En ocasiones nos encontramos con instalaciones de WordPress que llaman la atención, generalmente serán sitios de formación con alguno de los plugins e-learning ya que en ellos se almacenan informaciones relevantes, al tiempo de que son sitios que con el tiempo van a disponer una buena base de datos de usuarios. Ésto hace que sean susceptibles de ser atacados o comprometidos con registros maliciosos.

Por un lado, como siempre, evitaremos complementos nulled o incluso GPL aunque vengan de fuentes confiables. Estos plugins pueden llegar a tener puertas traseras y las aplicaciones de seguridad no podrán evitarlo.

Por otro, observaremos que muchas veces se intentan registrar con correos electrónicos temporales e intentar escalar privilegios (por mucho que hayamos cerrado bien las reglas de seguridad) permitiendo al usuario con perfil de usuario poder acceder al código de la web o incluso llegar a crear inyecciones en nuestra base de datos.

No vamos a acometer los ataques de denegación de servicios (DoS) ya que eso se ajusta desde el lado del servidor o proveedor de DNS y no desde la instalación de WordPress

No es desconocido que el mundo de este CMS es uno de los más populares del mundo y con las actualizaciones de los últimos años hace que sea el entorno preferido para crear cualquier sistema web, por lo que el mundo hacker está siempre buscando vulnerabilidades.

Una primera medida sería el instalar Wordfence para poder detectar cualquier actividad sospechosa, aunque con él no podremos hacer mucho más que saber el estado e incluso bloquear IP o países, veremos que muchas veces los ataques provienen de Asia o países de la Europa del este. El problema es que si bloqueamos por países podremos encontrarnos con que no damos accesos a personas que por sus propias circunstancias viven expatriados y tampoco lo considero justo en la mayoría de los casos.

En las últimas semanas, hemos observado que en una de nuestras instalaciones e-learning se registraban sistemáticamente uno o varios usuarios con emails temporales intentando las cosas que hemos comentado. Por lo que buceando en los grupos de Telegram el compañero @PythonDataWrangler (Tete para los amigos) Podéis seguirlo en LinkedIn y/o Twitter. Me proporcionó un hook en php que podemos aplicar en nuestro functions.php del child-Theme (tema hijo) o personalmente como prefiero implementarlo en el Code Snippets ya que de esta manera aunque se actualice el theme no afecta al código y en el caso que colisione con algo de la web siempre puedo desactivarlo.

//Evitar registros de dominios temporales

function check_temp_email($errors, $sanitized_user_login, $user_email) {

// Lista de dominios de correo temporal para verificar
$temp_email_domains = [«tempmail.com», «10minutemail.com», «throwawaymail.com», «inboxmail.imailfree.cc», «email.imailfree.cc», «mail.imailfree.cc», «imailfree.cc»];

// Obtiene el dominio del correo electrónico
$email_domain = substr(strrchr($user_email, «@»), 1);

// Verifica si el dominio del correo electrónico está en la lista de dominios temporales
if (in_array($email_domain, $temp_email_domains)) {
$errors->add(‘invalid_email’, __(‘<strong>Error</strong>: El registro con dominios de correo temporales no está permitido.’));
}

return $errors;
}

add_filter(‘registration_errors’, ‘check_temp_email’, 10, 3);

Como podéis comprobar en la línea que empieza // Lista de dominios de correo temporal para verificar Podéis añadir los dominios que os interesen, lo que sí tengo que advertir es que no se puede o mejor dicho no se debería bloquear dominios gmail.com outlook.com etc… Ya que probablemente sea más un problema de clientes reales que no se pueden registrar que para evitar registros no deseados.

Debo decir, como final, que desde que implanté el hook directamente los registros «malos» son 0 mientras que los buenos han sido una buena cantidad.

Gracias TETE, me ha servido y mucho.

Por otro lado, si alguien ve que necesita ayuda con eso, que contacte y nos ponemos manos a la obra.