Ataque detectado por Wordpress Firewall 2, ¿cómo proceder?

  • Autor Autor genako
  • Fecha de inicio Fecha de inicio
genako

genako

Delta
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
Hola chicos,

Hace unas semanas tuve problemas de seguridad, lo solucioné e instalé el plugin Wordpress Firewall 2, desde entonces no he tenido ningún incidente, hasta hoy.

La web se ha caído por unos 10-15 minutos, y al recuperarse he recibido este correo de WP Firewall 2 (tengo activada la notificación por email).

WordPress Firewall has detected and blocked a potential attack!

Web Page: midominio.com/page/12/
Warning: URL may contain dangerous content!
Offending IP: 190.216.202.147 [ Get IP location ]
Offending Parameter: BC_BANDWIDTH = 1362691859800X1829

This may be a "WordPress-Specific SQL Injection Attack."

Click here for more information on this type of attack.

If you suspect this may be a false alarm because of something you recently did, try to confirm by repeating those actions. If so, whitelist it via the "whitelist this variable" link below. This will prevent future false alarms.

Click here to whitelist this variable.
Click here to turn off these emails.
Repeated warnings for similar attacks are currently sent via email, click here to suppress them.
Hacer clic para expandir...

Es la primera vez que me notifica de un ataque, y no se si tengo que hacer algo. Por el momento he notificado a mi hosting, y estoy a la espera de que me respondan.

Este es el único plugin de seguridad que tengo activado.
La web funciona ahora mismo correctamente.
 
El ataque te viene desde Colombia, así que si conoces a alguien que te quiera joder o algo así, es de Colombia.
 
Ya, eso ya lo he visto, pero no, no creo que nadie me quiera joder 🙂

Tengo que hacer algo ahora?
 
alli claramente dice que es una injeccion, me pregunto hasta cuando seguiras creyendote a ti mismo que no es un ataque 🙂
 
Yo no he dicho que no sea un ataque, es más, lo he confirmado.

Solo digo que ¿qué puedo hacer ahora?
El plugin ha bloqueado la injeccion o sólo la ha detectado?
 
lo mas seguro es que sea un boot buscando inyecciones SQL...
 
Me pondré un plugin para eso, aunque creo que desde el hosting pueden hacerlo.

Se supone que esta notificación significa que el plugin WP Firewall ha funcionado y ha rechazado el ataque, no?

cicklow dijo:
si tenes para bloquear la ip hacelo... de ultima el plugin ese funcionara...
Hacer clic para expandir...
 
egnaro dijo:
Me pondré un plugin para eso, aunque creo que desde el hosting pueden hacerlo.

Se supone que esta notificación significa que el plugin WP Firewall ha funcionado y ha rechazado el ataque, no?
Hacer clic para expandir...

sisi. que funciono bien
 
Usé WP Firewall 2 una vez... y me bloqueó mi usuario de administrador, creo que no tiene unas reglas predefinidas muy buenas, de pronto no era ningún ataque y sólo era una bobada en tu caso...

Lo mejor es que saques ese plugin e instales Wordfence que es lo mejor que hay ahora mismo gratis
 
Última edición:
Ya, bueno de momento no me ha dado problemas. Lo que sí he oido es que es mejor desactivarlo si vas a tocar el código porque sino te puede bloquear. Pero no es el caso...

ramonjosegn dijo:
Usé WP Firewall 2 una vez... y me bloqueó mi usuario de administrador, creo que no tiene unas reglas predefinidas muy buenas, de pronto no era ningún ataque y sólo era una bobada en tu caso...

Lo mejor es que saques ese plugin e instales Wordfence que es lo mejor que hay ahora mismo gratis
Hacer clic para expandir...
 
egnaro dijo:
Ya, bueno de momento no me ha dado problemas. Lo que sí he oido es que es mejor desactivarlo si vas a tocar el código porque sino te puede bloquear. Pero no es el caso...
Hacer clic para expandir...

¿y crees que realmente esta gente de ///// tiene tiempo como para andar atacando un sitio web cómo el tuyo?

---------- Post agregado el 08-mar-2013 hora: 12:26 ----------

En serio, olvídate de ese plugin, es más creo que hace años que no lo actualizan...
 
Última edición:
Cómo sabes que son ellos?

ramonjosegn dijo:
¿y crees que realmente esta gente de ////www.---com/es//// tiene tiempo como para andar atacando un sitio web cómo el tuyo?

---------- Post agregado el 08-mar-2013 hora: 12:26 ----------

En serio, olvídate de ese plugin, es más creo que hace años que no lo actualizan...
Hacer clic para expandir...
 
Última edición:
egnaro dijo:
Cómo sabes que son ellos?
Hacer clic para expandir...

Tú lo dijiste... o eso o los atacanes tienen su IP enmascarada con la de esa empresa... vamos, que se han tomado muchas molestias para atacar tu sitio...
 
ramonjosegn dijo:
Tú lo dijiste... o eso o los atacanes tienen su IP enmascarada con la de esa empresa... vamos, que se han tomado muchas molestias como para atacar tu sitio...
Hacer clic para expandir...

Ya veo... bueno, sí no son ellos y no se trata de ningún ataque mejor que mejor. Si veo que el plugin no me da más problemas (en un mes es la primera incidencia) lo dejo como está, y si se repite pues investigaré.

Pero es raro que el plugin identifique una IP en concreto si no tiene nada que ver, no? No creo que vaya poniendo IPs al azar.
 
egnaro dijo:
Ya veo... bueno, sí no son ellos y no se trata de ningún ataque mejor que mejor. Si veo que el plugin no me da más problemas (en un mes es la primera incidencia) lo dejo como está, y si se repite pues investigaré.

Pero es raro que el plugin identifique una IP en concreto si no tiene nada que ver, no? No creo que vaya poniendo IPs al azar.
Hacer clic para expandir...

Pues si puso la mía en lista negra simplemente porque en la tarde ingresé desde el trabajo, y unas horas más tarde ingresé desde mi casa, y no "entendió" que uno se puede conectar desde 2 puntos diferentes...

---------- Post agregado el 08-mar-2013 hora: 12:35 ----------

Igual borremos esos datos y esa IP, para evitar malos entendidos con esa empresa, por favor, que ni creo que te hayan atacado ni nada por el estilo
 
Borro la URL de la empresa.

Solo busco consejo. Si realmente nadie ha atacado mi web pues mejor que mejor, y si el plugin ha evitado uno pues también bien.

ramonjosegn dijo:
Pues si puso la mía en lista negra simplemente porque en la tarde ingresé desde el trabajo, y unas horas más tarde ingresé desde mi casa, y no "entendió" que uno se puede conectar desde 2 puntos diferentes...

---------- Post agregado el 08-mar-2013 hora: 12:35 ----------

Igual borremos esos datos y esa IP, para evitar malos entendidos con esa empresa, por favor, que ni creo que te hayan atacado ni nada por el estilo
Hacer clic para expandir...
 
egnaro dijo:
Borro la URL de la empresa.

Solo busco consejo. Si realmente nadie ha atacado mi web pues mejor que mejor, y si el plugin ha evitado uno pues también bien.
Hacer clic para expandir...

Exacto... igual sigue sin parecerme un plugin muy confiable ¿has revisado si crea algún log o similar para saber qué ocurrió realmente??

Insisto en que lo mejor que hay ahora es Wordfence, ¿por qué? porque si llegan a atacarte permite restaurar los archivos de wordpress, de los plugins y además te dice exactamente qué ha cambiado en el sitio web y te muestra quiénes entran al sitio y si son humanos o no...
 
Yo que tu hago lo siguiente...

Hago un listado de todos los plugins y versiones de ellos que has instalado (activados y desactivados)

Busco en google si tienen vulnerabilidades algo así como "módulo versión SQL injection", "módulo versión bypass", "módulo versión bypass upload", "módulo versión blind SQL injection", "módulo versión vulnerabilites"

Ya teniendo claro los módulos y versiones que tienes (con módulos me refiero a plugins xD es que técnicamente son módulos) y sus vulnerabilidades los actualizas... o desintalas en su defecto

Luego me dejaría de preocupar, si tienen SQL injection, modifica el .htaccess flews blog: htaccess file to help prevent sql injection attempts y fin, si es upload entonces, seguramente deberías actualizar o eliminar como dije anteriormente. No contactes a tu hosting a menos que sea un d.d.o.s o d.o.s (lo notarás porque se caerá el servidor completo y tu banda se irá por las nubes.

Luego relajate, el sitio que no ha sido atacado no es sitio =)
 
Hay que estar conectado o registrado para responder aquí.

Temas similares

S
Alerta de ataque a WordPress en mi página web
Respuestas
4
Visitas
546
sniper2015
S
zagato
Blog bajo ataque, ¿cómo solucionarlo?
Respuestas
4
Visitas
581
zagato
zagato
Q
¿Invasión de Bots en mi Web de Películas?
Respuestas
5
Visitas
657
IngGeek
IngGeek
Atrás
Arriba