La última actualización mayor 2.8.x de WordPress ha llegado como un queso de gruyere, con numerosos agujeros y otras tantas actualizaciones menores que no acaban de corregir el desaguisado. Esta noche he vivido en mis carnes la última de ellas, un bug que permite a cualquiera ejecutar un cambio de claves de los usuarios del blog ejecutando simplemente en su navegador el comando:

http://nombrededominio.com/wp-login.php?action=rp&key[]=

Adortunadamente, WordPress remite siempre al correo del usuario afectado (en este caso, todos) la nueva contraseña, por lo que el problema, en principio, no pasa a mayores y se queda en una molestia que se soluciona entrando con la nueva contraseña y cambiarla otra vez. Eso, siempre y cuando no dé alguien con la fórmula para hacerse con la nueva contraseña generada.

Por eso, cuando vi en el correo el mensaje de cambio de contraseña, pensé inmediatamente en el inicio de un ataque, lo que me obligó a cambiar las contraseñas de administración de todos los blogs. Pero cuál no sería mi sorpresa, una vez cambiadas las contraseñas, al ver que me llegaba otro correo similar. Y me dije: imposible, no se puede hackear la contraseña tan rápido.

Así que me puse a buscar en la Red y encontré un post de Arturo Goga que lo explica perfectamente. El problema está en un descuido en el código del archivo ‘wp-login’, en la misma raíz de tu directorio. Para solucionarlo, debes abrir el documento y cambiar, en la línea 190

if ( empty( $key ) )

por

if ( empty( $key ) || is_array( $key ) )

En fin, que mis alarmas fueron en vano, y todo parece deberse a la actuación de uno o un par de graciosillos. Como dice Arturo, no nos extrañe ver en unas horas una actualización a WordPress 2.8.4.

Actualización (12 ago-03.29 h): dicho y hecho. Como apunta Carballo en los comentarios, ya tenemos WordPress 2.8.4.

25 comentarios

Gracias por el dato, acabo de corregirlo siguiendo tus indicaciones.
.-= Ahora mismo, en el blog de Guty: Mi primer trabajo =-.
- agosto 12, 2009 1:06 AM
- By Guty
Son casi las 4am y ya ha salido el parche 😀 ni 24 han pasado desde que se ha descubierto, mi Worpress ya me indica que la 2.8.4 está lista.
.-= Ahora mismo, en el blog de carballo: Asignar una letra de unidad a una memoria USB =-.
- agosto 12, 2009 2:35 AM
- By carballo
[…] horas después de conocer un problema de seguridad en el sistema de recuperación de contraseña, llega WordPress 2.8.4 para solucionar el error. […]
- agosto 12, 2009 3:18 AM
- By WordPress 2.8.4 | TodoWordPress
Pues si que ha salido mal esta versión, suerte que se den a tiempo para corregir los fallos. Seguro que en la próxima están con más ojito que sino, menudos quebraderos de cabeza para los usuarios :/
.-= Ahora mismo, en el blog de Javier I. Sampedro: Toma ya! =-.
- agosto 12, 2009 3:36 AM
- By Javier I. Sampedro
Pues a mi me pasó algo extraño. Acabó de actualizar uno de mis blogs que tenía aún la 2.82 en automático y me lo pasó ya a 2.84. En cambio, los que ya estaban en 2.83 no me pone la nueva actualización. Ya está la 2.84, pero no para todos. 🙂
.-= Ahora mismo, en el blog de Emiliano Crespo: Cuando la trampa es un lujo =-.
- agosto 12, 2009 3:45 AM
- By Emiliano Crespo
Ale, ya esta actualizado, gracias por el aviso…menuda racha llevan, en un par de semanas hemos hemos hecho 3 actualizaciones…de momento parece que todo funciona correctamente, cruzo los dedos.
.-= Ahora mismo, en el blog de DJLogic: DJLogic – Live Set Barcelona 2007 =-.
- agosto 12, 2009 6:19 AM
- By DJLogic
[…] a un problema de seguridad relacionado con la contraseña del panel de administración, es necesario actualizar a WordPress […]
- agosto 12, 2009 7:50 AM
- By Actualización obligatoria: WordPress 2.8.4
Hola Manuel,

Es similar a la broma que te pueden hacer al tratar de registrarse como “admin” y luego pedir que te envíen de nuevo el password. Por eso, una de las normas de seguridad en WordPress es cambiar el nombre “admin” por otro más seguro. Hay un plugin que ayuda en esta tarea, para quienes no saben cómo modificarlo en la base de datos.

Saludos,

Daniel
.-= Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller =-.
- agosto 12, 2009 1:49 PM
- By Daniel
P.d. Haciendo un poco de mantenimiento en la DB, encontré lo siguiente: el usuario “admin” fue vuelto a crear y además hay un nuevo usuario, “WordPress” (verifiqué su existencia en otros blogs: tiene la misma clave), ¿lo tienes también? ¿sabes algo de quién es este usuario? “Curiosamente”, no aparece en la lista de usuarios del blog.
.-= Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller =-.
- agosto 12, 2009 2:55 PM
- By Daniel
[…] versiones 2.8.x de WordPress no dejan de darnos disgustos con la seguridad. Acabo de ver en Mangas Verdes que el último agujero detectado permite que cualquiera cambie la contraseña del administrador […]
- agosto 12, 2009 3:15 PM
- By Mas problemas de seguridad en Wordpress 2.8.x | El Blog de Pablo Pando
[…] Tras el día de ayer en el que recibimos no menos de 30 intentos de acceso no autorizado a este blog, intentando cambiar la contraseña del perfil de administrador, esta mañana gracias a Jacinto Lajas, hemos actualizado a la versión 2.8.4 de WordPress, que parece que soluciona esa vulnerabilidad. […]
- agosto 12, 2009 3:43 PM
- By Actualizado a wordpress 2.8.4 | NetoRatón 3.0
Vamos con Blogger!! (debe tener mas errores que WordPress)
.-= Ahora mismo, en el blog de Fede: AVG Anti-Virus With AntiSpyware v8.5.409 Multilenguaje =-.
- agosto 12, 2009 4:10 PM
- By Fede
[…] Agosto, 2009 · Archivado en WordPress Despues de unas horas de conocer la horrible vulnerabilidad de WordPress 2.8, llega la actualización de […]
[…] Hemos actualizado la plataforma de publicación “Edublogs RUM a WPMU 2.8.4a y DigiZen a WP 2.8.4. En Margas Vergas explican con detalles la necesidad de la actualización. […]
- agosto 12, 2009 8:50 PM
- By Actualizamos a WPMU 2.8.4a y a WP 2.8.4 | DigiZen
La verdad un dolor de cabeza esta version 2.8.x , tiene muchos problemas, en el servidor me trajo muchos problemas con APACHE y PHP, y se nota que consume muchos mas recursos que 2.7.x!!!! vaya a saber porque será , aun lo estoy investigando ..pero en 2 blogs tuve que hacer downgrade a 2.7.x .
Saludos!
.-= Ahora mismo, en el blog de Max: Problemas con WordPress 2.8.x =-.
- agosto 14, 2009 8:25 PM
- By Max
Reverendamente al pedo actualizar mejor editen los archivos ustedes mismos, saltan errores de todos lados con la actualizacion nueva! La verdad wordpress se fué al carajo! Que saquen una version bien echa y que nos dejen de joder!
.-= Ahora mismo, en el blog de Cristian: Ataque masivo a webs del gobierno en protesta por el impuestazo tecnologico =-.
- agosto 15, 2009 2:58 PM
- By Cristian
Ahora no puedo entrar al theme editor, de mi blog por la actualizacion.
.-= Ahora mismo, en el blog de Cristian: Al carajo con Baker =-.
- agosto 15, 2009 4:39 PM
- By Cristian
[…] Tips and Hacks to Protect Your WordPress Admin Area‘, sobre todo después de los últimos agujeros en la parte de administración de WordPress. No tienes que aplicarlos todos, pero un par de ellos […]
- agosto 18, 2009 12:05 PM
- By 10 consejos vitales para proteger tu WordPress
Hola Manuel,
Ya casi alcanza el estatus de epidemia: Lorelle recomienda actualizar los blogs basados en WP a la última versión lo más pronto posible. Una explicación técnica de lo que está sucediendo la da Matt.

Saludos,

Daniel
.-= Ahora mismo, en el blog de Daniel: Consejos eróticos =-.
- septiembre 07, 2009 3:11 AM
- By Daniel
- @Daniel: sí, lo publiqué ayer mismo. Gracias.
  
  Un saludo.
  - septiembre 07, 2009 7:29 AM
  - By mmeida

Mangas Verdes

Blog personal de Manuel M. Almeida sobre tecnología, política, periodismo, Internet, actualidad, cultura, fotografía, software, ecología y más

Nueva vulnerabilidad en WordPress 2.8.x

25 comentarios