Hardening WordPress – WordPress Security Scan (wp-security-scan)

Una de las cosas que me preocupan, es la seguridad (no me refiero a la seguridad en México…).

Y es que cuando entras al mundillo de los sitios web, empiezas a darte cuenta que todo puede pasar de ser miel sobre hojuelas, a un sitio crackeado por algún script kiddie con ganas de molestar.

Así que investigando un poco, dí con éste plugin

http://wordpress.org/extend/plugins/wp-security-scan/

Que nos permite hacer ciertos cambios en nuestro blog de wordpress para evitar los puntos de ataque más típicos:

  • Bruteforcing de usuarios
  • SQL injection
  • Permisos

Pues bien, este post es para dos cosas, recomendar el plugin, y recomendar la solución a uno de los problemas que ocasiona utilizarlo…

Resulta ser que uno de los “fixes” que aplica, es el de renombrar las tablas con el prefijo por default de wordpress “wp_” por algún otro menos típico, que nos permita evitar ciertos tipos de ataques. Pues bueno, una vez que lo aplicas, te encuentras con un problemita al entrar al admin del sitio:

“No tienes suficientes permisos para acceder a esta página”

Genial… pues el plugin tiene un pequeño defecto, ya que renombra incorrectamente algunas cosas. Para esto, encontré la siguiente solución en

http://www.neoegm.com/es/tech/wordpress/how-to-fix-the-you-do-not-have-sufficient-permissions-to-access-this-page-message-in-wordpress/

que se debe ejecutar directamente como una consulta en nuestra base de datos (donde newprefix_ es el nuevo prefijo de nuestras tablas):


UPDATE `newprefix_usermeta` SET `meta_key` = REPLACE(`meta_key`, 'wp_', 'newprefix_');
UPDATE `newprefix_options` SET `option_name` = 'newprefix_user_roles' WHERE `option_name` = 'wp_user_roles' AND `blog_id` = 0;

Y el problema se debe a que en el contenido de las tablas se mencionan referencias al prefijo de las tablas, donde faltó renombrar.

Así que si alguien quiere utilizar el plugin, y tienen este problema, prueben esta solución:

PD: SIEMPRE hay que hacer copias de seguridad antes de hacer los cambios.

5 pensamientos en “Hardening WordPress – WordPress Security Scan (wp-security-scan)

  1. Me llegó un trackback al post original que escribí, porque se ve que en algún momento publicaste el link del que obtuviste la información…

    Te pido que seas respetuoso de siempre publicar las fuentes de donde obtienes los datos que compartes, especialmente si, como en mi caso, fue hecho en forma libre y gratuita por el bien de todos. Creo que ese es el espíritu del open-source.

    Dejo aquí el enlace original:
    http://www.neoegm.com/tech/wordpress/how-to-fix-the-you-do-not-have-sufficient-permissions-to-access-this-page-message-in-wordpress/

    Disculpá las molestias y espero que no elimines este comentario.
    Muchas gracias.

    NeoEGM
    http://www.neoegm.com/

    • Bien, dos cosas, ciertamente olvidé poner el link en el post, y la otra, yo mandé el trackback, de otro modo no te hubieras enterado. Agrego tu link…

  2. Pingback: WP Security Scan versión 3.0.1 - Tech Surveyor

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *