« Canon PowerShot S70
Videos online »

Vulnerabilidad WP

Desde hace unos días existe un exploit para una vulnerabilidad de WordPress versión 1.5.1.3 y anteriores, lo más grave es que permite la ejecución de código tal como he podido comprobar ampliamente.

Como todavía no existe una versión actualizada de WP, la solución rápida consiste en añadir la linea:
unset($wp_filter);
en el fichero index.php justo después de ?php

Como siempre solo es cuestión de horas que alguien saque alguna herramienta automática para hacer hackeos masivos, tal como ha ocurrido tantas otras veces con el phpnuke, es lo malo que tiene utilizar un sistema tan popular, siempre está en el ojo de los desaprensivos, aunque también en el de los buenos samaritanos.
Hoy en día no hay nada seguro.

Actualización 16-8-2005:
Ya existe la versión 1.5.2 que soluciona todos estos problemas de seguridad. Para actualizarse, nada más fácil que copiar todos los nuevos archivos encima de de los antiguos.

This entry was posted on domingo, agosto 14th, 2005 at 10:34 am and is filed under Varios. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

2 Responses to “Vulnerabilidad WP”

  1. Necro Says:
    agosto 14th, 2005 at 2:42 pm

    Dices ojos desaprensivos , la mayoria de los que tenemos un sitio en la red con uno de estos populares sistemas CMS hemos sufrido ataques por falta de seguridad ( y ataques de nervios) . En mi opinion estos ataques ponen al descubierto las carencias de un sistema obligando al propietario a una renovacion constante y a una optimizacion de la seguridad en su sitio web , creo que un sistema abierto es una clara invitacion a una sencilla exploracion del lugar y a una obligada nota de visita ,pues lo util es avisar a los afectados de forma mas o menos sutil para que este pueda corregir , digamos la carencia. Es infinitamente peor que te esten metiendo una sonda por el … sin tu consentimiento ni conocimiento.
    Asi pues , con una buena copia de seguridad se restaura en un sistema que ahora es mas seguro sin demasiados ploblemas. Y a esperar el proximo.

  2. Necro Says:
    agosto 15th, 2005 at 4:23 pm

    Mirando el exploit mas detenidamente ,me he dado cuenta de que la solucion que propones , o que proponen en el lugar que indicas, es solo una forma temporal (en realidad solo hay que pararse a pensar un momento para saltarselo) de impedir la entrada al sistema , Doom estas hackeado . otra vez .
    La forma mas segura de proteger el sistema contra este tipo de exploits es la que proponen en http://npw.net/2005/08/09/wordpress-exploit/ , que es modificar el ficehro php.ini (localizado en etc/ para los sistemas linux) desactibando los register_globals e inabilitando funciones como system , exec etc en la opcion disable_functions . Suerte

Leave a Reply