Pregunta sobre Wordfence Security de Wordpress:

[BUG] Se prohíben las URL de mayúsculas y minúsculas.

Un usuario preguntó 👇

Hola

Estoy usando la función URL prohibida de Wordfence lo suficiente como para evitar inmediatamente que los piratas informáticos accedan a URL no deseadas.

Hoy me di cuenta de que las URL ingresadas en la lista de URL prohibidas distinguen entre mayúsculas y minúsculas. Por ejemplo, si agregamos / phpmyadmin una URL a la lista y alguien intenta acceder a una URL de / phpMyAdmin, no se bloqueará. Puede haber muchos cambios en una URL si cambiamos las mayúsculas y minúsculas de cada carácter y nos será muy difícil bloquear todas las versiones.

En mi opinión, las URL prohibidas ingresadas no deben distinguir entre mayúsculas y minúsculas. De modo que agregamos una URL una vez y podemos estar seguros de que Wordfence bloqueará el acceso de los visitantes a esa URL sin importar la situación que elijan.

Lo noté porque agregué / phpMyAdmin a la lista prohibida y hoy alguien intentó acceder a / phpmyadmin y no fue bloqueado. Lo probé yo mismo y tampoco me molestó. Encontré 404 páginas no encontradas.

Así que corrija este error y cree URL prohibidas que distingan entre mayúsculas y minúsculas.

Gracias.

(@ mountainguy2)

Hace 2 años, 7 meses

¿Debe ser esto una broma? MTN

(@wfphil)

Hace 2 años, 7 meses

Hola,

La única razón por la que puedo pensar en por qué desea configurar esta regla es debido al entorno de alojamiento que aloja su sitio, ya que tiene instalada la herramienta de administración de base de datos phpMyAdmin en su cuenta de alojamiento del sistema de archivos. Si este es el caso, le recomiendo que utilice reglas de bloqueo del lado del servidor para proteger ese directorio del acceso no autorizado.

Gracias.

Lanzador de hilos

(@ otro-usuario-de-wp)

Hace 2 años, 7 meses

No entendiste mi punto. No pertenece a la URL phpmyadmin.

Estaba hablando del aspecto que distingue entre mayúsculas y minúsculas de la funcionalidad URL prohibida. Por ejemplo, si agrego / admin / a la URL prohibida y alguien intenta acceder a / Admin / o / ADMIN /, no se bloqueará porque Wordfence solo prohibirá el acceso a direcciones IP / admin / URL.

Espero que ahora entiendas mi punto.

(@wfphil)

Hace 2 años, 7 meses

Hola,

Gracias por la aclaración. Puedo devolvérselo al equipo como una solicitud de función.

(@wfphil)

Hace 2 años, 6 meses

Hola,

Dado que no he recibido respuesta de usted y sus comentarios han sido devueltos al personal como una solicitud de función, estoy marcando este tema como resuelto.

El equipo maneja todas las solicitudes de funciones y les presta mucha atención, por lo que verá esto en una versión futura de Wordfence.

Gracias.

(@psamathe)

Hace 2 años, 4 meses

Cualquier idea de cuándo es probable que esto se solucione, ya que veo ataques de inicio de sesión de fuerza bruta en este momento con mayúsculas «inusuales» en los nombres de usuario que se ingresan y no pude ver nada aquí, así que hice otra pregunta.

Los ataques están capturando el segundo plugin de seguridad, por lo que no estoy entrando en pánico, pero suponiendo que no esté arreglado (no vi nada en las notas de la versión), parece una ruta de escape conocida por los atacantes.

(@ mountainguy2)

Hace 2 años, 4 meses

Suspiro, otra razón más por la que cancelé mi Wordfence Premium. Sospechaba que los atacantes eventualmente se darían cuenta de esto y comenzarían a agregar mayúsculas al azar a sus URL de ataque. Sería tan fácil configurar su Wordfence …

Pero dado que Wordfence tiene mejores cosas que hacer que reparar sus fallas de software, nosotros, como administradores de sitios web, debemos analizar nuestras opciones. Todas las URL se pueden convertir a minúsculas mediante los ajustes de configuración del servidor Apache. Se puede hacer en .htaccess, así como en httpd.conf. Buen tutorial aquí:

https://www.askapache.com/htaccess/rewrite-uppercase-lowercase/

Preferiría hacer esto a nivel de servidor con httpd.conf, de esa manera cubriría todos los sitios en mi servidor, pero me pregunto si hay algún daño al hacerlo de esa manera.

NOTA: Para estar seguro de que este es un problema que probé justo antes de escribir esta publicación. Cuando se agregó un carácter en mayúsculas a una URL bloqueada, se evitó la función de Wordfence «Bloquear inmediatamente las direcciones IP que acceden a estas URL». Horrible. Incontestado. Por favor, Wordfence, ¿podrías arreglar esto?

Lanzador de hilos

(@ otro-usuario-de-wp)

Hace 2 años, 4 meses

Eso es lo que estoy haciendo ahora mismo. Usando el código httpd.conf para convertir letras mayúsculas a minúsculas.

En mi opinión, la función de bloqueo de URL no debe distinguir entre mayúsculas y minúsculas.

(@ mountainguy2)

Hace 2 años, 4 meses

¿Por qué está marcado como «Resuelto»? Claramente es una falla continua. MTN

(@wfasa)

Hace 2 años, 4 meses

Hola @psamathe: La función que bloquea las URL no forma parte de la protección por fuerza bruta. La característica discutida en este hilo es una que obstaculiza a los usuarios cuando intentan visitar URL específicas en su sitio web. La URL no se consideraría un nombre de usuario. Para bloquear el inicio de sesión con nombres de usuario extraños, puede desactivar la opción en Wordfence de todos los nombres de usuario no válidos.

@ yet-another-wp-user, @ mountainguy2, Algunas personas pueden estar usando la distinción entre mayúsculas y minúsculas en URL prohibidas para bloquear ciertas cosas y no otras. Si implementamos esto, es probable que sea una opción separada donde puede elegir si distingue entre mayúsculas y minúsculas. El hilo ha sido marcado como una solución porque no tenemos más información que podamos darte en este momento. Se ha tomado nota de su solicitud de función y es posible que la implementemos en algún momento.

Gracias por la respuesta. ¡Espero que tengas una gran semana!

Lanzador de hilos

(@ otro-usuario-de-wp)

Hace 2 años, 4 meses

Considere el siguiente ejemplo:

Los piratas informáticos acceden repetidamente a la URL de un blog:

/ wp-content / upgrade /

El administrador ahora agrega a la lista de URL prohibidas inmediatamente:

/ wp-content / upgrade / *

Pero el hacker puede acceder a la URL a través de cualquier otro patrón como:

/ Wp-content / upgrade / / wp-content / upgrade / * / wp-content / upgrade / * / wp-content / upgrade / * y así sucesivamente

Entonces, ¿cuántos patrones debemos bloquear? 1000 o más?

(@wfasa)

Hace 2 años, 4 meses

/ wp-content / upgrade / es el único que no daría como resultado 404 y para protegerlo, debe tener la indexación de directorios deshabilitada en el servidor. Un ancla no puede «acceder» / WP-content / upgrade / porque no existe. La función «URL prohibidas» se puede utilizar eficazmente como un honeypot para las URL que probablemente sean solicitadas por escáneres defectuosos, pero no recomendaría intentar bloquear todas las URL que darían como resultado 404.

(@ mountainguy2)

Hace 2 años, 4 meses

Un problema continuo con la comunicación aquí, después de los partidarios de WF, está claro que se está utilizando la palabra «acceso» en lugar del término más técnico «solicitud». Ten piedad de nosotros.

Un token para Wordfence parece ser una opción básica para la sensibilidad al queso, gracias por considerarlo.

MTN

(@ mountainguy2)

Hace 2 años, 4 meses

PD: para resolver este problema con Wordfence, estaba emocionado de cambiar mi servidor Apache, por lo que convirtió todas las solicitudes URI entrantes a minúsculas. Resulta inaceptable en absoluto, porque Apache Linux distingue entre mayúsculas y minúsculas para las solicitudes de URI y, por lo tanto, me gustaría eliminar el acceso a cualquier URI de mayúsculas y minúsculas existente, por ejemplo, fotos como /IMG_5678.jpg/ dan como resultado un error 404 si se solicita como / img_5678 / Frustrating.

Conclusión: como sugiere WF Support en el mensaje anterior, es necesario que haya una opción dentro de Wordfence para que el «Bloquear URL» no distinga entre mayúsculas y minúsculas.

(@ mountainguy2)

Hace 2 años, 4 meses

WFASA

Aprecio tu teoría «Algunas personas pueden usar la sensibilidad del caso en URL prohibidas para bloquear ciertas cosas y no otras». Pero dado que la función «Bloquear URL» de Wordfence solo bloquea las URL que contienen _NOT_, soy escéptico de lo que está recomendando, que es muy común. Pensé que lo lograría, ya que es fácil olvidar que la función «Bloquear URL» no tiene ningún efecto en los archivos existentes.

¿Solucionó tu problema??

0 / 0

Deja una respuesta 0

Tu dirección de correo electrónico no será publicada.