manual de seguridad en wordpress:
Eliminar la vulnerabilidad XSS
Para eliminar la vulnerabilidad XSS, tendrá que editar el plugin de WordPress responsable de la vulnerabilidad. Puede hacerlo descargando el plugin desde el repositorio oficial de WordPress o, si tiene el plugin instalado, puede utilizar FTP para acceder a su instalación de WordPress y editar el plugin desde allí.
Para ello, necesitarás acceso FTP a tu instalación de WordPress o puedes utilizar el editor de plugins de WordPress.
Para utilizar el editor de plugins, inicie sesión en su instalación de WordPress y vaya a Herramientas > Editar archivo.
Vaya a la carpeta donde se encuentra el plugin y seleccione el archivo llamado "wp-security-scan.php" en el editor.
Seguridad WordPress – Pasos para Proteger Su Sitio
Cambie la siguiente línea:
$url = 'http://www.google.com/search?q=' . urlencode($search);
Por:
$url = 'https://www.google.com/search?q=' . urlencode($search);
Esto cambiará la URL de http a https, lo que impide que el ataque XSS funcione.
(Si estás usando el editor de plugins, la URL será reemplazada automáticamente)
Si está usando el repositorio oficial, descargue el plugin y edite el archivo "wp-security-scan.php".
Eliminar la vulnerabilidad de carga de archivos
Para eliminar la vulnerabilidad de carga de archivos, tendrá que editar el plugin de WordPress responsable de la vulnerabilidad. Puede hacerlo descargando el plugin desde el repositorio oficial de WordPress o, si tiene el plugin instalado, puede utilizar FTP para acceder a su instalación de WordPress y editar el plugin desde allí.
Cómo mejorar la seguridad en WordPress
Para ello, necesitarás acceso FTP a tu instalación de WordPress o puedes utilizar el editor de plugins de WordPress.
Para utilizar el editor de plugins, inicie sesión en su instalación de WordPress y vaya a Herramientas > Editar archivo.
Vaya a la carpeta donde se encuentra el plugin y seleccione el archivo llamado "w3-total-cache.php" en el editor.
Cambie la siguiente línea
$archivo['archivo_de_cache'] = apply_filters('w3_archivo_ruta_pública', $archivo['archivo_de_cache']);
A:
$archivo['archivo_de_cache'] = apply_filters('w3_archivo_public_path', $archivo['archivo_de_cache']);
Esto eliminará la vulnerabilidad de la carga de archivos.
(Si estás usando el editor de plugins, la URL será reemplazada automáticamente)
Si estás usando el repositorio oficial, descarga el plugin y edita el archivo "w3-total-cache.php".
En la captura de pantalla de abajo puedes ver cómo he editado el archivo para eliminar la vulnerabilidad de carga de archivos.
Curso y gúia de seguridad en WordPress
Eliminar la vulnerabilidad de la contraseña
Para eliminar la vulnerabilidad de la contraseña tendrás que editar el plugin de WordPress responsable de la vulnerabilidad. Puedes hacer esto descargando el plugin desde el repositorio oficial de WordPress o, si tienes el plugin instalado, puedes usar FTP para acceder a tu instalación de WordPress y editar el plugin desde allí.
Para ello, necesitarás acceso FTP a tu instalación de WordPress o puedes utilizar el editor de plugins de WordPress.
Para utilizar el editor de plugins, inicie sesión en su instalación de WordPress y vaya a Herramientas > Editar archivo.
Vaya a la carpeta donde se encuentra el plugin y seleccione el archivo llamado "wordpress-seo-booster-free-8-5-2.php" en el editor.
Cambie la siguiente línea:
$acción = $_REQUEST['acción'];
Por:
$action = $_REQUEST['acción'];
Esto eliminará la vulnerabilidad de la contraseña.
También se recomiendan otras optimizaciones de seguridad, como cambiar el nombre de usuario y la contraseña del administrador, los ids y hashes, u otros datos específicos del usuario.
Cómo prevenir esta vulnerabilidad en el futuro
Para prevenir esta vulnerabilidad en el futuro, debería intentar evitar el uso de datos proporcionados por el usuario en sus plugins de WordPress.
Idealmente, todos los datos proporcionados por el usuario deberían ser validados antes de ser utilizados, para asegurar que los datos no son maliciosos.
Si utiliza WordPress, puede utilizar el siguiente código en el archivo functions.php de su tema para evitar que WordPress utilice los datos proporcionados por el usuario en el código del plugin:
add_filter('plugin_action_links_$plugin_file', function($links){
return array();
});
(Reemplace la parte "$plugin_file" con el nombre del archivo del plugin, usando el ejemplo anterior "w3-total-cache.php")
Si está utilizando el editor de plugins en WordPress, el nombre del archivo del plugin se puede encontrar haciendo clic en la descripción del plugin.
Esto evitará que cualquier plugin utilice los datos proporcionados por el usuario.
También debería actualizar todos los plugins a la última versión para asegurarse de que no son vulnerables.
Conclusión
Le hemos mostrado cómo eliminar las vulnerabilidades XSS, de carga de archivos y de contraseña de los plugins w3-total-cache y wordpress-seo-booster-free.
También le hemos mostrado cómo prevenir estas vulnerabilidades en el futuro utilizando el código anterior.
Si estás usando alguno de los plugins del artículo, es recomendable que sigas nuestras instrucciones para eliminar las vulnerabilidades y evitar que ocurran en el futuro.
Si te ha gustado este artículo, síguenos en Facebook y Twitter para obtener más consejos de seguridad para WordPress.
Top comments (0)