Usas WP GPRD en tus WordPress ? actualiza ya!!!

El popular plugin de WordPress WP GPRD cuenta con un gran problema de seguridad que está siendo aprovechado hace varias semanas por hackers de todo el mundo, un problema que puede permitir que otras personas controlen nuestro sitio web.

 

WP GDPR Compliance fue eliminado del directorio oficial de Plugins hace pocos días, y solo ha vuelto ahora, después de la versión 1.4.3, que contenía parches para los problemas informados, tal y como indican en zdnet.

Todos aquellos wordpress que tengan la versión 1.4.2 y anteriores pueden sufrir el siguiente escenario:

  • Los hackers abren el sistema de registro de usuarios del sitio aprovechando error del plugin.
  •  Consiguen alterar la opción de nuevas cuentas por default como “administrador”.
  • Registran una nueva cuenta, que automáticamente se convierte en administrador. Esta nueva cuenta generalmente se llama “t2trollherten”.
  • Establecen la función de usuario predeterminada para las cuentas nuevas como “suscriptor”.
  • Deshabilitan el registro de usuarios públicos.
  • Inician sesión en su nueva cuenta de administrador.
  • Instalan una puerta trasera como un archivo llamado wp-cache.php.
  • Este script de puerta trasera contiene un administrador de archivos, un emulador de terminal y otras funciones, lo que permite tener un control absoluto de la web.

En una segunda técnica más silenciosa, se agrega una nueva tarea a WP-Cron, el programador de tareas integrado de WordPress, tarea que descarga e instala el complemento Autocode de 2MB, que los atacantes luego usan para cargar otro script de puerta trasera en el sitio, también llamado wp-cache.php.

Si usáis este plugin, actualizadlo urgentemente.

[ALERTA] – Ataque mundial a WordPress,

Copio y pego directamente desde ayudawordpress.com

 

ip trace

Hoy se está registrando un intento desproporcionado de intentos de acceso a sitios creados con WordPress que está provocando no pocos problemas a administradores de webs y sistemas.

 

El proceso está tratando de forzar accesos cómo administrador a través de la pantalla de login (wp-login.php) mediante scripts de ataque de fuerza bruta, con la intención de inyectar código script malicioso en el tema activo.

Si tienes activo el módulo de WordFence de bloqueo de IPs ante intentos masivos de acceso ya sabes de lo que estoy hablando porque habrás tenido, cómo yo, un día entretenido de avisos de IPs bloqueadas por este motivo, la mayoría desde Rusia o países de la antigua URSS.

Para evitar este tipo de ataques tenemos dos herramientas eficaces e inmediatas:

  1. Avisa a tu proveedor de alojamiento del problema y pide que te activen el módulo mod_security de Apache.
    Para saber más sobre mod_security te recomiendo descargar la guía que hizo Samuel Aguilera, que indica las protecciones que ofrece y cómo saltárselas puntualmente, pero siempre sabiendo lo que haces. Encuentras el enlace al PDF al final del artículo enlazado.
  2. Instala y activa el plugin Wordfence y comprueba que están activas las reglas de Firewall (por defecto no están activas), que podrían ser cómo en esta captura:
    firewall rules wordfence 

    Nota: El valor de “If a human’s page views exceed” debes modificarlo de acuerdo al tráfico “normal” de tu sitio o bloquearás usuarios normales.

    También comprueba que tienes bien configuradas las reglas de control de accesos, cómo en esta otra captura por lo menos:
    wordfence login options

    Para asegurarte totalmente, si estás sufriendo un ataque inminente puedescambiar el nivel de seguridad del plugin poniéndolo en el nivel 4, el de máxima seguridad:

    nivel 4 wordfence

Para todo lo demás, te recuerdo los consejos básicos para asegurar WordPress.

Gracias a Borja por avisar.

WordPress se actualiza a la version 3.3

Nueva e importante actualización de WordPress con cambios significativos en la carga de archivos y edicion de post, ademas de un cambio de disño en el panel de control.

Muy recomendable su actualización: http://www.grupoesentia.com/actualizacion-wordpress-3-3

Error en WordPress: no se pudo crear el directorio…

WordPressSi actualizando WordPress o reinstalando plugins obteneis errores como este:

Descargando actualización dehttp://wordpress.org/extend/themes/download/theme.1.12.zip.
Descomprimiendo la actualización
Instalando la última versión
Eliminando la antigua versión del theme.
No ha sido posible crear el directorio /usr/home/midominio.com/web/wp-content/themes/mystique/
¡El theme no ha sido actualizado!

Solo tenéis que desactivar el SAFE MODE de la configuración PHP de vuestro servidor y ya no tendréis mas problemas

70 Temas gratis para WordPress

Trazos web publica una recopilación de los mejores themes para nuestros WordPress. Entre estos 70 themes encontrarás calidad gratuita para cualquier proyecto que tengas en mente.

1. Creative by Nature

Creative By Nature WordPress ThemeDetallesPrevisualizaciónDescargar

2. Celebrate Creativity

Celebrate Creativity WordPress ThemeDetallesPrevisualizaciónDescargar