WordPress sql plugin
Contenidos
El Plugin de Prevención de Fraude permite a WooCommerce rechazar pedidos de visitantes específicos, basándose en criterios de lista negra personalizables. Puede bloquear clientes fraudulentos por Email, Dirección IP, Estado y Código Postal. Ayudará a su tienda a hacer crecer su negocio, con el poder de las transacciones válidas
Cuando un usuario intente realizar un pedido o registrarse utilizando una de las direcciones IP, estado y código postal de la lista negra, el proceso de pago o la cuenta se interrumpirá y se notificará al usuario el motivo por el que se ha bloqueado la operación.
Sí, tienes que activar el plugin woocommerce blocker y habilitar la condición de página de registro/página de pago en el plugin y podrás bloquear la dirección IP. Puede añadir múltiples direcciones IP en el plugin. Plugin le dará la opción de añadir mensajes personalizados según su condición como el bloque por correo electrónico, dirección IP, estado y código postal.
Sí, tienes que activar el plugin woocommerce blocker y habilitar la lista negra externa de github. Hay una lista de dominios de correo electrónico desechables/temporales en Github. Puede utilizar esta lista también junto con su propia lista negra.
Control de acceso de usuarios de WordPress
Denominado WP-Base-SEO, el plugin es una falsificación de un plugin legítimo de optimización de motores de búsqueda, llamado WordPress SEO Tools, según SiteLock, la empresa que descubrió originalmente la amenaza. A primera vista, el archivo parece legítimo, ya que utiliza la funcionalidad de gancho nativa de WordPress. Sin embargo, una mirada más atenta revela su intención maliciosa en forma de una solicitud eval PHP codificada en base64.
Eval es una función PHP que ejecuta código PHP arbitrario. Se utiliza habitualmente con fines maliciosos y php.net recomienda no utilizarla, señala SiteLock. En este caso, se adjunta como una “acción” a la cabecera del tema del sitio web. WordPress define las acciones como los ganchos que el núcleo de WordPress lanza en puntos específicos durante la ejecución, o cuando se producen eventos específicos. Los plugins pueden especificar que una o más de sus funciones PHP se ejecuten en estos puntos, utilizando la API de acciones. Y eso significa que los atacantes remotos ahora tienen acceso de puerta trasera, y pueden obligar al sitio a hacer su voluntad.
“Algunas versiones incluyen un gancho adicional que se ejecuta también después de cada carga de página, lo que significa que cada vez que se carga el tema en un navegador, se inicializa la solicitud”, señaló SiteLock. Añadió que los investigadores han observado que varios sitios han sido infectados por el malware, pero una búsqueda en Internet del nombre del plugin no reveló ninguna información, lo que sugiere que puede estar volando bajo el radar de otros escáneres de malware.
Plugin de inicio de sesión de invitados de WordPress
En algunas ocasiones recientes, plugins de alto perfil con miles de instalaciones han sido eliminados del repositorio de WordPress.org. A veces se debe a una vulnerabilidad de seguridad. A menudo, sin embargo, el plugin desaparece sin previo aviso y el usuario no se entera de nada.
La mayoría de nosotros conoce la advertencia de dos años para los plugins que no han sido actualizados por sus autores. Podemos pedir al desarrollador del plugin que publique una actualización o prepararnos para encontrar un sustituto. Pero la desaparición repentina de un plugin puede pillarnos desprevenidos.
Ahora, cuando visites la página de WordPress.org de un plugin eliminado, verás el mensaje “Este plugin se ha cerrado y ya no está disponible para su descarga”. También se dará cuenta de que el botón de descarga del plugin está ausente.
La eliminación de este plugin -con 100.000 instalaciones- provocó cierta controversia. Su autor, Scott Allen, se mostró en desacuerdo con la eliminación de su plugin de WordPress.org tras un altercado con otro autor de plugins.
Más de 100.000 sitios utilizaban Postman SMTP. Fue retirado después de que un investigador de seguridad encontrara una vulnerabilidad. Parece que el plugin no estaba siendo mantenido. El artículo sugiere un plugin alternativo, Post SMTP Mailer/Email Log, que fue creado a partir del plugin original.
WordPress página shortcode
Joe Dolson, consultor de accesibilidad, detectó una actividad sospechosa en las reseñas del plugin AccessiBe e informó al equipo de plugins de WordPress.org. Gracias a la minuciosa investigación de Dolson, las reseñas se eliminaron en menos de 48 horas.
En el momento de la denuncia, Dolson encontró 31 reseñas de cinco estrellas, 2 de cuatro estrellas y 2 de una estrella. Tras introducirlas en una hoja de cálculo, descubrió ciertas correlaciones entre las 11 primeras opiniones de cinco estrellas:
Aproximadamente 33 reseñas fueron eliminadas de la página del plugin AccessiBe después del informe. Mika Epstein, miembro del equipo del plugin, dijo que el equipo “pasa los informes a un voluntario que es increíble cazando VPNs e IPs para eso”. También reconoció que el trabajo de campo y los informes de Dolson fueron decisivos en este caso concreto.
Dolson me permitió ver su hoja de cálculo, en la que registraba las URL de cada supuesta reseña falsa, junto con las fechas y las reseñas dejadas en otros plugins. Éstas no se guardaron en Internet Archive, pero Dolson dijo que eran todas “bastante genéricas” y que cada una era una reseña de una sola frase. Los perfiles de los usuarios parecen seguir ahí, pero no muestran ninguna actividad.