Nueva vulnerabilidad en WordPress 2.8.x

WordPress bug

La última actualización mayor 2.8.x de WordPress ha llegado como un queso de gruyere, con numerosos agujeros y otras tantas actualizaciones menores que no acaban de corregir el desaguisado. Esta noche he vivido en mis carnes la última de ellas, un bug que permite a cualquiera ejecutar un cambio de claves de los usuarios del blog ejecutando simplemente en su navegador el comando:

http://nombrededominio.com/wp-login.php?action=rp&key%5B%5D=

Adortunadamente, WordPress remite siempre al correo del usuario afectado (en este caso, todos) la nueva contraseña, por lo que el problema, en principio, no pasa a mayores y se queda en una molestia que se soluciona entrando con la nueva contraseña y cambiarla otra vez. Eso, siempre y cuando no dé alguien con la fórmula para hacerse con la nueva contraseña generada.

Por eso, cuando vi en el correo el mensaje de cambio de contraseña, pensé inmediatamente en el inicio de un ataque, lo que me obligó a cambiar las contraseñas de administración de todos los blogs. Pero cuál no sería mi sorpresa, una vez cambiadas las contraseñas, al ver que me llegaba otro correo similar. Y me dije: imposible, no se puede hackear la contraseña tan rápido.

Así que me puse a buscar en la Red y encontré un post de Arturo Goga que lo explica perfectamente. El problema está en un descuido en el código del archivo ‘wp-login’, en la misma raíz de tu directorio. Para solucionarlo, debes abrir el documento y cambiar, en la línea 190

if ( empty( $key ) )

por

if ( empty( $key ) || is_array( $key ) )

En fin, que mis alarmas fueron en vano, y todo parece deberse a la actuación de uno o un par de graciosillos. Como dice Arturo, no nos extrañe ver en unas horas una actualización a WordPress 2.8.4.

Actualización (12 ago-03.29 h): dicho y hecho. Como apunta Carballo en los comentarios, ya tenemos WordPress 2.8.4.

Autor: mmeida

Soy periodista y escritor, creativo y social media. Mangas Verdes fue mi primer blog. Con él viví en primera persona la 'revolución de los blogs', obtuve seis premios internacionales y, lo más importante, me lo pasé en grande. Ahora transito por mmeida.com. (+ info).

25 comentarios en “Nueva vulnerabilidad en WordPress 2.8.x”

  1. Pues si que ha salido mal esta versión, suerte que se den a tiempo para corregir los fallos. Seguro que en la próxima están con más ojito que sino, menudos quebraderos de cabeza para los usuarios :/
    .-= Ahora mismo, en el blog de Javier I. Sampedro: Toma ya! =-.

    Me gusta

  2. Pues a mi me pasó algo extraño. Acabó de actualizar uno de mis blogs que tenía aún la 2.82 en automático y me lo pasó ya a 2.84. En cambio, los que ya estaban en 2.83 no me pone la nueva actualización. Ya está la 2.84, pero no para todos. 🙂
    .-= Ahora mismo, en el blog de Emiliano Crespo: Cuando la trampa es un lujo =-.

    Me gusta

  3. Hola Manuel,

    Es similar a la broma que te pueden hacer al tratar de registrarse como “admin” y luego pedir que te envíen de nuevo el password. Por eso, una de las normas de seguridad en WordPress es cambiar el nombre “admin” por otro más seguro. Hay un plugin que ayuda en esta tarea, para quienes no saben cómo modificarlo en la base de datos.

    Saludos,

    Daniel
    .-= Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller =-.

    Me gusta

  4. P.d. Haciendo un poco de mantenimiento en la DB, encontré lo siguiente: el usuario “admin” fue vuelto a crear y además hay un nuevo usuario, “WordPress” (verifiqué su existencia en otros blogs: tiene la misma clave), ¿lo tienes también? ¿sabes algo de quién es este usuario? “Curiosamente”, no aparece en la lista de usuarios del blog.
    .-= Ahora mismo, en el blog de Daniel: El golfista, por Eric Koller =-.

    Me gusta

  5. La verdad un dolor de cabeza esta version 2.8.x , tiene muchos problemas, en el servidor me trajo muchos problemas con APACHE y PHP, y se nota que consume muchos mas recursos que 2.7.x!!!! vaya a saber porque será , aun lo estoy investigando ..pero en 2 blogs tuve que hacer downgrade a 2.7.x .
    Saludos!
    .-= Ahora mismo, en el blog de Max: Problemas con WordPress 2.8.x =-.

    Me gusta

Los comentarios están cerrados.