Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.850
Pos eso

Vale ...... wordpress. cualquier niño puede vulnerarla ,

Que cosas a nivel de sistema aplican ud para proteger ? aparte de elegir bien los plugins y plantillas si es que se ocupan de terceros.
 

Yokoshimax

Capo
Se incorporó
19 Noviembre 2007
Mensajes
334
Es mi idea o esto no debiese ir aquí?
Siempre mantener actualizado, hay un "anti-malware" para WP (Anti-Malware from GOTMLS.NET) que me ha dado buenos resultados con temas de seguridad
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
También tener mod-security en el servidor web (apache ), eso ayuda cuando se vienen ataques o vulneraciones conocidas o automatizadas, ya que pueden ser bloqueadas por violaciones al protocolo http

Enviado desde mi XT1058
 
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.850
También tener mod-security en el servidor web (apache ), eso ayuda cuando se vienen ataques o vulneraciones conocidas o automatizadas, ya que pueden ser bloqueadas por violaciones al protocolo http

Enviado desde mi XT1058

la ves que intente usar mod security tenia muchos atados con wordpress

le dare mas vueltas
 
Upvote 0

Gen1us

VCP
Se incorporó
16 Octubre 2012
Mensajes
1.358
Seguridad en los directorios raíces, purgar la cache de WP, revisar los Plugins que instalas. usar cuentas con contraseñas complejas, etc...
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.409
la ves que intente usar mod security tenia muchos atados con wordpress

le dare mas vueltas

hay id's que se pueden ir omitiendo para que funcione, pero es en buena parte culpa de wordpress o del cms en uso, ya que se bloquean por malas practicas en las respuestas o peticiones al sitio
 
Upvote 0

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
la mejor recomendación es mantener el wordpress actualizado.

Otra es usar contraseñas dificiles y no usar el usuario admin.

Y yo uso en todos los sitios un plugin que se llama wordfence, que es la raja, se actualiza solo, bloquea las conexiones para encontrar la pass por fuerza bruta, busca si existen malwares en el servidor como alguna shell, etc.
 
Upvote 0

Eliezar

mi gato :D
Se incorporó
1 Febrero 2007
Mensajes
4.850
la mejor recomendación es mantener el wordpress actualizado.

Otra es usar contraseñas dificiles y no usar el usuario admin.

Y yo uso en todos los sitios un plugin que se llama wordfence, que es la raja, se actualiza solo, bloquea las conexiones para encontrar la pass por fuerza bruta, busca si existen malwares en el servidor como alguna shell, etc.

tengo todo eso incluido el wordfence , he estado aplicando mas chucherias varias de estos miagicos tips de hardening para wordpress

pero al final si se lo disponen igual se lo violan ,
 
Upvote 0

Matjazz

asdf
Se incorporó
18 Agosto 2007
Mensajes
1.196
tengo todo eso incluido el wordfence , he estado aplicando mas chucherias varias de estos miagicos tips de hardening para wordpress

pero al final si se lo disponen igual se lo violan ,
Entonces el problema va por otro lado.

Debes tener una shell o un rootkit por ahi, y que probablemente no entró por wordpress.

Por ejemplo, yo una vez en un theme utilizé una biblioteca jquery para hacer subida de archivos con loading y weas varias. Lo que hice fue crear una carpeta "LIB" donde tenia las librerias. Esa en particular venía con ejemplos, asi que por ahi metian una shell y violaban todo.

Probablemente cuando te hackearon la primera vez, simplemente habilitaste el sitio denuevo y dijiste "listo"!!, pero no te fijaste que te dejaron lleno de backdoors, shells y rootkits por ahí para que cuando deshagas los cambios que ellos hicieron puedan volver a tener acceso. Entonces, que debes hacer

  1. Descargas todo el contenido del sitio a una carpeta en tu computador
  2. Pasarle un antivirus (no sirve para nada, pero es por si acaso)
  3. Buscar como texto algún código malicioso (generalmente viene cifrado utilizando un base64, asi que haz una búsqueda en la carpeta de la palabra base64)
  4. Despues de eso, haz la instalación denuevo del wordpress y sube solo la carpeta uploads siempre y cuando ya estés seguro que está limpia.
No culpes a wordpress. Si lo usas bien (actualizandolo y cuidando los pluggins que instalas y haciendo un buen desarrollo) debería funcionarte bastante bien.
 
Upvote 0
Subir