Categorías
Seguridad Weblogs

Grave Problema de Seguridad en WP

No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y «sincronicen» el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión «no-estable» de WP.

El primero en caer fue el blog de Javier

27 respuestas a «Grave Problema de Seguridad en WP»

Grave vulnerabilidad en WordPress

Mariano recien posteaba que anda dando vueltas una muy grave vulnerabilidad en WP y aconsejaba a todos los bloggers a hacer backup.
Efectivamente, es así, según Secunia:

Input passed to the “cache_lastpostdate” parameter via cookies i…

Nuevo exploit de WordPress

Estoy leyendo en fholzhauer.de que han descubierto un exploit para WordPress. Traduzco lo que dice el sitio:

Existe un exploit que afecta a todas (incluyendo 1.5.1.3) las instalaciones de WordPress que estén en un servidor que tenga la variable (de P…

nunca falta un buey corneta

Me bajaron el sitio. Realmente he tenido suerte que el script-kiddie que se aprovechó de una vulnerabilidad de WordPress actuó como un elefante en cristalería.
En este caso, la publicación del exploit fue anterior al aviso de la vulnerabilidad, la…

Bueno, ya que no sale el trackback, les cuento que ya volví ;-)
Eduardo: si, ese es el problema.
Frank: aun no liberaron parche alguno para solucionar el problema, salvo la recomendación de poner register_globals en off.

Dice Rodrigo:

Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:

$lastpostdate = $cache_lastpostdate[$timezone];

Y reemplazala por:

$lastpostdate = preg_replace(‘/[^0-9 :\-]/’,»,$cache_lastpostdate[$timezone]);

Todo esto es no-oficial, así que estás advertido ;)

El problema con el register globals son varios, en general si estas en un shared hosting, en un entorno windows, o linux pero no permiten definición local de variables del php.ini (ni con una copia en tu root ni con ini_set)…

(Que no panda el cúnico :)
En el caso de que uno no controle el hosting, un método genérico es generar un archivo php.ini con el contenido:

register_globals = Off

y colocarlo en el directorio principal.

Para chequear si uno puede ser vulnerable, fijarse primero la configuracion del host. Para ello generar un archivo (ejemplo) phpinfo.php y escribir dentro :

< ?php phpinfo(); ?>

Colocarlo en el dir principal y ejecutarlo como http://tusitio/phpinfo.php

Buscar la entrada register_globals y ver si está off u on. Luego poner el php.ini y chequear otra vez si cambió.

Aviso de vulnerabilidad crítica en WP 1.5.1.3

Hace unas horas en Denken Ãœber ha aparecido un aviso sobre un problema grave de seguridad en WP, y que habría ya afectado a un blog.

He revisado un poco los foros de soporte y he encontrado que (aunque por ahora no se pueden relacionar ambos eventos…

.htaccess solo funciona para los hostings que utilizan Apache como servidor web (si bien la gran mayoría, no da para confiarse)
Igual de querer utilizar este camino, en lugar de crear un php.ini de configuracion local, hay que generar o a agregar al archivo .htaccess la línea:

php_flag register_globals off

y colocarlo en el dir principal

Un buen susto

Acaba de conocerce un grave fallo de seguridad en el sistema de WordPress, que puede hacer que tu sitio, sin rodeos, desaparezca.
Uno de los primer en caer, fue Javier, que tuvo que desabilitar su blog por el ataque, pero por suerte, ya está otra ve…

Reacciones Desmedidas

Leo hoy varias reacciones desmedidas a un presunto bug en el código de WordPress. Esto me pone a pensar en lo fácil que se malinterpretan las cosas y lo sencillo que puede llegar a ser aprovecharse de situaciones como estas para exparcir problemás a…

Asegurando PHP

Desde ayer WordPress está bajo fuego otra vez. Un olvido de limpiar el input antes de utilizarlo en el código, sanitise que le dicen. El resultado es un exploit 0day que anda dando vueltas por ahí en manos de bolud@s ocasionando la caída de uno qu…

Hola a todos, desde dias estoy con problema de htaccess para poner url amigables, resulta segun comentarios que htaccess funcion solo en servidores linux, yo tengo servidor windows; localmente mi pagina funciona con url amigable pero cuando subo al hostingo no funciona, es mas a htaccess lo ignora, instale wordpress en mi servidor y funciona con url amigable normal pero no veo donde lo crea htaccess o funciona sin htaccess, aver alguien me puede ayudar.

Los comentarios están cerrados.