Protege tu web o blog en WordPress con WebsiteDefender (Beta)

Como comento en el título, el servicio está en estado de «Beta» pero es plenamente operativo. Si hablamos de WebsiteDefender, estamos haciendo mención por ejemplo a los creadores (entre otros) del plugin «Secure WordPress«.

Hace unos días, me llegó a través del formulario de contacto de davidhernandez.es (donde aglutino los servicios que ofrezco a nivel profesional) una consulta para asegurar una instalación de un WordPress que contaba con una pasarela de pago segura, registro de usuarios y una tienda virtual integrada en él.

Tipos de alertas y avisos;

 

Entre otras modificaciones y revisiones que hice, di de alta una cuenta para el cliente en WebsiteDefender y los resultados fueron cuasi-inmediatos en el primer «scan» realizado y que vi en la bandeja de entrada de mi correo electrónico.

Como ejemplo, reproduzco con datos (algunos simulados) de mi blog cuestiones que vi en el del cliente. WebsiteDefender. además de comprobar el estado de tus DNS, tiempo de expiración del dominio, si tu web o IP está incluida en alguna «blacklist» (lista negra) o catalogada como «spammer» (tal y como os comenté hace un tiempo aquí), también revisa si Google considera que eres «portador» de algún tipo de Malware tal y como se puede ver en esta captura de pantalla;

También compara si ha habido cambios en algún directorio, si tienes actualizaciones pendientes de algún plugin o si alguno es vulnerable, como sucedio con este caso que reproduzco/simulo en mi blog con el plugin «Register Plus«, plugin del que ni se sabe nada en la web de sus creadores ni en la sección de plugins de WordPress…Pero si lo tienes como era su caso instalado, ahí está «clavada» la versión 3.5.1 (y por los tiempos estará según veo…).

Aviso que puedes ver en tu tablero de WebsiteDefender;

The WordPress plugin register-plus from your WordPress installation in / is known to be affected by a security vulnerability.

Vulnerability details
Title WordPress Register Plus Plugin ‘wp-login.php’ Multiple Cross-Site Scripting Vulnerabilities
Version 3.5.1
Description Register Plus plugin for WordPress is prone to multiple cross-site scripting vulnerabilities because it fails to properly sanitize user-supplied input. An attacker may leverage these issues to execute arbitrary script code in the browser of an unsuspecting user in the context of the affected site. This may let the attacker steal cookie-based authentication credentials and launch other attacks. Register Plus plugin 3.5.1 is vulnerable; other versions may also be affected.

Solution

Update the WordPress plugin to the latest version or contact the vendor for more information about a fix.

References

Como podéis ver, un bug desde hace unos 8 meses sin solventar…Un grave problema ya que al no llegar un aviso de actualización, si usas muchos plugins puedes llegar a «olvidarte» de alguno o pensar que como no sale un aviso está todo ok, craso error.


Ya digo, un servicio altamente recomendable, de uso gratuito (podéis registrar una cuenta para cada web o blog con direcciones de e-mail diferentes) y que por lo que he podido comprobar en varias ocasiones, os puede evitar más de un «susto».

Enlace –> WebsiteDefender

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • Pingback:

    Bitacoras.com
  • tat

    Muy interesante para todos los que tenemos wp, muchas gracias socio.

  • dabo

    Ya sabes tat, es una opción más y a mi me está yendo bien con el sistema a modo de complemento ;)

Comentarios cerrados.