Ayer mi sitio web de WordPress fue hackeado. Pensé que había hecho todo lo necesario para hacerlo seguro. Uno de mis colegas dijo que con Greasemonkey podemos hackear sitios fácilmente. ¿Es verdad? ¿Cómo puedo proteger mi sitio de forma segura?
Ayer mi sitio web de WordPress fue hackeado. Pensé que había hecho todo lo necesario para hacerlo seguro. Uno de mis colegas dijo que con Greasemonkey podemos hackear sitios fácilmente. ¿Es verdad? ¿Cómo puedo proteger mi sitio de forma segura?
GreaseMonkey (o Tampermonkey para Chrome) es un complemento del navegador que le permite inyectar un código JavaScript personalizado en el navegador del lado del cliente . Tienes poco o ningún control sobre él.
La buena noticia es que ninguno de estos cambios afectará el contenido del lado del servidor o el contenido de otros usuarios. Entonces, si confía en el servidor para su validación / verificación / inicio de sesión en / e.t.c., Entonces no tiene nada de qué preocuparse. Sin embargo, si confía en el código del lado del cliente para proporcionar la validación de entrada y otros tipos de restricciones, entonces tiene problemas más profundos que GreaseMonkey. Casi todos los navegadores modernos contienen características para permitir la modificación de los contenidos del lado del cliente, en su mayoría se llaman herramientas de desarrollo.
Mi consejo para ti es que obtengas una persona competente para evaluar la situación de seguridad de tu sitio web y que te ayude a protegerlo de futuros ataques.
Leyendo su pregunta y la descripción relacionada, solo puedo decir que no estoy de acuerdo con la teoría "Greasemonkey" de sus colegas. Greasemonkey solo permite que se ejecuten javascripts del lado del cliente (para modificar el comportamiento del lado del cliente de los sitios web o para automatizar algunas cosas). Sin embargo, el javascript del lado del cliente no puede corromper su servidor directamente. Lo único en lo que podría pensar para qué podría ser útil Greasemonkey es en los formularios de inicio de sesión forzados. Eso es todo.
Vectores de ataque potencial
Lo más probable es que el origen de su problema "fue pirateado", es el uso de contraseñas inseguras y, lo que puede ser aún peor, el uso del nombre de usuario "admin", ya que solo queda una suposición. Un hacker ... la contraseña. Si el pirata informático necesita adivinar tanto el nombre como la contraseña, perderá tiempo y recursos y, probablemente, también tendrá interés en intentar piratear su sitio.
Por lo tanto, debería incluir una sugerencia: los buenos nombres de inicio de sesión y las contraseñas de inicio de sesión tienen al menos 8 caracteres de longitud, y deben incluir una combinación de letras, números y caracteres de puntuación (como puntos, corchetes, guiones, etc.).
En caso de que te hayas perdido la noticia: más recientemente, hubo un gran ataque de fuerza bruta en sitios web basados en wordpress que se dirigió al archivo wp_login.php (tu formulario de inicio de sesión). Muchos sitios se piratearon de esa manera y puedo imaginar que su sitio web fue uno de ellos (aunque no puedo estar seguro sin echar un vistazo a los registros de acceso del servidor).
El problema estaba tan extendido que incluso consiguió una página dedicada en el sitio web de wordpress ([http://codex.wordpress.org/Brute_Force_Attacks◆ [)] donde publicaron algunas posibles soluciones al problema. Es posible que desee consultar esa página para obtener más información.
Si no era su formulario de inicio de sesión, verifique sus complementos de wordpress.
No sería la primera vez que un plugin de wordpress introduce una importante Agujero de seguridad que permite que incluso el chico de la escritura más tonto se comprometa su wordpress instalar Solo recuerda (o busca) que desastre de seguridad "timthumb" que hizo funcionar la comunidad de wordpress En círculos hace un buen rato. Sin embargo, personalmente sospecho que te has convertido en una víctima del reciente ataque de fuerza bruta mencionado en el # 1.
Por último, pero no menos importante, permítame hacerme eco de los consejos dados por @Adnan:
Mi consejo para ti es que obtengas una persona competente para evaluar la situación de seguridad de tu sitio web y que te ayude a protegerlo de futuros ataques.
Si no sabe "qué" sucedió, no puede evitar que vuelva a suceder. En caso de que no sepa todo acerca de cómo proteger un sitio web y un servidor, ha llegado el momento de contratar a un profesional ...
Hay algunas cosas a considerar. Con Greasemonkey (GM), los usuarios (del lado del cliente) deben aceptar la instalación de un script de GM o escribir ellos mismos un script de GM. Dado que, el usuario cliente tiene acceso completo a cualquier página que el servidor pueda descargar (con las autorizaciones y autenticación de ese usuario), el script de GM puede modificar este contenido o usar el contenido en combinación con otras páginas del mismo servidor u otros servidores no relacionados para presentar Los datos de la página web en cualquier forma deseada. Un ejemplo sería un sitio de bienes raíces (RES, por sus siglas en inglés) que tiene detalles e imágenes de casas en venta en diferentes páginas. Las páginas RES se pueden adquirir con un script GM y juntar como una sola página. Además, los pies cuadrados (o metros cuadrados) o la información de impuestos se pueden extraer del sitio web del Evaluador y se pueden combinar como una sola página con la información RES. Solo, esto no es siniestro. Sin embargo, si ha bloqueado el clic con el botón derecho o ha bloqueado el contenido protegido en su página, es posible que un escritor inteligente de secuencias de comandos pueda omitir las protecciones (como es posible, simplemente ajustando los elementos en el HTML a través de las herramientas del desarrollador).
Aquí es donde puede haber algunos problemas más. Muchos sitios web no protegen muy bien sus activos y API. Al dejar los permisos abiertos a más recursos, el escritor de secuencias de comandos puede ser capaz de aplicar ingeniería inversa a los scripts de la página y obtener más recursos. Con las APIs, esta es otra historia. Al no restringir las API en el sitio, un script de GM puede hacer solicitudes adicionales a las API. Por ejemplo, digamos que el nombre de usuario era parte de una API. El script podría cambiar el nombre de usuario codificado y colocar otro nombre de usuario en el script que obtendría la información de otra persona. Tal vez el sitio vende algún tipo de servicio para la búsqueda y el usuario solo puede hacer una búsqueda por ubicación geográfica o intereses, pero no ambos. Si la API no está correctamente bloqueada, esta búsqueda puede extenderse a ambos con un script GM.
En cuanto a los ataques de fuerza bruta, un solo navegador probablemente no sea un gran ejército. Si el deseo es realizar ataques o incluso golpear el sitio muchas veces para probar contraseñas, hay muchas otras herramientas que son adecuadas para atacar.
Entonces, ¿es Greasemonkey una herramienta de galleta? Sí, pero solo permite que el cliente vea lo que ya existe debido a la mala seguridad del sitio web. Si hay un script GM instalado sin el conocimiento del usuario actual, el script puede espiar las acciones del usuario actual al atrapar contraseñas u otra información de las páginas que son familiares para el script.
De nuevo, el consejo dado por @Adnan:
Mi consejo para usted es que obtenga una persona competente para evaluar el situación de seguridad de su sitio web, y para ayudarlo a protegerlo de futuros ataques.
Lea otras preguntas en las etiquetas web-browser wordpress