X

Cómo proteger WordPress contra solicitudes de URL maliciosas

Última actualización por Debjit Saha
LinkedInPinShares0
Snippets by IsItWP

¿Estás buscando una forma de proteger tu sitio WordPress de peticiones URL maliciosas? Aunque probablemente exista un plugin para esto, hemos creado un rápido fragmento de código que puedes utilizar para proteger WordPress contra peticiones de URL maliciosas en WordPress.

Instrucciones:

Todo lo que tienes que hacer es añadir este código al archivo .htaccess de tu tema.


$request_uri = $_SERVER['REQUEST_URI'];
$query_string = $_SERVER['QUERY_STRING'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];

// request uri
if (	//strlen($request_uri) > 255 || 
	stripos($request_uri, 'eval(') || 
	stripos($request_uri, 'CONCAT') || 
	stripos($request_uri, 'UNION+SELECT') || 
	stripos($request_uri, '(null)') || 
	stripos($request_uri, 'base64_') || 
	stripos($request_uri, '/localhost') || 
	stripos($request_uri, '/pingserver') || 
	stripos($request_uri, '/config.') || 
	stripos($request_uri, '/wwwroot') || 
	stripos($request_uri, '/makefile') || 
	stripos($request_uri, 'crossdomain.') || 
	stripos($request_uri, 'proc/self/environ') || 
	stripos($request_uri, 'etc/passwd') || 
	stripos($request_uri, '/https/') || 
	stripos($request_uri, '/http/') || 
	stripos($request_uri, '/ftp/') || 
	stripos($request_uri, '/cgi/') || 
	stripos($request_uri, '.cgi') || 
	stripos($request_uri, '.exe') || 
	stripos($request_uri, '.sql') || 
	stripos($request_uri, '.ini') || 
	stripos($request_uri, '.dll') || 
	stripos($request_uri, '.asp') || 
	stripos($request_uri, '.jsp') || 
	stripos($request_uri, '/.bash') || 
	stripos($request_uri, '/.git') || 
	stripos($request_uri, '/.svn') || 
	stripos($request_uri, '/.tar') || 
	stripos($request_uri, ' ') || 
	stripos($request_uri, '<') || 
	stripos($request_uri, '>') || 
	stripos($request_uri, '/=') || 
	stripos($request_uri, '...') || 
	stripos($request_uri, '+++') || 
	stripos($request_uri, '://') || 
	stripos($request_uri, '/&&') || 
	// query strings
	stripos($query_string, '?') || 
	stripos($query_string, ':') || 
	stripos($query_string, '[') || 
	stripos($query_string, ']') || 
	stripos($query_string, '../') || 
	stripos($query_string, '127.0.0.1') || 
	stripos($query_string, 'loopback') || 
	stripos($query_string, '%0A') || 
	stripos($query_string, '%0D') || 
	stripos($query_string, '%22') || 
	stripos($query_string, '%27') || 
	stripos($query_string, '%3C') || 
	stripos($query_string, '%3E') || 
	stripos($query_string, '%00') || 
	stripos($query_string, '%2e%2e') || 
	stripos($query_string, 'union') || 
	stripos($query_string, 'input_file') || 
	stripos($query_string, 'execute') || 
	stripos($query_string, 'mosconfig') || 
	stripos($query_string, 'environ') || 
	//stripos($query_string, 'scanner') || 
	stripos($query_string, 'path=.') || 
	stripos($query_string, 'mod=.') || 
	// user agents
	stripos($user_agent, 'binlar') || 
	stripos($user_agent, 'casper') || 
	stripos($user_agent, 'cmswor') || 
	stripos($user_agent, 'diavol') || 
	stripos($user_agent, 'dotbot') || 
	stripos($user_agent, 'finder') || 
	stripos($user_agent, 'flicky') || 
	stripos($user_agent, 'libwww') || 
	stripos($user_agent, 'nutch') || 
	stripos($user_agent, 'planet') || 
	stripos($user_agent, 'purebot') || 
	stripos($user_agent, 'pycurl') || 
	stripos($user_agent, 'skygrid') || 
	stripos($user_agent, 'sucker') || 
	stripos($user_agent, 'turnit') || 
	stripos($user_agent, 'vikspi') || 
	stripos($user_agent, 'zmeu')
) {
	@header('HTTP/1.1 403 Forbidden');
	@header('Status: 403 Forbidden');
	@header('Connection: Close');
	@exit;
}

Nota: Si es la primera vez que añade fragmentos de código en WordPress, consulte nuestra guía sobre cómo copiar / pegar correctamente fragmentos de código en WordPress, para no romper accidentalmente su sitio.

Si te ha gustado este fragmento de código, por favor considere revisar nuestros otros artículos en el sitio como: 18 mejores WordPress comentarios plugins y cómo crear un formulario emergente en WordPress.

LinkedInPinShares0

Comentarios   Deja una respuesta

  1. Na Playing dice septiembre 22, 2013 en 10:31 am

    thanks

    Responder
  2. Paul junio 29, 2012 en 5:15 am

    He Kevin, is this the same stuff what Secure WordPress (http://wordpress.org/extend/plugins/secure-wordpress/) does, see list item 11?

    Responder
  3. Drew Jaynes febrero 24, 2012 en 9:22 am

    User levels were deprecated in WP 3.0, you should use actual capabilities or roles in your current_user_can check, e.g.
    if ( ! current_user_can( 'administrator' ) ) {

    Responder
    1. Kevin Chard febrero 24, 2012 en 12:17 pm

       Very true Drew, ill update the snippet thanks!

      Responder
  4. Ty febrero 22, 2012 en 4:24 pm

    Can I just add this code to my functions.php plugin?

    I’d also like to see code for POST protection.

    Responder
    1. Kevin Chard febrero 24, 2012 en 12:16 pm

       the best way to include this I find it to place it within the mu-plugins/ folder if you don’t have one you can create one. This will force the plugin to run as a must use plugin. Download the zip above that is the best way to run it,

      Responder
  5. SB febrero 22, 2012 en 11:33 am

    This will only protect a GET request, like index.php?name=eval(base64_decode(EVIL+CODE

    But in the WordPress Forum a lot of people are getting hacked via Post requests, and then this code will not protect.

    Do you have something similar but for POST?

    Responder

Añadir un comentario

Nos alegra que haya decidido dejar un comentario. Tenga en cuenta que todos los comentarios se moderan de acuerdo con nuestra política de privacidad , y que todos los enlaces son nofollow. NO utilice palabras clave en el campo del nombre. Tengamos una conversación personal y significativa.

WordPress Launch Checklist

La lista definitiva para lanzar WordPress

Hemos recopilado todos los elementos esenciales de la lista de comprobación para el lanzamiento de su próximo sitio web de WordPress en un práctico ebook.
Sí, envíeme el ¡gratuito!
Copyright © 2015 - 2024 WPBeginner LLC. Todos los derechos reservados. Gestionado por Awesome Motive Inc.

NOTA EDITORIAL: Las opiniones expresadas aquí son sólo las del autor, no las de ninguna empresa de alojamiento, proveedor de plugins, empresa de temas, Syed Balkhi o Fundación WordPress, y no han sido revisadas, aprobadas o respaldadas por ninguna de estas entidades.

DESCARGO DE RESPONSABILIDAD: Hacemos grandes esfuerzos para mantener datos fiables sobre todas las ofertas presentadas. Sin embargo, estos datos se proporcionan sin garantía. Los usuarios siempre deben consultar el sitio web oficial del proveedor para conocer los términos y detalles actuales. Las ofertas de productos que aparecen en el sitio web son de las respectivas empresas de alojamiento, empresas de plugins y empresas de temas de las que IsItWP recibe compensación. Esta compensación puede afectar a cómo y dónde aparecen los productos en este sitio (incluyendo, por ejemplo, el orden en que aparecen). Este sitio no incluye todos los productos de WordPress ni todas las ofertas de productos disponibles.