Inyección SQL

Inicio Foros WordPress Seguridad Inyección SQL

Etiquetado: , , , ,

Este debate contiene 9 respuestas, tiene 3 mensajes y lo actualizó  imported_study hace 8 años, 6 meses.

  • Autor
    Publicaciones
  • #16314

    imported_adriancon
    Participante

    <p>Supongo que este es un tema remanido, pero existe algún plugin para evitar el ataque de la inyección mysql, o en su defecto algún método (sin tocar códigos porque no lo se) para evitar este hackeo ?<br />
    Gracias de antemano.
    </p>

  • #38160

    imported_j.conti
    Participante

    Existía un plugin que los bloqueaba, pero dejo de actualizarse hace mucho tiempo y ya no funciona.

    Una alternativa, que no bloquea, pero como mínimo te avisa es esta;

    http://wordpress.org/extend/plugins/antivirus/

    Este plugin, una vez al día, revisa tu WordPress y si encuentra algo sospechoso, te envía un email.

    Cómo mínimo estas avisado el mismo día.

    Un saludo

  • #38172

    imported_adriancon
    Participante

    Hola josé. Si, ya lo tengo instalado, pero creo que no me funciona bien o tiene una incompatibilidad con el IE 8 ya que cuando hago el escaneo manual, empieza a marcar virus (larga lista…) y luego aparece una notificación con respecto a la compatibilidad del navegador. Si activo el aviso por email me manda avisos todos los días, hago el escaneo y no aparece nada, voy a hacer la prueba de reinstalarlo a ver que pasa.
    Por otro lado acabo de instalar el SecurePress y he tomado todas las precauciones y prevenciones posibles. Lo único que me falta es aprobar personalmente la suscripción de nuevos usuarios (estoy viendo como era porque no me acuerdo).
    Pero en definitiva en Internet no hay nada seguro… si no te joden por tu Sitio, lo hacen por el Servidor. En cualquier momento se prestará un servicio a domicilio.
    Te agradezco mucho tu interés y ayuda. Si se te acorre algo más, avisame (sobre todo respecto a la aprobación personal de usuarios para evitar robots)
    Un abrazo

  • #38181

    imported_j.conti
    Participante

    Bueno, en la realidad, Internet es incompatible con IE6-7-8 y los que vendrán. 🙂

    Hay veces que el antivirus, te marca como virus cosas que no lo son. Por ejemplo, funciones avanzadas en themes.

    Ahí hay que saber mirarlonun poco, si la acción que realiza la
    función es buena o maliciosa.

    Un saludo

  • #38209

    imported_study
    Participante

    ¿Yo estoy muy mal o tadas las funciones que reciben datos externos en wordpress ya vienen preparadas para evitar sql injection? (o sea me refiero al buscador, el form de comentarios, el de registro, el de login,etc…). Y como decis que de código no entendes supongo que no estas hablando de ningun desarrollo propio. En el peor de los casos, podes (primero en una copia local para asegurarse de no armar despelote) usar la función mysql_real_escape_string() que escapa los caracteres peligrosos de cualquier cadena. Pero como ya te dije, para las funciones comunes de wordpress no creo que sea necesario.

    @Jose, totalmente de acuerdo con tu opinion sobre explorer, ¡¡¡¡¡¡¡AGUANTE OPERA!!!!!!!!

  • #38211

    imported_adriancon
    Participante

    [b]José conti[/b] – [b]study[/b]====> GRACIAS MAESTROS !. Todos sus comentarios son bien recibidos y no caen en saco roto, a pesar de mis 60 “pirulos” (años en argentino), vasta experiencia en otros temas ( :wink:) y aprendiendo a palos en WP (léase ignorante en recuperación)… todo los que Uds, y los demás compañeros aportan me sirve para cada día conocer el Maravilloso Mundo de Don WordPress y sus amiguitos.
    Creo que ya tengo bastantes precauciones tomadas, pero si me la dan de nuevo… paciencia, volveré a recurrir a los amigos del Foro y a remar de nuevo …
    Abrazo !

  • #38220

    imported_j.conti
    Participante

    Study,

    Se pueden crear funciones maliciosas, o mal hechas.

    No hablo de las que vienen con WP, hablo de las que un creador de plugins o de themes, puede crear.

    Por lo general, cuando es una función maliciosa, la suelen encriptar.

    Para los profanos y que quieran saber si hay una función encriptada, es cuando sea un código no legible, tipo laaaaargas líneas así dghhfddfxBHHhBbnNJjyU%>Y64;€€bbgfghGGv?gG

    Si veía esto, eliminarl el plugin o el theme de inmediato.

    Cuidado, que puede ser un plugin conocido o un desarrolladores de themes conocido. En ese caso no os preocupéis demasiado. Lo
    está haciendo para proteger alguna función que acerado y que otros no la
    usen.

    Un saludo

  • #38390

    imported_study
    Participante

    Yo no soporto a los tipos que te ofuscan un código, no soy ningun experto en legislación informatica, ¿pero no estan incumpliendo de cierta forma con la gpl?.

    Respecto a los plugins-malware que andan dando vueltas, por suerte nunca me tope con ninguno (creo 😕 ), pero por las dudas no instalo ningun plugin sin haber leido antes varias opiniones y de preferencia, sin haberlo antes probado en local.

  • #38416

    imported_j.conti
    Participante

    En la realidad, no lo pueden ofuscar. Va en contra de la licencia de WP.

    Se puede denunciar a wp.

    Pero no se lo que pasaría al final o que podrían hacer.

    Supongo que dándoles un toque y si no hacen caso, denunciándolos ante la justicia.

  • #38569

    imported_study
    Participante

    No, tanto como hacer una denuncia legal no se, pero si sacarlos del repositorio, y estaria bueno tener una especia de “lista negra” de plugins no recomendados.

    Ademas podrian agregar algun mecanismo en el core que no permita activar un plugin con codigo ofuscado.

    Gracias, por sacarme la duda.

El foro ‘Seguridad’ está cerrado y no se permiten nuevos debates ni respuestas.

Pin It on Pinterest