• Resuelto gemayvictor

    (@gemayvictor)


    Hola.
    Tenemos un sitio web con WooCommerce instalado.
    El sitio web cuando lo cogimos tenia muchas carencias y vulnerabilidades, no estaba actualizado, etc…
    Por supuesto no soy experta en seguridad y por que me trague algún video o tutorial sobre seguridad, seguire sin serlo.
    Vengo aqui en busca de sabiduría y orientación.

    Estoy experimentando que aparecen usuarios en el panel de «usuarios» que no han pasado por el registro que tengo establecido, por lo que sin duda hay alguna vulnerabilidad.
    ¿ Como puedo buscar y prevenir estas cosas ?
    ¿ que herramienta haya para controlar «casi» por completo la seguridad en WordPress ?
    Espero puedan ayudarme
    Gracias

    • Este debate fue modificado hace 1 año, 2 meses por José Arcos.
Viendo 11 respuestas - de la 1 a la 11 (de un total de 11)
  • Hola @gemayvictor

    Para empezar, lo mejor es revisar que todo esté al día. Eso implica el núcleo de WordPress, los plugins y temas.

    En el caso de los plugins y temas, aquellos que no estén en el repositorio oficial de WordPress, deberíais revisar manualmente sus versiones y, si hay nuevas, descargarlos del proveedor y subir el ZIP vía el panel.

    Los que están en el repositorio, podéis hacer un repaso para ver si todos están al día o si llevan menos de un año sin actualizar, por seguridad.

    En el día a día es suficiente. Hay plugins de seguridad que añaden funcionalidades u otros que informan (como WPVulnerability, es mío) que pueden informar si hay algo.

    En cualquier caso, un buen mantenimiento del WordPress, diario o semanal, y lo mismo con mantener al día las versiones de PHP del servidor y sus elementos en la parte de Hosting (ahí podéis hablar con vuestro proveedor).

    Iniciador del debate gemayvictor

    (@gemayvictor)

    Gracias @javiercasares
    Todo lo que menciona esta al día.
    Yo quiero entrar en más detalles, como digo, estan logrando registrarse usuarios sin hacerlo por el camino normal.
    Tengo establecido el registro de usuarios que deben crear una contraseña cuando se registran, y al correo de administrador tambien llega un mensaje cuando se registra un nuevo usuario
    ¿ Que herramientas existen para evitar esto? ¿Como limpiar mi sitio de vulnerabilidades ?
    gracias

    Si tienes sospechas de que hay algún posible hackeo o vulnerabilidad, te dejo un par de manuales que lo explican bien:

    Piensa también que hay una posibilidad de que el hosting tenga algo que ver. No suele ser lo frecuente, pero a lo mejor hay algo de fondo a revisar. En cualquier caso, con estos manuales deberías poder parchear la situación.

    Iniciador del debate gemayvictor

    (@gemayvictor)

    Gracias de nuevo @javiercasares
    comentas que utilizas WPVulnerability, ¿ cual es el nombre exacto para buscarlo en el repositorio de WordPress?

    Es el plugin WPVulnerability.

    Hola @gemayvictor

    Si tienes todo actualizado, como te ha dicho Javier, también puedes probar a eliminar todos los usuarios que no han pasado por el formulario de registro (según tú) e instalar un plugin como https://es.wordpress.org/plugins/honeypot/.

    Seguramente, son bots que sí pasan por el formulario, pero se saltan la casilla de verificación.

    Ese plugin les tenderá una trampa, detectará que son bots y no les dejará entrar.

    Prueba a ver si te funciona y, si no, pues ya tendrás que ver por qué otro sitio te han jaqueado… (y si no sabes, contratar a un profesional para que lo haga por ti).

    Aunque yo creo que te funcionará lo que te digo.

    Iniciador del debate gemayvictor

    (@gemayvictor)

    Muchas gracias, estoy muy agradecida por el interes mostrado por parte de @javiercasares y @teresaezc .
    Como dije, cuando un usuario se registra, me llega un correo como administrador y al usuario le llega un correo para establecer una contraseña. pero…
    Realmente tras tu respuesta, me di cuenta que a pesar enviar que no tengo la casilla de verificación en el formulario. Aún a si, no que te parece si añado un a casilla de verificación @teresaezc , o añado la casilla e instalo el complemento que me aconsejas.
    Esto todo un poco lio, me asuste mucho al ver ese usuario registrado, lo elimine y apareció otro nuevo a los dos dias. Más me asuste

    Gracias por su apoyo

    ¡Genial, @gemayvictor !

    Añade las 2 cosas: casilla y plugin.

    (Si hemos solucionado tu problema, no olvides señalar esta duda como resuelta para que nos sea más fácil mantener los foros de ayuda, por favor.)

    Iniciador del debate gemayvictor

    (@gemayvictor)

    Hola, debo decir que sigo haciendo pruebas…
    hasta que no haya concluido, no quiero marcarlo como concluido, por si surgiera alguna duda…
    pero cuando sea lo marcare por solucionado. Gracias, creo que voy por el buen camino con la documentación que han facilitado

    Como han pasado varias semanas, vamos a marcar este debate como resuelto. No dudes en volver a abrir un nuevo debate si necesitas más ayuda, y puedes referenciar este. Saludos.

    Iniciador del debate gemayvictor

    (@gemayvictor)

    Gracias.
    Siente libre de marcarlo resuelto.
    Yo sigo buscando soluciones porque aun no he corregido mi problema.
    Cuando encuentre una solución la compartire.
    Gracias de nuevo por su apoyo

Viendo 11 respuestas - de la 1 a la 11 (de un total de 11)
  • El debate ‘¿ Como proteger un Ecommerce y evitar vulnerabilidades ?’ está cerrado a nuevas respuestas.