Tutorial: Prevenir ataques como XSS e Injection SQL en WordPress

  • Autor Autor Cicklow
  • Fecha de inicio Fecha de inicio
Cicklow

Cicklow

Admin
Épsilon
Verificado
Verificación en dos pasos activada
Verificado por Whatsapp
¡Ha verificado su Paypal!
¡Usuario popular!
Suscripción a IA
Viendo otro post en forobeta vi un plugin que evitaba injection SQL en WP. aca les traigo un mod para el .htaccess del WP que permite bloquear XSS, iSQL, Scaners de bugs, y otras cosas mas.

Insertar CODE, HTML o PHP: 
RewriteEngine On


Options +FollowSymLinks
ServerSignature Off


RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST} ^.*(\\r|\\n|%0A|%0D).* [NC,OR]


RewriteCond %{HTTP_REFERER} ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{HTTP_COOKIE} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]
RewriteCond %{REQUEST_URI} ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]


RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC,OR]


RewriteCond %{QUERY_STRING} ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
#RewriteCond %{QUERY_STRING} ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|).* [NC]


RewriteRule ^(.*)$ hack.cfm

Crear un file hack.cfm que es el que se mostrara cuando se trate de acceder por varios intentos de hack. (sql injection, XSS, scaners, etc)

Fuente: flews blog: htaccess file to help prevent sql injection attempts

También pueden usar: WordPress › BulletProof Security « WordPress Plugins
 
Agregado al listado de tutoriales, se agradece el aporte.
 
Muchas gracias por la información. Instalé el plugin que recomiendas, y en verdad que es muy completo, espero que no me haga lento el sitio.

La primera configuración con su recomendación de permisos me arrojó un tenebroso error 300 y no podía accesar a la página. Tuve que volver a dar los permisos anteriores a 2 directorios para volver a ingresar. Fuera de eso al parecer hace su trabajo
 
Gracias. 😛7:
 
Te pasaste, excelente aporte.
 
Muy bueno gracias por el tutorial
 
Ahora pensando y viendo la página de la fuente, ¿por qué tú y él decís de crear un archivo de Cold Fusion llamado hack.cfm?, ¿qué sentido tiene esa extensión para esto?
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

ChatOrbi
Tutorial: Como defender y evitar ataques DoS, SQL injection, XSS, Robots malignos, etc
Respuestas
10
Visitas
3K
LuisCastro
L
Daniel B.
Protegerse y evitar ataques DoS, SQLi, XSS, Robots malignos con htaccess
Respuestas
6
Visitas
5K
Das Underground
D
Atrás
Arriba