¿Usas Wordpress? ¿Ya lo tienes actualizado? En las últimas semanas, la gente de Automattic ha liberado varias actualizaciones de Wordpress, todas criticas a nivel de seguridad. La última es la 2.8.4, por un ataque descubierto al reset de password de los usuarios.
La vulnerabilidad permite que un atacante reseteé el password del administrador del blog, sin necesidad de nada. Te llegaría un correo diciendo que tu password ha sido reseteado. No permite acceso al panel de administración, sólo te cambia el password y recibes el nuevo en el correo. ¿No suena tan mal verdad? ¿Es sólo un fastidio, verdad?
No
Imagina que un hacker escriba un sencillo script que cada tres segundos resetee tu password. ¿Sigue siendo sólo un fastidio? ¿Qué tal si no son tres segundos? Qué tal si hace esto:
Código :
while true; do lynx -dump <URL de tu blog y el ataque>; done &
Un ataque DDoS en toda regla. Sí, el mismo ataque que tuvo fuera de linea por un día a Alt1040 y la red Hipertextual.
Cómo actualizar Wordpress
Hay dos caminos. Desde 2.8, la actualización automatica de Wordpress ha mejorado mucho. Hay varias personas que piensan que eso de usar el actualizador automatico es "for pussies" y prefieren hacerlo manual. La verdad es esta.
El actualizador automatico funciona. Pero no siempre. En los tres WP que manejo, me toca ejecutarlo tres o cuatro veces hasta que funcione, es dar seis clicks, pero eventualmente lo logra, de manera limpia.
Subirlo a mano es infalible. A menos claro, que hayas cometido el pecado de modificar el core de WP en vez de usar su sistema de plugins. En ese caso, mereces dolor.
En sintesis, actualizalo
¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.
Por GersonM_17 el 13 de Agosto de 2009
P.D.: Dientuki actualiza!!!!!
Por Wyrm el 13 de Agosto de 2009
Por Zguillez el 13 de Agosto de 2009
Yo desde hace tiempo siempre actualizo con la opción automática... *Z pussy!
Por LA100RRA el 13 de Agosto de 2009
Código :
por ésta otra:
Código :
Por Sipi el 13 de Agosto de 2009
Saludos
Por Aoyama el 13 de Agosto de 2009
Por Duilio el 13 de Agosto de 2009
Wordpress no hace nada de esto o lo hacía mal?
Por Zah el 14 de Agosto de 2009
http://www.milw0rm.com/exploits/9410
Por otro lado, estas cosas no serían tan sencillas si el nombre de usuario obligatorio (a no ser que lo cambies de la db) fuese admin, el mismo para todas las instalaciones de WP.