Pues ya hay información acerca de la versión urgente 2.6.2 de WordPress: la nueva actualización soluciona dos graves agujeros de seguridad que, combinados, puede afectar seriamente a cualquier blog que permita el registro libre de usuarios. Se trata de SQL Column Truncation y mt_rand().

Según publica Ryan Boren en el blog oficial de desarrollo, el primero de los agujeros permite manipular las cuentas de usuario, cambiando una contraseña por otra generada aleatoriamente, si bien la nueva contraseña no es visible para el atacante. Sin embargo, combinado con otro bug, el de mt_rand(), la cosa se complica enormemente porque sí permite al atacante identificar la nueva contraseña.

Estos agujeros afectan no sólo a WordPress, sino a cualquier programa montado sobre PHP, por lo que Ryan aconseja a todo el que trabaje con este lenguaje de programación que actualice a la última versión de Suhosin.

Lo dicho. No se trata de una actualización caprichosa, sino de un importante parche de seguridad. Si permites registros en tu blog, hazlo de forma inmediata. Si no, tampoco tardes demasiado.

Share