Iniciador del debate
LinkServ
(@linkserv)
La verdad no sabría decirte bien que BUG es, pero estoy seguro que es un BUG del WordPress porque de algún modo u otro lograron sacar mi usuario y clave de mi blog y me pusieron un index con los apodos de los hackers y a un conocido también le sucedio eso y curiosamente sucedio días después de haber instalado desde 0 la versión 3.5.1.
Después instalé la versión 3.4 y esa no pudieron hackearmela.
Saludos
Yo encotre un XSS en 3.5.1 pero no se como reportalo 🙁
Iniciador del debate
LinkServ
(@linkserv)
morganpentest envíales un correo de contacto, así reportas alguna falla
Hola, tengo ya 3 días peleando con unos «hackers» específicamente de esta pagina de facebook https://www.facebook.com/An0nymousAl?ref=ts&fref=ts, se hacen pasar por anonymous y solo defazan sitios wordpress.
Mi problema con ellos ha sido que a pesar de que me he librado del ataque varias veces, de igual forma siguen atacando y por más seguridad que tengo, entre .htaccess, robots.txt, htpassword, usuarios con claves enormes, etc. De alguna forma pueden ejecutar un sql injection que cambia mi usuario maestro a «admin», intente crear el usuario admin y dejarlo con rol de suscriptor pero no funcionó, ya que de igual forma cambiaron el maestro a admin.
En un ultimo intento desesperado cree 4 usuarios con user_login distintos y muy largos y TODOS cambiaron a ser admin con una clave distinta.
La diferencia de ahora es que no importa si cambia el admin, gracias al htpassword no logra entrar al wp-admin y «hackear» la web
Ya que el unico cambio que hacen es sustituir el 404.php del tema actual por su «pagina de hackeado» y luego en su perfil de facebook publican, que la web fue hackeada y colocan eldominio.com/Anonymous.php y obviamente como esa paginaa no existe muestra el 404 de wordpress modificado por ellos,
Esta es toda la info que tengo por el momento, pero me gustaria obtener una solucion ya que realmente soy un poco despistado en cuanto a seguridad se refiere
Muchas gracias por su atencion.
Saludos
Iniciador del debate
LinkServ
(@linkserv)
Hola javotroya,
Mi problema es justamente el que tú tienes, de seguro tienes la versión 3.5.1.
Te recomiendo usar cualquier versión de la 3.4.x
Saludos.
He sobrevivido ya 24 hrs sin ataque (a menos que no trabajen los fines de semana), no habia pasado mas de 5 hrs anteriormente.
Un ultimo archivo robots.txt fue la solucion. A continuacion lo posteo:
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*