[SOLUCIONADO] Seguridad de un programa junto con wordpress

kobety · #1 (**permalink**) 02/08/2013, 02:06

Buenas, os comento, estoy realizando un software para mi empresa, y hasta ayer pensé en dejarlo en local (ya que es un proyecto hecho a pelo, sin frameworks ni nada, no sabía de su existencia hasta hace poco :( )
Ya que de seguridad solamente tengo que no se pueda meter nadie sin estar logueado (sesiones) y en ciertas zonas solo ciertos usuarios (comprobando el nombre de la sesión) y que no pueda conectarse un usuario en diferentes sitios a la vez (lo manejo a través de la bbdd)
Y bueno como también estoy realizando la página web (la estoy haciendo en wordpress), he pensado que si meto la carpeta de mi proyecto en la que suba al servidor junto todo lo de wordpress y subo su base de datos (es decir, con la de wordpress o si el servidor me lo permite, tener dos bases de datos), ese proyecto tendría toda la seguridad que pueda ofrecer wordpress verdad?
Creéis que es una buena idea o mejor lo dejo en local? Muchas gracias :)

Nemutagk · #2 (**permalink**) 02/08/2013, 02:46

Si te entendí bien preguntas que si pones tu proyecto junto a un wordpress este (tu proyecto) hereda la seguridad que pueda tener wordpress?, es esa le pregunta es un obvio y rotundo no, la seguridad en un sitio web se basa en que tanto preparaste (a nivel código) la aplicación para evitar ataque o intrusiones de usuarios mal intencionados, este tipo de "protección" no se puede heredar a otros proyectos ya que depende como fueron escritos, si en tu proyecto no saneaste (limpiar) variables que proveen información introducida por usuarios, verificación exhausta en archivos subidos por formularios, manipulaciones de cookies, etc etc etc, tu aplicación será muy insegura, así lo pongas en la misma carpeta que la aplicación mas segura, en todo caso, podrías heredar seguridad en cuanto a configuración del servidor apache/mysql, pero ojo, eso no quiere decir que si tu aplicación tiene brechas estas no serán arregladas de manera automática (inyección SQL por ejemplo)...

kobety · #3 (**permalink**) 02/08/2013, 02:57

Gracias por responder, el tema de subida de archivos no hay que temerlo, ya que no se suben y todas las variables he intentado comprobarlas en los inputs con los tipos, y luego mediante php antes de insertarlos en la base de datos, lo que me preocupa es la inyección y todo eso....habría alguna manera de mejorar la seguridad ante ataques? es que de eso estoy un poco cojeando :S

Nemutagk · #4 (**permalink**) 02/08/2013, 03:02

Usando PDO te olvidas de inyección SQL, claro, si es usado correctamente, porque eh visto códigos que de plano usan PDO o MySQLi que de plano le quitan toda la seguridad que estos "drivers/interfaces" pueden ofrecer...

kobety · #5 (**permalink**) 02/08/2013, 03:33

ok muchas gracias! es que hace poco encontré este código por internet, y decían de ponerlo en el .htaccess, pero al ponerlo, me da error y no me deja hacer nada :S:S ni acceder a ningún sitio de mi programa

Código PHP:

Ver original# BEGIN paginaweb
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /paginaweb/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /paginaweb/index.php [L]
</IfModule>
 
## Seguridad extra para PHP  
php_flag safe_mode on  
php_flag expose_php off  
php_flag display_errors off  
  
## Manejo de errores de Apache. Cuando se produzca uno de estos errores, redirigimos a una pagina especial desarrollada por nosotros.  
ErrorDocument 401 /error401.html  
ErrorDocument 403 /error403.html  
ErrorDocument 404 /error404.html  
   
   
RewriteEngine On  
   
Options +FollowSymLinks  
# Evitar escaneos y cualquier intento de manipulación malintencionada  
# de la URL. Con esta regla es imposible lanzar ataques de inyección (SQL, XSS, etc)  
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]  
RewriteCond %{HTTP_USER_AGENT} ^(-|\.|') [OR]  
RewriteCond %{HTTP_USER_AGENT} ^(.*)(<|>|%3C|%3E)(.*) [NC,OR]  
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget)(.*) [NC,OR]  
RewriteCond %{HTTP_USER_AGENT} ^(.*)(libwww-perl|libwwwperl|snoopy|curl|wget|winhttp|python|nikto|scan|clshttp|archiver|loader|email|harvest|fetch|extract|grab|miner|suck|reaper|leach)(.*) [NC,OR]  
   
RewriteCond %{REQUEST_URI} ^(/,|/;|/<|/>|/'|/`|/%2C|/%3C|/%3E|/%27|/////) [NC,OR]  
RewriteCond %{HTTP_REFERER} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|<|>|'|%3C|%3E|%26%23|%27|%60)(.*) [NC,OR]  
RewriteCond %{QUERY_STRING} ^(.*)(%00|%08|%09|%0A|%0B|%0C|%0D|%0E|%0F|%2C|%3C|%3E|%27|%26%23|%60)(.*) [NC,OR]  
RewriteCond %{QUERY_STRING} ^(.*)('|-|<|>|,|/|\\|\.a|\.c|\.t|\.d|\.p|\.i|\.e|\.j)(.*) [NC,OR]  
RewriteCond %{HTTP_COOKIE} ^(.*)(<|>|'|%3C|%3E|%27)(.*) [NC]  
   
RewriteRule ^(.*)$ error.php [NC]  
## No permitir acceso al .htaccess  
order allow,deny  
deny from all  
   
## Evitar que se liste el contenido de los directorios  
Options All -Indexes  
   
## Lo mismo que lo anterior  
IndexIgnore *  
   
## Denegar el acceso a robots dañinos, browsers offline, etc  
RewriteBase /  
RewriteCond %{HTTP_USER_AGENT} ^Anarchie [OR]  
RewriteCond %{HTTP_USER_AGENT} ^ASPSeek [OR]  
RewriteCond %{HTTP_USER_AGENT} ^attach [OR]  
RewriteCond %{HTTP_USER_AGENT} ^autoemailspider [OR]  
RewriteCond %{HTTP_USER_AGENT} ^Xaldon\ WebSpider [OR]  
RewriteCond %{HTTP_USER_AGENT} ^Xenu [OR]  
RewriteCond %{HTTP_USER_AGENT} ^Zeus.*Webster [OR]  
RewriteCond %{HTTP_USER_AGENT} ^Zeus  
##redireccionar a los robots a otra web  
RewriteRule ^.*$ http://www.otraweb.com [R,L]  
   
# Protegerse contra los ataques DOS limitando el tamaño de subida de archivos  
LimitRequestBody 10240000 
 
 
 
# END paginaweb

bueno, comento también que mi código es el siguiente para el login y eso, si me pudierais decir si tiene algún fallo de seguridad me gustaría saberlo, muchas gracias!

login.html

Código HTML:

Ver original<form action="login.php" method="POST">
    <table>
        <tr><td>Usuario:</td><td> <input required type="text" name="user" /><br /></td></tr>
        <tr><td>Contraseña:</td><td> <input required type="password" name="pass" /><br /></td></tr>
    </table>
    <br>
    <input type="submit" style=" font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey" value="Acceder" />
    </form>

login.php

Código PHP:

Ver originalsession_start();
require_once('funciones.php');
conectar('localhost', 'user', 'pass', 'bbdd');
ini_set("default_charset", "utf-8");
$user = strip_tags($_POST['user']);
$pass = strip_tags(sha1($_POST['pass']));
 
$query = mysql_query('SELECT * FROM usuarios WHERE user="'.mysql_real_escape_string($user).'" AND pass="'.mysql_real_escape_string($pass).'"');
if($existe = mysql_fetch_object($query))
{//Si existe el usuario
    $_SESSION['user'] = $user; //Guardamos la variable de sesión
    
    
    
    $consulta = mysql_query('SELECT * FROM usuarios WHERE user="'.mysql_real_escape_string($user).'"');//Cogemos la fecha de la última conexion y el estado de la conexión;
        while($row=mysql_fetch_array($consulta)){   
            $fecha=$row['Sesion'];
            $conectado=$row['Conectado'];
        }
    
    if($conectado==1){ //Si esta como conectado, comprobamos su última conexión
        $datetime1 = date_create($fecha);
        
        $fechaact=date("d-m-Y H:i:s", time());      
        
        $datetime2 = date_create($fechaact);
        
        $interval = date_diff($datetime2, $datetime1);
 
        if(($interval->format('%d%H%i'))>=00010){//Si hace más de 10 minutos que se ha conectado, dejamos al usuario entrar de nuevo
            $uno=1;
            $meter= mysql_query('UPDATE usuarios 
            SET Conectado="'.mysql_real_escape_string($uno).'",
                Sesion="'.date_format($datetime2, 'Y-m-d H:i:s').'"
            WHERE  usuarios.user = "'.mysql_real_escape_string($user).'"')OR DIE ("fallo");
            
            $_SESSION['logged'] = 'yes';
            
            echo '<script>window.location="logeado.php"</script>';
        }else{
            echo"Este usuario está activo.";
            echo"<br><br><br>
            <a href='login.html'><input type='submit' style=' font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey' value='Volver Al Inicio' onclick='location='login.html''></a>";
 
            exit;   
        }
        
        
    }else{
        $uno=1;
        $fechaact=date("d-m-Y H:i:s", time());
        $datetime2 = date_create($fechaact);
        //var_dump(date_format($datetime2, 'Y-m-d H:i:s'));
                
            $meter= mysql_query('UPDATE usuarios 
            SET Conectado="'.mysql_real_escape_string($uno).'",
                Sesion="'.date_format($datetime2, 'Y-m-d H:i:s').'"
            WHERE  usuarios.user = "'.mysql_real_escape_string($user).'"')OR DIE ("fallo");
        
            $_SESSION['logged'] = 'yes';
        
        echo '<script>window.location="logeado.php"</script>';
    }
    
}else{
        echo 'El usuario y/o pass son incorrectos.';
        
        echo"<form action='login.html'>";
        echo"<br><br><br><input type='submit' style=' font-weight:900;color: white; background-color: #0F37A1; border: 3pt ridge lightgrey' value='Volver Al Inicio' onclick='location='login.html''>";
        echo"</form>";
}

Decir también que en este sitio solo entraría yo por ejemplo y algún empleado para ver como van las cosas, registros, facturas.....

PD: para que conste, el css es que estoy en ello, pero para que tenga un poquito de formato le he puesto color a los inputs :P y perdón por el chorro