¿Usas Wordpress? ¿Ya lo tienes actualizado? En las últimas semanas, la gente de Automattic ha liberado varias actualizaciones de Wordpress, todas criticas a nivel de seguridad. La última es la 2.8.4, por un ataque descubierto al reset de password de los usuarios.
La vulnerabilidad permite que un atacante reseteé el password del administrador del blog, sin necesidad de nada. Te llegaría un correo diciendo que tu password ha sido reseteado. No permite acceso al panel de administración, sólo te cambia el password y recibes el nuevo en el correo. ¿No suena tan mal verdad? ¿Es sólo un fastidio, verdad?
No
Imagina que un hacker escriba un sencillo script que cada tres segundos resetee tu password. ¿Sigue siendo sólo un fastidio? ¿Qué tal si no son tres segundos? Qué tal si hace esto:
Código :
while true; do lynx -dump <URL de tu blog y el ataque>; done &
Un ataque DDoS en toda regla. Sí, el mismo ataque que tuvo fuera de linea por un día a Alt1040 y la red Hipertextual.
Cómo actualizar Wordpress
Hay dos caminos. Desde 2.8, la actualización automatica de Wordpress ha mejorado mucho. Hay variaspersonas que piensan que eso de usar el actualizador automatico es "for pussies" y prefieren hacerlo manual. La verdad es esta.
El actualizador automatico funciona. Pero no siempre. En los tres WP que manejo, me toca ejecutarlo tres o cuatro veces hasta que funcione, es dar seis clicks, pero eventualmente lo logra, de manera limpia. Subirlo a mano es infalible. A menos claro, que hayas cometido el pecado de modificar el core de WP en vez de usar su sistema de plugins. En ese caso, mereces dolor.
Ya lo tengo actualizado.. pero no sabía eso de la gran vulnerabilidad de la versión anterior :O
Yo desde hace tiempo siempre actualizo con la opción automática... *Z pussy! Por:Zguillez
Si no quieres actualizar solo edita el archivo wp-login.php que se encuentra el la raiz de tu wordpress y cambia ésta línea:
Código :
if ( empty( $key ) )
por ésta otra:
Código :
if ( empty( $key ) || is_array( $key ) )
Por:LA100RRA-blog
Tu ve dando ideas... que es verano y la gente se aburreeeeee... jajajaja
Saludos Por:Sipi-blog
Por eso siempre he pensado que la gente de wordpress debería hacer como Blizzard antes de liberar una nueva versión. Ni modo, yo si actualizó Por:Aoyama
En mi pequeño framework que no es la gran cosa, para recuperar contraseña, primero llega un correo al usuario preguntándole si de verdad él desea resetear la contraseña, en ese caso debe hacer click a un link y una vez allí el sistema le envía la nueva contraseña... Para esto se envía/compara un key o token que debe ser igual a uno que se guardó en la base de datos al momento de iniciar la solicitud... Además de que comprueba un tiempo para evitar que pidan resetear la contraseña cada 2 segundos...
Wordpress no hace nada de esto o lo hacía mal? Por:Duilio
Dulio, eso es exactamente lo que hacía wordpress, así que probablemente te afecte:
Por otro lado, estas cosas no serían tan sencillas si el nombre de usuario obligatorio (a no ser que lo cambies de la db) fuese admin, el mismo para todas las instalaciones de WP. Por:Zah
. y eso que no soy administrador ni nada
