No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y "sincronicen" el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión "no-estable" de WP.
El primero en caer fue el blog de Javier
¿No será este problema que hace poco ha informado Secunia?
me preocupa
voy a hacer lo que dices
pero no veo el beta release, link de descarga?
Gracias por el aviso Mariano :)
EduardoE, creo que son dos bugs distintos.
El de Secunia lo reporta su autor aquí
Y el que que menciona Mariano es de otra naturaleza distinta.
Saludos. :)
jajaja … corsaria me parece que acabas de hacer publico el codigo de como explotar la vulnerabilidad de la que (supongo) habla mariano … :D
0:)
Es posible, aunque no hay demasiados datos acerca de la que menciona Mariano. :)
Bueno, ya que no sale el trackback, les cuento que ya volví ;-)
Eduardo: si, ese es el problema.
Frank: aun no liberaron parche alguno para solucionar el problema, salvo la recomendación de poner register_globals en off.
No ganamos para sustos. Yo ya tengo tentaciones de abandonar WP
Dice Rodrigo:
Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:
$lastpostdate = $cache_lastpostdate[$timezone];
Y reemplazala por:
$lastpostdate = preg_replace(‘/[^0-9 :\-]/’,”,$cache_lastpostdate[$timezone]);
Todo esto es no-oficial, así que estás advertido ;)
mejor sigan el consejo de Javier y deshabiliten el registers_globals :S
El problema con el register globals son varios, en general si estas en un shared hosting, en un entorno windows, o linux pero no permiten definición local de variables del php.ini (ni con una copia en tu root ni con ini_set)…
Nope, ojo que no todos tienen Apache como web server y según mi humilde conocimiento la regla que alguien recomendaba para .htacess no sirve.
(Que no panda el cúnico :)
En el caso de que uno no controle el hosting, un método genérico es generar un archivo php.ini con el contenido:
register_globals = Off
y colocarlo en el directorio principal.
Para chequear si uno puede ser vulnerable, fijarse primero la configuracion del host. Para ello generar un archivo (ejemplo) phpinfo.php y escribir dentro :
< ?php phpinfo(); ?>
Colocarlo en el dir principal y ejecutarlo como http://tusitio/phpinfo.php
Buscar la entrada register_globals y ver si está off u on. Luego poner el php.ini y chequear otra vez si cambió.
La regla que Javier puse un su htaccess es totalmente válida y funciona de maravilla, desabilitando register_global.
Muchas gracias, Javier!
.htaccess solo funciona para los hostings que utilizan Apache como servidor web (si bien la gran mayoría, no da para confiarse)
Igual de querer utilizar este camino, en lugar de crear un php.ini de configuracion local, hay que generar o a agregar al archivo .htaccess la línea:
php_flag register_globals off
y colocarlo en el dir principal
Mariano, apareció el WordPress 1.5.2, al parecer arregla este problema.
Saludos!
Hola a todos, desde dias estoy con problema de htaccess para poner url amigables, resulta segun comentarios que htaccess funcion solo en servidores linux, yo tengo servidor windows; localmente mi pagina funciona con url amigable pero cuando subo al hostingo no funciona, es mas a htaccess lo ignora, instale wordpress en mi servidor y funciona con url amigable normal pero no veo donde lo crea htaccess o funciona sin htaccess, aver alguien me puede ayudar.