Grave Problema de Seguridad en WP

No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y “sincronicen” el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión “no-estable” de WP.

El primero en caer fue el blog de Javier


Publicado

en

,

por

Etiquetas:

Comentarios

27 respuestas a “Grave Problema de Seguridad en WP”

  1. Grave vulnerabilidad en WordPress

    Mariano recien posteaba que anda dando vueltas una muy grave vulnerabilidad en WP y aconsejaba a todos los bloggers a hacer backup.
    Efectivamente, es así, según Secunia:

    Input passed to the “cache_lastpostdate” parameter via cookies i…

  2. EduardoE Avatar

    ¿No será este problema que hace poco ha informado Secunia?

  3. frank Avatar

    me preocupa
    voy a hacer lo que dices

  4. frank Avatar

    pero no veo el beta release, link de descarga?

  5. Fernando Avatar

    Gracias por el aviso Mariano :)

  6. corsaria Avatar

    EduardoE, creo que son dos bugs distintos.
    El de Secunia lo reporta su autor aquí

    Y el que que menciona Mariano es de otra naturaleza distinta.

    Saludos. :)

  7. Nuevo exploit de WordPress

    Estoy leyendo en fholzhauer.de que han descubierto un exploit para WordPress. Traduzco lo que dice el sitio:

    Existe un exploit que afecta a todas (incluyendo 1.5.1.3) las instalaciones de WordPress que estén en un servidor que tenga la variable (de P…

  8. Rodrigo Avatar

    jajaja … corsaria me parece que acabas de hacer publico el codigo de como explotar la vulnerabilidad de la que (supongo) habla mariano … :D

  9. nunca falta un buey corneta

    Me bajaron el sitio. Realmente he tenido suerte que el script-kiddie que se aprovechó de una vulnerabilidad de WordPress actuó como un elefante en cristalería.
    En este caso, la publicación del exploit fue anterior al aviso de la vulnerabilidad, la…

  10. corsaria Avatar

    0:)

    Es posible, aunque no hay demasiados datos acerca de la que menciona Mariano. :)

  11. Javier Salinas Avatar

    Bueno, ya que no sale el trackback, les cuento que ya volví ;-)
    Eduardo: si, ese es el problema.
    Frank: aun no liberaron parche alguno para solucionar el problema, salvo la recomendación de poner register_globals en off.

  12. aarnau Avatar

    No ganamos para sustos. Yo ya tengo tentaciones de abandonar WP

  13. Ignacio Avatar

    Dice Rodrigo:

    Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:

    $lastpostdate = $cache_lastpostdate[$timezone];

    Y reemplazala por:

    $lastpostdate = preg_replace(‘/[^0-9 :\-]/’,”,$cache_lastpostdate[$timezone]);

    Todo esto es no-oficial, así que estás advertido ;)

  14. Mariano Avatar

    mejor sigan el consejo de Javier y deshabiliten el registers_globals :S

  15. Ignacio Avatar

    El problema con el register globals son varios, en general si estas en un shared hosting, en un entorno windows, o linux pero no permiten definición local de variables del php.ini (ni con una copia en tu root ni con ini_set)…

  16. Rodrigo Avatar

    Nope, ojo que no todos tienen Apache como web server y según mi humilde conocimiento la regla que alguien recomendaba para .htacess no sirve.

  17. m. Avatar

    (Que no panda el cúnico :)
    En el caso de que uno no controle el hosting, un método genérico es generar un archivo php.ini con el contenido:

    register_globals = Off

    y colocarlo en el directorio principal.

    Para chequear si uno puede ser vulnerable, fijarse primero la configuracion del host. Para ello generar un archivo (ejemplo) phpinfo.php y escribir dentro :

    < ?php phpinfo(); ?>

    Colocarlo en el dir principal y ejecutarlo como http://tusitio/phpinfo.php

    Buscar la entrada register_globals y ver si está off u on. Luego poner el php.ini y chequear otra vez si cambió.

  18. Aviso de vulnerabilidad crítica en WP 1.5.1.3

    Hace unas horas en Denken Ãœber ha aparecido un aviso sobre un problema grave de seguridad en WP, y que habría ya afectado a un blog.

    He revisado un poco los foros de soporte y he encontrado que (aunque por ahora no se pueden relacionar ambos eventos…

  19. Victor Bracco Avatar

    La regla que Javier puse un su htaccess es totalmente válida y funciona de maravilla, desabilitando register_global.

    Muchas gracias, Javier!

  20. m. Avatar

    .htaccess solo funciona para los hostings que utilizan Apache como servidor web (si bien la gran mayoría, no da para confiarse)
    Igual de querer utilizar este camino, en lugar de crear un php.ini de configuracion local, hay que generar o a agregar al archivo .htaccess la línea:

    php_flag register_globals off

    y colocarlo en el dir principal

  21. Un buen susto

    Acaba de conocerce un grave fallo de seguridad en el sistema de WordPress, que puede hacer que tu sitio, sin rodeos, desaparezca.
    Uno de los primer en caer, fue Javier, que tuvo que desabilitar su blog por el ataque, pero por suerte, ya está otra ve…

  22. Reacciones Desmedidas

    Leo hoy varias reacciones desmedidas a un presunto bug en el código de WordPress. Esto me pone a pensar en lo fácil que se malinterpretan las cosas y lo sencillo que puede llegar a ser aprovecharse de situaciones como estas para exparcir problemás a…

  23. Vulnerabilidad grave en WP 1.5.1.3

    Ayer Miércoles Secunia emitió un aviso en el cuál informan de una vulnerabilidad calificada como “altamente critica”, que afecta a…

  24. Asegurando PHP

    Desde ayer WordPress está bajo fuego otra vez. Un olvido de limpiar el input antes de utilizarlo en el código, sanitise que le dicen. El resultado es un exploit 0day que anda dando vueltas por ahí en manos de bolud@s ocasionando la caída de uno qu…

  25. Franc Avatar

    Mariano, apareció el WordPress 1.5.2, al parecer arregla este problema.

    Saludos!

  26. Ruben Avatar
    Ruben

    Hola a todos, desde dias estoy con problema de htaccess para poner url amigables, resulta segun comentarios que htaccess funcion solo en servidores linux, yo tengo servidor windows; localmente mi pagina funciona con url amigable pero cuando subo al hostingo no funciona, es mas a htaccess lo ignora, instale wordpress en mi servidor y funciona con url amigable normal pero no veo donde lo crea htaccess o funciona sin htaccess, aver alguien me puede ayudar.

A %d blogueros les gusta esto: