La última actualización mayor 2.8.x de WordPress ha llegado como un queso de gruyere, con numerosos agujeros y otras tantas actualizaciones menores que no acaban de corregir el desaguisado. Esta noche he vivido en mis carnes la última de ellas, un bug que permite a cualquiera ejecutar un cambio de claves de los usuarios del blog ejecutando simplemente en su navegador el comando:
http://nombrededominio.com/wp-login.php?action=rp&key[]=
Adortunadamente, WordPress remite siempre al correo del usuario afectado (en este caso, todos) la nueva contraseña, por lo que el problema, en principio, no pasa a mayores y se queda en una molestia que se soluciona entrando con la nueva contraseña y cambiarla otra vez. Eso, siempre y cuando no dé alguien con la fórmula para hacerse con la nueva contraseña generada.
Por eso, cuando vi en el correo el mensaje de cambio de contraseña, pensé inmediatamente en el inicio de un ataque, lo que me obligó a cambiar las contraseñas de administración de todos los blogs. Pero cuál no sería mi sorpresa, una vez cambiadas las contraseñas, al ver que me llegaba otro correo similar. Y me dije: imposible, no se puede hackear la contraseña tan rápido.
Así que me puse a buscar en la Red y encontré un post de Arturo Goga que lo explica perfectamente. El problema está en un descuido en el código del archivo ‘wp-login’, en la misma raíz de tu directorio. Para solucionarlo, debes abrir el documento y cambiar, en la línea 190
if ( empty( $key ) )
por
if ( empty( $key ) || is_array( $key ) )
En fin, que mis alarmas fueron en vano, y todo parece deberse a la actuación de uno o un par de graciosillos. Como dice Arturo, no nos extrañe ver en unas horas una actualización a WordPress 2.8.4.
Actualización (12 ago-03.29 h): dicho y hecho. Como apunta Carballo en los comentarios, ya tenemos WordPress 2.8.4.
Quizás también te interese:
|
|
|
|
|
{ 7 trackbacks }
{ 18 comentarios }
Gracias por el dato, acabo de corregirlo siguiendo tus indicaciones.
Ahora mismo, en el blog de Guty: Mi primer trabajo
Son casi las 4am y ya ha salido el parche
ni 24 han pasado desde que se ha descubierto, mi Worpress ya me indica que la 2.8.4 está lista.
Ahora mismo, en el blog de carballo: Asignar una letra de unidad a una memoria USB
Pues si que ha salido mal esta versión, suerte que se den a tiempo para corregir los fallos. Seguro que en la próxima están con más ojito que sino, menudos quebraderos de cabeza para los usuarios :/
Ahora mismo, en el blog de Javier I. Sampedro: Toma ya!
Pues a mi me pasó algo extraño. Acabó de actualizar uno de mis blogs que tenía aún la 2.82 en automático y me lo pasó ya a 2.84. En cambio, los que ya estaban en 2.83 no me pone la nueva actualización. Ya está la 2.84, pero no para todos.
Ahora mismo, en el blog de Emiliano Crespo: Cuando la trampa es un lujo
Ale, ya esta actualizado, gracias por el aviso…menuda racha llevan, en un par de semanas hemos hemos hecho 3 actualizaciones…de momento parece que todo funciona correctamente, cruzo los dedos.
Ahora mismo, en el blog de DJLogic: DJLogic – Live Set Barcelona 2007
Hola Manuel,
Es similar a la broma que te pueden hacer al tratar de registrarse como “admin” y luego pedir que te envíen de nuevo el password. Por eso, una de las normas de seguridad en WordPress es cambiar el nombre “admin” por otro más seguro. Hay un plugin que ayuda en esta tarea, para quienes no saben cómo modificarlo en la base de datos.
Saludos,
Daniel
Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller
P.d. Haciendo un poco de mantenimiento en la DB, encontré lo siguiente: el usuario “admin” fue vuelto a crear y además hay un nuevo usuario, “WordPress” (verifiqué su existencia en otros blogs: tiene la misma clave), ¿lo tienes también? ¿sabes algo de quién es este usuario? “Curiosamente”, no aparece en la lista de usuarios del blog.
Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller
Vamos con Blogger!! (debe tener mas errores que Wordpress)
Ahora mismo, en el blog de Fede: AVG Anti-Virus With AntiSpyware v8.5.409 Multilenguaje
La verdad un dolor de cabeza esta version 2.8.x , tiene muchos problemas, en el servidor me trajo muchos problemas con APACHE y PHP, y se nota que consume muchos mas recursos que 2.7.x!!!! vaya a saber porque será , aun lo estoy investigando ..pero en 2 blogs tuve que hacer downgrade a 2.7.x .
Saludos!
Ahora mismo, en el blog de Max: Problemas con WordPress 2.8.x
Reverendamente al pedo actualizar mejor editen los archivos ustedes mismos, saltan errores de todos lados con la actualizacion nueva! La verdad wordpress se fué al carajo! Que saquen una version bien echa y que nos dejen de joder!
Ahora mismo, en el blog de Cristian: Ataque masivo a webs del gobierno en protesta por el impuestazo tecnologico
Ahora no puedo entrar al theme editor, de mi blog por la actualizacion.
Ahora mismo, en el blog de Cristian: Al carajo con Baker
Hola Manuel,
Ya casi alcanza el estatus de epidemia: Lorelle recomienda actualizar los blogs basados en WP a la última versión lo más pronto posible. Una explicación técnica de lo que está sucediendo la da Matt.
Saludos,
Daniel
Ahora mismo, en el blog de Daniel: Consejos eróticos
@Daniel: sí, lo publiqué ayer mismo. Gracias.
Un saludo.
Daniel: sí, tengo cambiado el user desde hace tiempo, pero así y todo funcionaba el ‘exploit’.
Un saludo.
@Daniel: pues lo miro ahora mismo.
Un saludo.
Este usuario “WordPress” tiene como nivel de usuario “10 – administrador” (lo encuentras en la tabla wp_usermeta).
Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller
@Daniel: pues en mi tabla no aparece.
Un saludo.
Por fortuna Manuel. He seguido revisando otras instalaciones y ese nombre de usuario existe en ellos y con nivel 10…
Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller
Los comentarios están cerrados.