«
»

Grave Problema de Seguridad en WP

11.08.05 |

Categoría: Seguridad, Weblogs

No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y “sincronicen” el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión “no-estable” de WP.

El primero en caer fue el blog de Javier

27 Comentarios a “Grave Problema de Seguridad en WP”

  1. EduardoE el 11.08.05

    Responder

    ¿No será este problema que hace poco ha informado Secunia?

  2. frank el 11.08.05

    Responder

    me preocupa
    voy a hacer lo que dices

  3. frank el 11.08.05

    Responder

    pero no veo el beta release, link de descarga?

  4. Fernando el 11.08.05

    Responder

    Gracias por el aviso Mariano :)

  5. corsaria el 11.08.05

    Responder

    EduardoE, creo que son dos bugs distintos.
    El de Secunia lo reporta su autor aquí

    Y el que que menciona Mariano es de otra naturaleza distinta.

    Saludos. :)

  6. Rodrigo el 11.08.05

    Responder

    jajaja … corsaria me parece que acabas de hacer publico el codigo de como explotar la vulnerabilidad de la que (supongo) habla mariano … :D

  7. corsaria el 11.08.05

    Responder

    0:)

    Es posible, aunque no hay demasiados datos acerca de la que menciona Mariano. :)

  8. Javier Salinas el 11.08.05

    Responder

    Bueno, ya que no sale el trackback, les cuento que ya volví ;-)
    Eduardo: si, ese es el problema.
    Frank: aun no liberaron parche alguno para solucionar el problema, salvo la recomendación de poner register_globals en off.

  9. aarnau el 11.08.05

    Responder

    No ganamos para sustos. Yo ya tengo tentaciones de abandonar WP

  10. Ignacio el 11.08.05

    Responder

    Dice Rodrigo:

    Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:

    $lastpostdate = $cache_lastpostdate[$timezone];

    Y reemplazala por:

    $lastpostdate = preg_replace(‘/[^0-9 :\-]/’,”,$cache_lastpostdate[$timezone]);

    Todo esto es no-oficial, así que estás advertido ;)

  11. Usuario de Facebook el 11.08.05

    Responder

    mejor sigan el consejo de Javier y deshabiliten el registers_globals :S

  12. Ignacio el 11.08.05

    Responder

    El problema con el register globals son varios, en general si estas en un shared hosting, en un entorno windows, o linux pero no permiten definición local de variables del php.ini (ni con una copia en tu root ni con ini_set)…

  13. Rodrigo el 11.08.05

    Responder

    Nope, ojo que no todos tienen Apache como web server y según mi humilde conocimiento la regla que alguien recomendaba para .htacess no sirve.

  14. m. el 11.08.05

    Responder

    (Que no panda el cúnico :)
    En el caso de que uno no controle el hosting, un método genérico es generar un archivo php.ini con el contenido:

    register_globals = Off

    y colocarlo en el directorio principal.

    Para chequear si uno puede ser vulnerable, fijarse primero la configuracion del host. Para ello generar un archivo (ejemplo) phpinfo.php y escribir dentro :

    < ?php
    phpinfo();
    ?>

    Colocarlo en el dir principal y ejecutarlo como http://tusitio/phpinfo.php

    Buscar la entrada register_globals y ver si está off u on. Luego poner el php.ini y chequear otra vez si cambió.

  15. Victor Bracco el 11.08.05

    Responder

    La regla que Javier puse un su htaccess es totalmente válida y funciona de maravilla, desabilitando register_global.

    Muchas gracias, Javier!

  16. m. el 11.08.05

    Responder

    .htaccess solo funciona para los hostings que utilizan Apache como servidor web (si bien la gran mayoría, no da para confiarse)
    Igual de querer utilizar este camino, en lugar de crear un php.ini de configuracion local, hay que generar o a agregar al archivo .htaccess la línea:

    php_flag register_globals off

    y colocarlo en el dir principal

  17. Franc el 15.08.05

    Responder

    Mariano, apareció el WordPress 1.5.2, al parecer arregla este problema.

    Saludos!

  18. Ruben el 07.01.09

    Responder

    Hola a todos, desde dias estoy con problema de htaccess para poner url amigables, resulta segun comentarios que htaccess funcion solo en servidores linux, yo tengo servidor windows; localmente mi pagina funciona con url amigable pero cuando subo al hostingo no funciona, es mas a htaccess lo ignora, instale wordpress en mi servidor y funciona con url amigable normal pero no veo donde lo crea htaccess o funciona sin htaccess, aver alguien me puede ayudar.

Trackbacks/Pingbacks

  1. 16-bits citó el 11.08.05
  2. AhiNosVemos.com citó el 11.08.05
  3. Cada loco con su blog, no? citó el 11.08.05
  4. Eduardo al día citó el 11.08.05
  5. Victor Bracco citó el 11.08.05
  6. codebits citó el 11.08.05
  7. WordPress en español citó el 11.08.05
  8. M o n o s a b i o citó el 11.08.05
  9. Problema de seguretat al WordPress - a.css, esbudellant estàndards citó el 03.02.07

Deja un comentario

bienvenidos

Denken Über es mi weblog donde escribo sobre tecnología, estrategias y cosas de internet. Podés comentar en cada artículo o enviarnos noticias o links.

Mas info: Autor | Archivos | Contacto

buscar en denken über

categorías

Feeds xml

  • RSS 2.0
  • ATOM

Publicidad

¿El peor hosting del mundo?