Escaneamento de vulnerabilidades

Denis_IIQ · Maio 2, 2022, 12:43pm

Gabriel,
estou seguindo o curso de segurança no WP e num dos sites
que você indica (https://wpsec.com/ )para fazer o escaneamento de vulnerabilidades surge uma mensagem de erro que diz que ele não encontra plugins. O que pode estar ocorrendo? O site está bloqueando o scanning ou não está encontrando mesmo?

Gabriel · Maio 2, 2022, 7:28pm

Tem certeza que configurou a url correta no wpsec?
Também é possível que serviços como CloudFlare ou WpCerber passam gerar o bloqueio.

Denis_IIQ · Maio 3, 2022, 5:05am

A url está correta sim. Trata-se de um site novo instalado num subdomínio. Aquele que instalei com a ajuda do curso aaPanel há 2 meses.
Ainda não instalei o WpCerber nele. Vou fazer isso em breve.
O Cloudflare pode estar bloqueando? Fiz o teste com outro subdomínio e nesse teste ele faz menção ao cloudflare.

Estou justamente naquela parte do curso de segurança no WP em que se instala as PAGE RULES, mas ainda não implementei nada. Na verdade, essa configuração já havia sido feita para meus outros subdomínios. Acho que você se lembra disso, Gabriel.
Inclusive, está ocorrendo um outro problema relacionado ao Cloudflare no qual a tela de validação do Claudflare não está aparecendo para esta instalação nova, neste subdomínio, entretanto está configurado pra aparecer em todos os subdomínios.

Não é estranho? Veja que o subdomínio abaixo está funcionando corretamente.

No curso de segurança WP você não diz nada sobre ativar a nuvenzinha laranja do cloudflare, seria isso que está faltando?

Gabriel · Maio 3, 2022, 1:19pm

Eu tenho pouca informação para lhe responder isso de forma precisa.
Mas para fazer os testes com wpsec recomendaria desabilitar o proxy do CloudFlare e tentar executar os testes novamente.

Denis_IIQ · Maio 4, 2022, 9:26am

Gabriel, prefiro deixar a questão do wpsec de lado neste momento.

Preciso de sua ajuda para resolver uma situação bem mais grave.
O WP está informando que o meu subdomínio mais novo está vulnerável.

Conforme disse anteriormente, eu estava seguindo
o curso de segurança do WP e estagnei naquela parte em que se instala as PAGE RULES.
Está ocorrendo um problema no qual a tela de validação do Claudflare não está aparecendo para este subdomínio novo, entretanto está configurado pra aparecer em todos os subdomínios, pois foi colocado o asterisco na frente do domínio no campo da url.
O que posso fazer para que essa camada de segurança possa ser ativada no novo subdomínio?

Gabriel · Maio 4, 2022, 1:20pm

Desabilita o xmlrpc.php pelo WpCerber.

Denis_IIQ · Maio 4, 2022, 3:07pm

Gabriel, as PAGEs RULEs não está funcionando para um dos meus subdomínio, aquele que instalei pelo Open LiteSpeed.
Aqueles outros dois instalados via WordOps funcionam.
Além do xmlrpc, estou com o wp-login vulnerável
O que posso fazer para corrigir isso?

Gabriel · Maio 4, 2022, 4:05pm

Não vai funcionar somente se estiver com o proxy do CloudFlare desabilitado.
Mas pode usar o CerberWp. Veja as aulas sobre ele.

Denis_IIQ · Maio 4, 2022, 4:26pm

Estou assistindo as aulas sobre o Cerber neste momento.

Desculpa, Gabriel. Ficou um pouco confuso quando você disse “Não vai funcionar somente se estiver com o proxy do CloudFlare desabilitado.”
Estou com o proxy desabilitado para esse subdomínio, é por isso que não está funcionando, então?
Naqueles subdomínios em que o proxy está habilitado está funcionando direitinho.
Entendi corretamente? Pra funcionar o PROXY precisa estar HABILIDADO, certo?

Gabriel · Maio 4, 2022, 5:04pm

Sim, isso mesmo.
Qualquer recurso do ClouFlare funciona apenas com proxy habilitado.
Desabilitar o proxy é mesma coisa que desligar o CloudFlare.