl\ qwerty:lttow\ qwerty:lttow\ sysadmin:tyxnihl\ support:qwcg\ support:qwcg\ administrator:wnwdbiq\ administrator:wnwdbiq\ test:abfihyd\ test:abfihyd\ manager:cpqmmo\ manager:cpqmmo\ user:grxflg\ user:grxflg\ admin:test12345\ admin:121212\ admin:zxcvbnm\ admin:zxcvbnm\ admin:test2009\ admin:1234\ admin:test999\ admin:999999\ admin:999999\ admin:teste\ admin:testing\ admin:samsung\ admin:samsung\ admin:theplanet\ admin:thomas\ admin:ghbdtn\ admin:ghbdtn\ admin:tim123\ admin:1q2w3e4r\ admin:1q2w3e4r\ admin:toor\ admin:toto\ admin:1111111\ admin:1111111\ admin:user123\ admin:123654\ admin:123654\ admin:valerie123\ admin:vera\ admin:159357\ admin:159357\ admin:website\ admin:12341234\ admin:131313\ admin:131313\ admin:gxfcbx\ admin:gxfcbx\ admin:welcome\ admin1:utur\ admin1:utur\ administrator:vydrww\ administrator:vydrww\ user:alch\ user:alch\ support:dhcvji\ support:dhcvji\ test:qxwh\ test:qxwh\ adm:ncpfxh\ adm:ncpfxh\ aaa:hgqxk\ aaa:hgqxk\ manager:pgqmrv\ manager:pgqmrv\ qwerty:ohyit\ qwerty:ohyit\ sysadmin:bhojnlr\ sysadmin:bhojnlr\ root:cufvqdr\ root:cufvqdr\ admin:welcome1\ admin:qazwsxedc\ admin:qazwsxedc\ admin:andrew\ admin:andrew\ admin:charlie\ admin:charlie\ admin:bubbles\ admin:bubbles\ admin:welcome123\ admin:123qwe\ admin:123qwe\ admin:windows\ admin:wizard\ admin:222222\ admin:222222\ admin:woody\ admin:z1x2c3\ admin:adm\ admin:zaq123edc\ admin:zaq12wsx\ admin:admin\ admin:zaq1xsw2\ admin:12345\ admin:zaq1xsw2cde3\ admin:zexzex\ admin:zxasqw12\ admin:zxcv\ admin:zxcv1234\ admin:zxcvbnm\ admin:0987654321\ admin:222222\ admin:222222\ admin:987654321\ admin:asdfgh\ admin:asdfgh\ admin:87654321\ admin:333333\ admin:333333\ admin:123456\ admin:7654321\ admin:12344321\ admin:12344321\ admin:admins\ admin:88888888\ admin:88888888\ admin:54321\ admin:321\ admin:789456\ admin:789456\ admin:qwertyu\ admin:qwertyu\ admin:hscwrif\ admin:hscwrif\ admin1:mnuqea\ admin1:mnuqea\ administrator:aqwxnp\ administrator:aqwxnp\ user:ndiht\ user:ndiht\ support:xojaq\ support:xojaq\ test:ckch\ test:ckch\ adm:tves\ adm:tves\ aaa:qsfv\ aaa:qsfv\ manager:gurrpsx\ manager:gurrpsx\ qwerty:kxogdt\ qwerty:kxogdt\ sysadmin:wvsnwen\ sysadmin:wvsnwen\ root:epbhdcb\ root:epbhdcb\ admin:1q2w3e4r5t\ admin:1q2w3e4r5t\ admin:0000\ admin:1234567\ admin:toor\ admin:iloveyou\ admin:iloveyou\ admin:00000\ admin:password\ admin:password\ admin:000000\ admin:qweasdzxc\ admin:qweasdzxc\ admin:10203\ admin:10203\ admin:00000000\ admin:000000000\ admin:1111\ admin:0000000000\ admin:12345678\ admin:888888\ admin:888888\ admin:qwertyuiop[]\ admin:qwertyuiop[]\ }

Hoy se está registrando un intento desproporcionado de intentos de acceso a sitios creados con WordPress que está provocando no pocos problemas a administradores de webs y sistemas.

El proceso está tratando de forzar accesos cómo administrador a través de la pantalla de login (wp-login.php) mediante scripts de ataque de fuerza bruta, con la intención de inyectar código script malicioso en el tema activo.

Si tienes activo el módulo de WordFence de bloqueo de IPs ante intentos masivos de acceso ya sabes de lo que estoy hablando porque habrás tenido, cómo yo, un día entretenido de avisos de IPs bloqueadas por este motivo, la mayoría desde Rusia o países de la antigua URSS.

Para evitar este tipo de ataques tenemos dos herramientas eficaces e inmediatas:

1. Avisa a tu proveedor de alojamiento del problema y pide que te activen el módulo mod_security de Apache.
   Para saber más sobre mod_security te recomiendo descargar la guía que hizo Samuel Aguilera, que indica las protecciones que ofrece y cómo saltárselas puntualmente, pero siempre sabiendo lo que haces. Encuentras el enlace al PDF al final del artículo enlazado.
2. Instala y activa el plugin Wordfence y comprueba que están activas las reglas de Firewall (por defecto no están activas), que podrían ser cómo en esta captura:
   

   Nota: El valor de “If a human’s page views exceed” debes modificarlo de acuerdo al tráfico “normal” de tu sitio o bloquearás usuarios normales.

   También comprueba que tienes bien configuradas las reglas de control de accesos, cómo en esta otra captura por lo menos:
   

   Para asegurarte totalmente, si estás sufriendo un ataque inminente puedes cambiar el nivel de seguridad del plugin poniéndolo en el nivel 4, el de máxima seguridad:

   

Para todo lo demás, te recuerdo los consejos básicos para asegurar WordPress.

Gracias a Borja por avisar.

Acaba de salir a la luz la versión 1.6.5 de BuddyPress, el plugin que convierte WordPress en una red social. En concreto, esta actualización soluciona un grave fallo mediante el que usuarios sin permisos podrían acceder a los ajustes para borrar cuentas, así que es una actualización imprescindible.

La seguridad de una web es fundamental, y uno de los sitios más atacados en una instalación de WordPress es la pantalla de acceso, y sino instala Wordfence y podrás comprobar tu mismo la cantidad de intentos de ataques de fuerza bruta que se reciben a diario si tu sitio tiene cierta popularidad.

Es por este motivo que merece la pena valorar incorporar una de las últimas tecnologías de seguridad: la verificación en 2 pasos.

Este método, ya utilizado por servicios tan populares como Google y Dropbox, además de – seguramente – tu banca online, requiere que introduzcas para acceder, además de tu usuario y contraseña, un código adicional que se te facilitará por teléfono móvil u otros métodos.

Si estás comprometido con la seguridad de tu sitio hay varias maneras de disponer de verificación de 2 pasos en WordPress, vamos a ver algunos … 

1. 2 step auth – Este plugin añade la verificación de 2 pasos a WordPress, pudiendo decidir la segunda verificación entre uno de estos 3 métodos:
   • mensaje SMS, para lo que tendrás que tener activo el sistema TextMagic o SMS Global Account
   • lista de códigos de seguridad
   • envío de código por email

   Sea cual sea el método elegido la verificación en 2 pasos se activará para los usuarios con privilegios de administrador, incluso en WordPress multisitio, mientras que los usuarios con menos permisos seguirán usando la pantalla de acceso habitual.

   Para poner en marcha el plugin sigue los 3 pasos de su página de ajustes y lo tendrás en marcha.
   

   Es una solución completa, integrada y que no requiere de servicios externos (salvo que uses la verificación por SMS), así que ofrece todo lo que necesitas.

2. Google Authenticator – El sistema de verificación en 2 pasos de Google también puedes activarlo en WordPress. En este caso deberás instalar la aplicación para tu móvil, disponible para los principales sistemas operativos móviles cómo Android o iOS y algún plugin que conecte tu WordPress con el servicio. El proceso sería más o menos así, independientemente del plugin utilizado:
   • Instala el plugin para conectar con Google Authenticator. Te recomiendo WP 2 step verification o Google Authenticator plugin
   • Accede a la página de ajustes del plugin y elige un nombre a mostrar en Google Authenticator.
   • Genera una clave secreta y un código QR, este último léelo con tu aplicación móvil.
     
   • En la aplicación del móvil se generará un código, introdúcelo en la página de ajustes.
     
   • A partir de ahí, cada vez que quieras acceder a WordPress tendrás que generar un nuevo código en la aplicación Google Authenticator de tu móvil e introducirla en la pantalla de acceso modificada.
     

   Cómo has comprobado el proceso de configuración inicial es algo más tedioso, pero una vez hecho el acceso es inmediato, generando un código rápidamente en tu móvil cuando quieras acceder.

Nada más, simplemente recomendarte que lo pruebes, pues mejora muchos enteros la seguridad de WordPress.

El fichero .htaccess es la primera barrera que puedes usar en un sistema basado en servidores Linux con Apache, pues dispone de una buena cantidad de reglas que podemos aplicar y, gracias a ello, y como es el caso de hoy, proteger WordPress de hackers.

El siguiente código, añadido al archivo .htaccess de tu instalación (fichero oculto situado en la carpeta raíz) evitará un buen montón de sistemas habituales de inyectar código y hackear WordPress.

Simplemente añade estas líneas:

RewriteEngine On
 
# sin acceso a proc/self/environ
RewriteCond %{QUERY_STRING} proc/self/environ [OR]
 
# bloquear cualquier script que trate de establecer un valor mosConfig a través de una URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
 
# bloquear cualquier script que trate de colocarte código codificado base64_encode a través de una URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
 
# bloquea cualquier script que incluya la tag <script> en la URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
 
# bloquea cualquier script que trate de establecer la variable PHP GLOBALS a través de una URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR]
 
# bloquea cualquier script que trate de modificar una variable _REQUEST a través de una URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2})
 
# manda a todas las peticiones bloqueadas a la página principal con un error de 403 Prohibido
RewriteRule ^(.*)$ index.php [F,L]

Guarda los cambios y vivirás más tranquilo pues te habrás quitado un buen montón de amenazas.