Vía Menéame accedo al artículo ‘Seguridad en blogs, o como conseguí entrar en paneles de administración’, de Tronfi, en el que describe cómo hacerse con los datos de identificación, clave y contraseña, del administrador de las bitácoras que corren sobre WordPress. Bueno, esos datos y cualesquiera otros que figuren en la base de datos, ya que el agujero nos lleva directamente a las copias de seguridad que se descargan al sitio vía FTP.

El sistema es más o menos sencillo. Llegar es muy fácil, si sabes que las copias de seguridad se almacenan normalmente en la carpeta ‘wp-content/backup/’, el problema viene después, al descifrar la encriptación de clave y contraseña, pero como bien explica Tronfi, esto no es problema si se dispone de las herramientas adecuadas. Tronfi logró hacerse con los datos de unos cuantos bloggers y podría haber ampliado la lista de habérselo propuesto.

La puerta que facilita este tipo de ataque es el hecho de que para poder realizar la copia de seguridad en tu servidor, sin descargártela al disco duro, debes dar todos los permisos de escritura a la susodicha carpeta y también a ‘wp-content’. Y ustedes, al igual que Tronfi, me dirán que eso es producto del despiste o la desidia del blogger que, una vez realizada la copia, no vuelve a quitar los permisos a la carpeta. Y ahí es donde nos equivocamos, por una sencilla razón: WordPress incluye de serie, desde la versión 2.0, el plugin WordPress Database Backup (wp-db-backup), que requiere para su funcionamiento automático el derecho de escritura sobre la carpeta ‘wp-content’.

Moraleja: evita la opción automática de backup del citado plugin.

Por cierto, Tronfi confiesa que la idea de comprobar si este tipo de ataque era posible se la dio un mensaje de error en uno de los blogs que visitaba. Una pista que puedes eliminar fácilmente de tu bitácora siguiendo los consejos que te dábamos en el post ‘WordPress 2.0.2: actualiza y ‘blinda’ tu bitácora’.

Ponte las pilas.

Share