No soy una persona de la mañana, pero mi alerta suena a las 5:30 am todos los días. Esto se debe a que el equipo editorial con el que trabajo está en la costa este, y estoy en Oregon. Hago una rápida demostración del correo electrónico y la holgura para asegurarme de que cero esté en llamas, luego me acomodo a una primera taza de café relajada. Una vez cafeinado, estoy proporcionado gemido.
Desafortunadamente, un día a principios de junio, mi sitio web estaba, al menos en sentido figurado, en llamas. Mi proveedor de alojamiento me envió un aviso que me decía que uno de los complementos que mantenía el sitio seguro tenía vulnerabilidades de seguridad y necesitaba ser desactivado.
Incluso: Cómo usar chatgpt para escribir código, y mi principal truco para depurar lo que genera
Por lo normal, cuando recibo tal aviso, solo voy a la página del complemento en mi sitio y ejecuto una modernización. Esta vez, no hubo modernización. Peor aún, cuando fui a la página de ese complemento en el repositorio de WordPress (básicamente la tienda de aplicaciones para complementos de WordPress), vi este aviso.
Esa no fue una buena señal. Investigué un poco y descubrí que el complemento había sido lista como teniendo vulnerabilidades de secuencias de comandos entre sitios, entre otras cosas. Estas vulnerabilidades permiten a los usuarios maliciosos inyectar scripts desagradables en sitios afectados. No es el tipo de cosas en las que te arriesgas. Inmediatamente deshabilité el complemento.
Inmediatamente sentí los mercadería.
Lo que estaba protegiendo el complemento
El complemento en cuestión tenía un propósito muy específico en mi sitio: detuvo el spam de registro. El spam de registro es la actos de crear una tonelada de cuentas de usuarios espurios en un sitio.
Los spammers o los piratas informáticos hacen esto por un montón de razones, generalmente para proporcionar un punto de apoyo en caso de que se introduzca una vulnerabilidad futura en el sitio (como un complemento con una vulnerabilidad de secuencias de comandos de sitios cruzados) o para crear un punto de apoyo para ataques posteriores.
El aumento en las cuentas de los usuarios incluso vincula el servidor, spams en la bandeja de entrada de un cirujano del sitio, potencialmente abrumando al cirujano a notificaciones importantes que faltan, aumenta los costos de las listas de correo electrónico y posiblemente envenena listas de correo electrónico con muchas direcciones de correo electrónico fallidas.
Incluso: Cómo convertir el chatgpt en su aparejo de provisiones de codificación de IA y duplicar su salida
No sé exactamente por qué los spammers estaban atacando mi sitio, pero en el momento en que apagué el complemento, comencé a obtener una inundación sin detener de nuevos avisos de registro de usuarios.
Eché un vistazo al repositorio del complemento de WordPress. Si correctamente hay muchas herramientas anti-spam, la mayoría son de gran resonancia. Tengo otras herramientas de seguridad que funcionan correctamente. Solo quería encerrar el spam de registro. No encontré una aparejo que realizara solo esa única función.
Así que decidí que una IA me escribiera una.
El poder del código destapado
Aquí es donde el poder del código destapado se vuelve verdaderamente evidente.
WordPress y todos los complementos de WordPress se escriben principalmente en PHP y JavaScript. Los dos son idiomas que se interpretan, no se compilan. La computadora lee e interpreta los idiomas interpretados en el momento de ejecución, por lo que el código fuente debe estar apto para que la computadora la lea. Los lenguajes compilados convierten el código fuente en bits y bytes, por lo que cuando los programas compilados se distribuyen a las computadoras de los usuarios, su código fuente no está incluido.
Como condición para la inclusión en el repositorio de complementos, todos los complementos de WordPress deben distribuirse en forma de código destapado, con una deshonestidad que permite el ramificación. Esto significa que no solo está apto el código fuente, sino que el código está inherentemente apto para que cualquiera lo tome y modifique.
Incluso: Cómo los agentes de codificación de IA podrían destruir el software de código destapado
La mayoría de las veces eso no sucede, porque un producto de complemento es mucho más que solo su código. Incluso es toda la documentación, los activos de apoyo y, lo más importante, el apoyo del desarrollador.
Pero en el caso del complemento de spam de registro Stop que había estado usando, el desarrollador aparentemente había dejado de apoyarlo. A principios de junio, el repositorio bloqueó a los usuarios para descargarlo, aparentemente correcto a sus problemas de seguridad interna.
Pero tenía una copia del complemento y, por lo tanto, todo el código fuente, acordado en mi servidor. Incluso tenía el derecho inherente a entrar, mirar el código y hacer cosas con él. Así que lo hice.
Examen forense a través de Deep Investigation y el enlace GitHub de Chatgpt
Lo primero que quería conocer era qué estaba mal con el complemento. Incluso quería entender sus funciones y estructura. Pero sobre todo, verdaderamente quería conocer qué lo prohibió.
Encima: pruebo muchas herramientas de codificación de IA, y este nuevo y impresionante impulso de Operai me acaba de librarse días de trabajo
Legado que el maniquí CHATGPT Plus O3 permite investigaciones profundas para ver un repositorio de GitHub, subí una copia del complemento defectuoso en un nuevo repositorio privado y le di comunicación a ChatGPT a ese repositorio.
Luego construí un aviso de investigación de chatgpt profundo.
Soy el apoderado de un sitio web que ha estado recibiendo registros de usuarios de spam. Hasta hace poco, he confiado en un complemento llamado Registros Stop Spammer, que es lo que estoy a punto de pedirle que analice. Desafortunadamente, mi proveedor de alojamiento y el repositorio de complementos de WordPress lo han deshabilitado para las preocupaciones de seguridad no especificadas.
Por lo tanto, necesito construir mi propio complemento que replique gran parte de la funcionalidad de este complemento bloqueado. Su trabajo es entrar en todo el código e identificar los mecanismos de protección de spam que utiliza, proporcionar detalles de cómo logra la protección de spam y proporcionar un conjunto detallado de instrucciones para OpenAI Codex para crear un nuevo complemento con una funcionalidad similar.
Mientras mira el código, incluso identifique las preocupaciones de seguridad o malware que causaron que el complemento se bloqueara originalmente.
(Divulgación: Ziff Davis, la empresa matriz de Zdnet, presentó una demanda de abril de 2025 contra OpenAI, alegando que infringió los derechos de autor de Ziff Davis en la capacitación y la operación de sus sistemas de IA).
Incluso: La mejor IA para codificar en 2025 (incluido un nuevo triunfador, y qué no usar)
Dejo que la investigación profunda se pusiera al trabajo. Vigésimo minutos más tarde, devolvió un observación de 16 páginas que describe todo lo que quería conocer sobre el complemento.
Aunque el complemento utilizó una amplia variedad de técnicas para encerrar el spam de registro, el observación concluyó: «Estas vulnerabilidades podrían permitir a los atacantes socavar la seguridad de un sitio, irónicamente, utilizando un complemento anti-SPAM como punto de entrada».
Proporcionó una extensa serie de vulnerabilidades de lavandería, que incluye:
- Vulnerabilidades de falsificación de solicitud de sitio cruzado (CSRF)
- Scripting de sitio cruzado reflejado (XSS)
- Inyección de objeto PHP no autenticada
- Desinfectación y garra de insumos inexistentes o inexistentes
- Saneamiento de producción inadecuado o inexistente
- Patrones de código sospechosos
Para cada uno de estos temas (y más), proporcionó información detallada y útil. Según el observación, estaba claro que el complemento no era poco que iba a depurar y reparar.
Pero no tuve que hacerlo. El mensaje de investigación profunda incluso proporcionó una norte detallada y paso a paso para producir un complemento similar con protecciones de spam equivalentes, inmediato con pautas para codificarlo de forma segura. Eso incluso fue una recitación fascinante.
Tenga en cuenta que esto tomó 20 minutos mientras tomaba una taza de café y comía mi piscolabis de frutas y requesón.
Uso de O3 para precisar un nuevo conjunto de especificaciones
Para resumir, hasta ahora, la IA había proporcionado un observación que explicaba lo que salía mal con el complemento llamativo que había sido acabado, así como lo que se necesitaría para reproducir un complemento que proporcionaba todos los servicios de ese complemento llamativo sin las vulnerabilidades. Al ojear el observación, descubrí que el complemento llamativo proporcionaba muchas más características de las que había estado usando, o pensaba que eran necesarios. No quería simplemente reproducir la complejidad de ese trabajo, porque eso es parte de lo que salió mal inicialmente. Solo quería funcionalidad básica.
Quería que la IA creara un complemento mucho más leve para mi sitio, uno que tenía solo las protecciones de spam esenciales que mantenían a guión a los spammers. Así que tomé esa precisión arquitectónica llamativo e instruí a la IA que me diera una nueva precisión para un nuevo complemento más leve, pero comenzando con el conocimiento ya derivado de la implementación llamativo.
Tenga en cuenta que todavía no estoy pidiendo a la IA que escriba código en este momento. Todavía estoy pidiendo a la IA que describa qué código se debe escribir solo para encerrar el spam de registro para mi propio sitio.
El maniquí CHATGPT Plus O3 está diseñado para proporcionar un razonamiento adicional para proyectos de codificación más grandes y más complejos.
Encima: por qué estoy cambiando al código VS. Sugerencia: se manejo de integración de herramientas de IA
Quería comenzar con una nueva sesión, por lo que ChatGPT no estaba contaminado por su proceso de observación susodicho. En una experiencia previa con ChatGPT, aprendí el valía de comenzar con una nueva sesión. ChatGPT tiene una tendencia a salir de los rieles cuando las sesiones dan demasiado tiempo, por lo que comenzar una nueva sesión significó que mis indicaciones se tratarían con una comienzo clara.
Dicho esto, quería que el maniquí O3 viera los resultados del observación de investigación profunda susodicho. Así que guardé ese observación como PDF y lo subí a la nueva sesión. Eso me dio lo mejor de los dos mundos. La IA tenía el observación y los detalles del complemento fallido, pero podría comenzar a crear una nueva precisión desde cero.
Posteriormente de subir el PDF, le di este aviso.
Dados los detalles en el PDF adjunto, proporcione una precisión para el ampliación del conjunto más simple de características para advertir el spam de registro solamente. Ignore cualquier opción que requiera el ajuste del heredero o diseñe esas opciones para que sean opciones totalmente predeterminadas. Cree cualquier precisión de la página de distribución requeriendo el uso de la aparejo CMB2 UI. Use todas las mejores prácticas de seguridad de WordPress.
El requisito es que el PDF debería ser alimentado a ChatGPT y el resultado de ese documento sería un complemento de trabajo escrito por ChatGPT.
La IA se disparó y creó un conjunto simple de especificaciones. Es de destacar que identificó tres mecanismos básicos de prevención de spam:
- Un campo oculto de forma «honeypot». Si este campo se completara, implicaría que el formulario se llenó mediante programación, muy probablemente un bot.
- Una API rebusca un servicio tirado que agregue la información de spam del foro. Esto verifica si el nombre de heredero o la dirección IP es sospechosa.
- Una demostración de registro de MX (intercambio de correo), para ver si el dominio que se está registrando verdaderamente existe.
Incluso especificó una serie de las mejores prácticas del complemento de WordPress que debían seguirse:
- Proteger cada archivo con definido (‘abspath’) || salida;.
- Escape todo el texto orientado al administrador con esc_html ().
- Envuelva la acto Clear-Log en check_admin_referer (‘rsg_clear_log’).
- Use wp_remote_get () con (‘Tiempo de tiempo’ => 5); en wp_error Treat como no spam (falla-abre).
- Nunca llame a eval (), unserialize () o almacene base64 blobs (mitigas cves anotados en el complemento llamativo).
- Adhiérase a los estándares de codificación de WordPress (esparcido, elección, i18n).
En este momento, me sentí cómodo con la idea de separar las sesiones y suministrar solo los resultados de una sesión susodicho en una nueva sesión. Entonces le dije a Chatgpt:
Devuélveme esto en un PDF.
Me presentó un enlace, lo descargué y luego procedí al sucesivo paso, creando un nuevo código.
Código de producción
En este punto, la anciano parte del trabajo se había realizado. Primero, obtuve la IA para analizar el código llamativo que había estado usando para nutrir mi sitio evadido de spam de registro. Luego, a partir de ese observación, le pedí a la IA que creara una precisión mínima que funcionaría para mi sitio.
Incluso: El agente de codificación Jules AI de Google creó una nueva característica que podría remitir, mientras hacía café
Finalmente, era hora de cargar la precisión PDF a O3 y hacer código. Ese fue un único asunto de este aviso.
Lea el PDF adjunto, siga sus especificaciones y dame un archivo zip para descargar e instalar.
Tomó la IA 21 segundos. Veintiún segundos.
¿Pero funcionó?
Sí. Si lo hizo. Y todavía lo hace. Instalé el complemento recién creado en mi sitio, y el spam de registro se redujo. Siquiera tuve ningún problema con los registros regulares de nuevos usuarios. Simplemente funcionó. Lo he estado ejecutando durante aproximadamente un mes.
Es importante entender que este plan se trataba de contexto, no solo de provocar. Aislé cuidadosamente cada ronda de interacción con la IA de las rondas anteriores, para poder controlar cuidadosamente lo que la IA usó como punto de partida.
Incluso: Cómo usar ChatGPT: una norte para principiantes para el chatbot de IA más popular
Esta actos funcionó espectacularmente correctamente. En oficio de tener que engatusar a la IA de nuevo en la pista posteriormente de que inevitablemente perdió el hilo, lo alimenté con un conjunto de instrucciones muy cuidadosamente preempaquetado y lo hice comenzar de nuevo.
Más concretamente, se restauró una capacidad en la que había confiado. Esencialmente, este plan tomó dos «movimientos» muy poderosos, código destapado y IA generativa, y los Kitbash los juntó.
¿Qué sucede cuando tienes código destapado e IA? Prácticamente exactamente lo que quieres. Legado lo embarazado que estoy regularmente por los diversos delirios y suplaces de los chatbots de IA, este enfoque funcionó correctamente, y rápidamente, y resolvió completamente un problema de distribución de servidores del mundo vivo.
De extremo a extremo, tomó aproximadamente una hora. El nuevo código se ha estado ejecutando durante algunas semanas sin problemas. Escribir este artículo tardó mucho más que escribir el código que describe el artículo.
Incluso: ¿Chatgpt Plus verdaderamente vale $ 20 cuando la interpretación gratuita ofrece tantas características premium?
Esta cosa de IA, podría tener sus usos.
¿Alguna vez ha intentado usar chatgpt u otra aparejo de IA para analizar o restaurar el código vivo? ¿Para qué usarías una investigación profunda en tus propios proyectos? ¿Crees que este nivel de observación forense automatizado es poco en lo que confiarás para tus sistemas de producción? Y si ha enfrentado fallas de complemento o alertas de seguridad ayer, ¿cómo las manejó? Háganos conocer en los comentarios a continuación.
Puede seguir mis actualizaciones de plan diarias en las redes sociales. Asegúrese de suscribirse a mi boletín de actualizaciones semanales y sígueme en Twitter/X en @Davidgewirtzen Facebook en Facebook.com/davidgewirtz, en Instagram en Instagram.com/davidgewirtz, en bluesky en @davidgewirtz.com, y en YouTube en youtube.com/davidgewirtztv.
¿Quieres más historias sobre AI? Regístrese para la innovaciónnuestro boletín semanal.
