🟣 Hack d'un site sous WP

C'est wp-login ça. C'est le wp-admin qui m'avait fait tiquer.

Une solution aussi pour ceux qui dev un peu, c'est de passer par Bedrock ou équivalent.

Ca permet d'isoler beaucoup plus simplement ce qui craint, et les permissions peuvent être beaucoup plus restrictives.
Jamais eu un hack pour le moment depuis que je monte mes nouveaux sites en faisant comme ça.
Les anciens se sont très régulièrement fait visiter.

Je peux d'ailleurs partager si besoin le script de suppression de hack qui marche bien pour le type d'attaque que j'avais (rajouter des pages spammy/un sitemap non inclus à WP et faire des redirections dessus).

Le plugin dont tu parles, une URL comme https://www.monsite.com/wp-admin/post.php?post=1&action=edit est inaccessible ? Si oui, bien joué au développeur, quand j'avais essayé, ça pétait des erreurs partout et comme ça n'avait aucun intérêt en terme de sécurité, je ne me suis pas pris la tête.

Pour la sécurité, wp-login.php suffit, /wp-admin/ te redirige vers wp-login.php si tu n'es pas connecté.

Ps : Nazim a justement rectifié un post plus loin en disant que wp-login.php suffit.

Un select  sur la table wp_posts qui va zieuter sur le champs post_content s'il n'y a pas par exemple d'iframe ou de css  qui cache qqchose ça te donne :

Tu peux imaginer d'autres trucs et l'adapter aussi à la table wp_comments dans le cas ou c'est openbar.

Tu peux l'automatiser via une tache cron qui s'exécute et te notifie dans le cas de trouvaille suspecte.

Dernière modification par nazim (2021-03-18 17:54:33)

@Chafouin > Ton plugin est exploité par les hackers depuis 2019.
Le mec est rentré sur ton site en utilisant une injection JS par le paramètre GET "post_title"

-----------

C'est quoi bedrock ?

-----------

PS : Perso je m'amuse bcp à coder des honeypots. Je fais des pages d'admins faciles à percer et qui mènent à des exploits insupportables :
des dashboards qui mettent 20sec à répondre et se chargent partiellement en random timeout, des liens morts sur des ressources en or, des fichiers de mots de passe sans queue ni tête. Bref, bienvenue à la COGIP.

Dernière modification par Atomium (2021-03-17 23:47:01)

@Nazim @Nilav oh top, merci !
J'avais trouvé des exemples de requêtes pour WP, mais pas toujours très clairs.

J'avoue, si je pouvais faire perdre du temps et des ressources à ces bots...

D'ailleurs parmi les plugins sécurité, un non évoqué est SecuPress.
Je l'avais acheté un temps et installé sur plusieurs sites : censé faire une bonne grosse partie du taf et des actions listées ici.

Après un nombre ingérable de faux positifs et sans solution du support, je l'ai dégagé de partout.
Il considérait tout visiteur comme un bot et lui balançait une erreur (5xx je crois). Pour qu'il ne gêne pas, fallait désactiver la quasi totalité des paramétrages... inutile.

Je ne sais pas si depuis la solution s'est amélioré, si d'autres en sont satisfaits ?

Message à caractère informatif

@Chafouin Sur le ftp du level 2 j'ai mis un plugin pour cacher qu'on utilise un wp. Hide WP ou qq chose comme ça. J'ai egalement mis un tweaker qui t'aideras.

Apres il y a un autre plugin que j'aime bien, mais c'est un peu une usine à gaz c'est All In One Wp Security, qui est gratuit sur le wordpress repository.

bonne vidéo en effet, merci du partage