Grave Problema de Seguridad en WP

No me gusta hablar de problemas de seguridad sin dar los datos cuando los conozco, pero si usas WP por favor hagan un backup de todo su blog y "sincronicen" el resto de los archivos (imágenes,templates, etc.) hay un grave agujero de seguridad dando vueltas y sólo podés evitarlo usando una versión "no-estable" de WP.

El primero en caer fue el blog de Javier

| Seguridad Weblogs

27 thoughts on “Grave Problema de Seguridad en WP

  1. Pingback: 16-bits
  2. Pingback: AhiNosVemos.com
  3. jajaja … corsaria me parece que acabas de hacer publico el codigo de como explotar la vulnerabilidad de la que (supongo) habla mariano … :D

  4. Bueno, ya que no sale el trackback, les cuento que ya volví ;-)
    Eduardo: si, ese es el problema.
    Frank: aun no liberaron parche alguno para solucionar el problema, salvo la recomendación de poner register_globals en off.

  5. Dice Rodrigo:

    Actualización: Al parecer reemplazando una linea en el archivo /wp-includes/functions.php, el problema estaría solucionado. Buscá la línea:

    $lastpostdate = $cache_lastpostdate[$timezone];

    Y reemplazala por:

    $lastpostdate = preg_replace(‘/[^0-9 :\-]/’,”,$cache_lastpostdate[$timezone]);

    Todo esto es no-oficial, así que estás advertido ;)

  6. El problema con el register globals son varios, en general si estas en un shared hosting, en un entorno windows, o linux pero no permiten definición local de variables del php.ini (ni con una copia en tu root ni con ini_set)…

  7. Nope, ojo que no todos tienen Apache como web server y según mi humilde conocimiento la regla que alguien recomendaba para .htacess no sirve.

  8. (Que no panda el cúnico :)
    En el caso de que uno no controle el hosting, un método genérico es generar un archivo php.ini con el contenido:

    register_globals = Off

    y colocarlo en el directorio principal.

    Para chequear si uno puede ser vulnerable, fijarse primero la configuracion del host. Para ello generar un archivo (ejemplo) phpinfo.php y escribir dentro :

    < ?php phpinfo(); ?>

    Colocarlo en el dir principal y ejecutarlo como http://tusitio/phpinfo.php

    Buscar la entrada register_globals y ver si está off u on. Luego poner el php.ini y chequear otra vez si cambió.

  9. Pingback: Eduardo al día
  10. .htaccess solo funciona para los hostings que utilizan Apache como servidor web (si bien la gran mayoría, no da para confiarse)
    Igual de querer utilizar este camino, en lugar de crear un php.ini de configuracion local, hay que generar o a agregar al archivo .htaccess la línea:

    php_flag register_globals off

    y colocarlo en el dir principal

  11. Pingback: Victor Bracco
  12. Pingback: codebits
  13. Pingback: M o n o s a b i o
  14. Hola a todos, desde dias estoy con problema de htaccess para poner url amigables, resulta segun comentarios que htaccess funcion solo en servidores linux, yo tengo servidor windows; localmente mi pagina funciona con url amigable pero cuando subo al hostingo no funciona, es mas a htaccess lo ignora, instale wordpress en mi servidor y funciona con url amigable normal pero no veo donde lo crea htaccess o funciona sin htaccess, aver alguien me puede ayudar.

Comments are closed.