Nuestro sitio web de trabajo se está inundando con estos tipos de hacks:
Los archivos se están cargando en todo el sitio (no solo la URL que se muestra en la imagen). Nuestro sitio todavía está funcionando bien, por lo que puedo decir. ¿Cómo puedo solucionar esta vulnerabilidad?
Las versiones anteriores de Wordpress son conocidas por algunas vulnerabilidades dentro de ellas. Como un posible atacante puede no saber qué instalación está ejecutando, pero en su lugar ve que tiene archivos específicos disponibles, puede ejecutar algunos ataques "ciegos". Este tipo de ataque a menudo es automatizado y se ejecuta contra múltiples objetivos, posiblemente vulnerables.
Consulte enlace para conocer algunas vulnerabilidades conocidas públicamente. en wordpress.
Hay una vulnerabilidad específica que parece ajustarse a su situación en enlace . Es posible que desee consultar aquí: enlace
EDITAR: el comentario de Arminius es, de hecho, correcto y la vulnerabilidad aquí provista podría no encajar perfectamente. Supongo que el software de monitoreo del OP generaliza el ataque de "inyección" a "carga de archivo".
Parece que alguien está intentando cargar un archivo en sus servidores. El firewall está evitando que esto suceda realmente, pero ni siquiera debería poder "intentar" una carga, y mucho menos llegar a la punto donde solo el firewall los está bloqueando.
Mi primer consejo sería tomar una copia de seguridad completa (archivos + DB) de su instalación de wordpress (si aún no lo ha hecho) y guardar los archivos de copia de seguridad en otro lugar que no sea este servidor.
Una vez que haya realizado una copia de seguridad segura de los archivos, revise su instalación, específicamente los archivos que se han modificado recientemente, observe la estructura completa de carpetas de wordpress (sin importar cuán profundo sea), porque cualquier archivo .php aquí será ejecutable . Busque también los archivos jpg / png / txt / gif / html que podrían haber sido cargados por los atacantes con la esperanza de cambiar la extensión a .php post-upload.
Aunque el núcleo de wordpress ha mejorado en seguridad en los últimos dos años, su ecosistema de complementos aún está lleno de código vulnerable. Mi regla general es que cuantos menos complementos tengas, mejor. Entonces, si bien la instalación de wordpress puede ser de primera categoría, un complemento en algún lugar podría darles la capacidad de carga remota de archivos, que de otra forma podrían haber explotado si no fuera por el firewall.
Paso 3, ejecuta un escaneo. Una de mis herramientas favoritas es wp-scan Es un escáner de vulnerabilidades creado específicamente para wordpress, que analiza su instalación existente (incluidos los complementos y temas) y verifica por vulnerabilidades conocidas a través de todos ellos.
Paso 4, actualiza todo (si no lo has hecho ya). Incluyendo Wordpress Core (que debería actualizarse automáticamente). Ejecute el análisis después de las actualizaciones para estar seguro.
La razón por la que ejecuta una exploración antes de la actualización, es que podría tener la oportunidad de detectar la actualización previa de la vulnerabilidad, y eso podría darle una idea de lo que sucedió. Si actualiza antes de escanear, es posible que el escaneo no muestre nada.
En esencia, el proceso de copia de seguridad, inspeccionar archivos, escanear, actualizar y volver a escanear debería ayudar a aliviar algunas de las inquietudes que tenga.
Lea otras preguntas en las etiquetas file-upload wordpress waf