Protege WordPress contra inyecciones SQL

romanwp · 29 Nov 2012

Como todos saben wordpress es el cms mas popular, asi también lo es para los hacker y personas mal intencionadas que quieren insertar scripts en archivos de tu tema.

Para evitar que esto nos pase:

Paso 1 Cambia el prefijo de la base de datos.

Paso 2 Cambia el nombre de usuario admin por otro distinto.

Paso 3 Instala un plugin de seguridad anti ataques SQL
recomiendo WordPress › BulletProof Security « WordPress Plugins

Gustavo Rodriguez · 29 Nov 2012

Gracias compañero, tengo los pasos 1 y 2 en varios sitios, me falta el tercero

adthz · 29 Nov 2012

este las inyeciones, lo que hace es borrar el contenido de la base de datos verdad?

es que he tenido varios ataques y quisiera saber

Gustavo Rodriguez · 29 Nov 2012

adthz dijo:
este las inyeciones, lo que hace es borrar el contenido de la base de datos verdad?

es que he tenido varios ataques y quisiera saber

Lo que hacen es acceder a la base de datos y sacar cualquier información, lo primero que hacer es sacar la contraseña del admin.

Enviado desde mi iPad 2 con Tapatalk HD

ch3 · 30 Nov 2012

Gracias por la recomendacion, casualmente tengo algun bicho que se publica en mi web desde wp_head y redirecciona a otro sitio web

Jota Marquez · 30 Nov 2012

Gustavo Rodriguez dijo:
Lo que hacen es acceder a la base de datos y sacar cualquier información, lo primero que hacer es sacar la contraseña del admin.

Enviado desde mi iPad 2 con Tapatalk HD

La verdad es que dejó de tener utilidad lo de sacar la contraseña del administrador encriptada, puede ser que te jodan entradas, o información, pero sacar la contraseña con la nueva encriptación, es muuuuy difícil

Gustavo Rodriguez · 30 Nov 2012

Jose dijo:
La verdad es que dejó de tener utilidad lo de sacar la contraseña del administrador encriptada, puede ser que te jodan entradas, o información, pero sacar la contraseña con la nueva encriptación, es muuuuy difícil

En eso tienes razón, pero imaginemos que yo hago SQL injection y llego al campo donde esta la contraseña encriptada, simplemente instalo un wordpress y pongo mi contraseña, me voy a la base de datos y en el campo contraseña me sale encriptada pues simplemente la copio e inyecto ese código a donde hice SQL injection, asi pues la contraseña se cambia a la mia

Ya podiendo hacer las maldades.

romanwp · 30 Nov 2012

Gustavo Rodriguez dijo:
En eso tienes razón, pero imaginemos que yo hago SQL injection y llego al campo donde esta la contraseña encriptada, simplemente instalo un wordpress y pongo mi contraseña, me voy a la base de datos y en el campo contraseña me sale encriptada pues simplemente la copio e inyecto ese código a donde hice SQL injection, asi pues la contraseña se cambia a la mia

Ya podiendo hacer las maldades.

Tienes toda la Razon asi salve ahora poco uno de mis blog

feltoxXx · 30 Nov 2012

Han probado con aplicarle restricciones de acceso a la carpeta wp-admin??? o cambiarle el nombre??? son buenas tecnicas tambien...

Jota Marquez · 30 Nov 2012

Gustavo Rodriguez dijo:
En eso tienes razón, pero imaginemos que yo hago SQL injection y llego al campo donde esta la contraseña encriptada, simplemente instalo un wordpress y pongo mi contraseña, me voy a la base de datos y en el campo contraseña me sale encriptada pues simplemente la copio e inyecto ese código a donde hice SQL injection, asi pues la contraseña se cambia a la mia

Ya podiendo hacer las maldades.

Esto no me encaja bien, instalas un wordpress donde? en tu servidor? aun asi, solo podrias tocar tu servidor no?

Con PHPass no vas a poder desencriptar la contraseña, solo cambiarla, y si la cambias tn eu servidor lo único que vas a tener son todas las entradas, sin imágen, pero no le vas a poder afectar al blog principal.

Gustavo Rodriguez · 30 Nov 2012

Jose dijo:
Esto no me encaja bien, instalas un wordpress donde? en tu servidor? aun asi, solo podrias tocar tu servidor no?

Con PHPass no vas a poder desencriptar la contraseña, solo cambiarla, y si la cambias tn eu servidor lo único que vas a tener son todas las entradas, sin imágen, pero no le vas a poder afectar al blog principal.

Bueno mira me refiero a instalarlo en mi servidor, irme a phpmyadmin y sacar la contraseña encriptada (la mia, por logica yo me se mi contraseña).
Entonces inyectas la contraseña mia encriptada en el wordpress victima y asi ahora la contraseña del admin del wordpress victima sera la misma que puse cuando instale en wordpress.

Entras al admin y pues tienes control de wordpress.

Espero haberme explicado bien, saludos.

Enviado desde mi iPad 2 con Tapatalk HD

Jota Marquez · 30 Nov 2012

Gustavo Rodriguez dijo:
Bueno mira me refiero a instalarlo en mi servidor, irme a phpmyadmin y sacar la contraseña encriptada (la mia, por logica yo me se mi contraseña).
Entonces inyectas la contraseña mia encriptada en el wordpress victima y asi ahora la contraseña del admin del wordpress victima sera la misma que puse cuando instale en wordpress.

Entras al admin y pues tienes control de wordpress.

Espero haberme explicado bien, saludos.

Enviado desde mi iPad 2 con Tapatalk HD

Pero, como entras al wp-admin con la contraseña encriptada?

Gustavo Rodriguez · 30 Nov 2012

Entro con mi contraseña normal pues se supone que inyecte la contraseña encriptada y wordpress la entiende o desifra.

tranzorx · 16 Dic 2012

No soy experto en WP y por tanto desconozco su sistema de seguridad.
Sacar la contraseña encriptada no es tan simple como copiar y pegar de un sitio a otro.
En los tiempos de la máquina "Enigma" de los nazi ya se usaban contraseñas con sistemas de encriptación más complejos. Desde entonces ya ha llovido.
No vale con saber el código encriptado, sino que también hay que saber la secuencia o la función de encriptación.
Son dos variables que se multiplican exponencialmente, lo que arroja un número de probabilidades con muchísimos ceros.

Dicho ésto, no es obstáculo para cuidar la seguridad que es muy importante.

Saludos!!

iTron · 12 Sep 2014

José Marquez dijo:
La verdad es que dejó de tener utilidad lo de sacar la contraseña del administrador encriptada, puede ser que te jodan entradas, o información, pero sacar la contraseña con la nueva encriptación, es muuuuy difícil

Las encriptaciones de Mysql siguen estando en MD5 e incluso muchas BD están desencriptadas , saludos.

vmartinez · 12 Sep 2014

Con el paso 1 y 2 no haces nada contra inyección SQL. Con el pluggin del paso 3 si.
Serian consultas contra la base de datos mal realizadas.

Por defecto Wordpress no tiene(salvo vulnerabilidades no conocdias) , suelen estar más en pluggins poco conocidos o desactualizados.

Protege WordPress contra inyecciones SQL

romanwp

Estafador

Gustavo Rodriguez

adthz

Gustavo Rodriguez

ch3

Jota Marquez

Gustavo Rodriguez

romanwp

Estafador

feltoxXx

Jota Marquez

Gustavo Rodriguez

Jota Marquez

Gustavo Rodriguez

tranzorx

iTron

vmartinez

Comparte esta página