Comentarios en: Vulnerabilidad en WordPress 2.3.3

Por: Fraurller

Fraurller — Wed, 28 Dec 2011 11:07:58 +0000

[url=http://angry-birds-rio-games.com]angry birds[/url]

[url=http://minecraft-games.com]minecrft[/url]

Por: Jose

Jose — Sat, 29 Mar 2008 17:45:46 +0000

pasate por milw0rm para q veas los nuevos fallo de WordPress

Por: InKiLiNo

InKiLiNo — Thu, 27 Mar 2008 18:11:40 +0000

Gracias por el cumplido Chesco

Por: Chesco

Chesco — Thu, 27 Mar 2008 17:08:55 +0000

Excelente post y excelente blog. Directo a mi lector de feeds. Felicidades!!

Por: luigix

luigix — Thu, 27 Mar 2008 00:49:45 +0000

Gracias por el aviso Inkilino, le echaré una mirada a mi wp-content, no vaya a ser…

Por: InKiLiNo

InKiLiNo — Wed, 26 Mar 2008 21:12:06 +0000

Ja,ja,ja,ja… gracias Alan por declararte

Por: Alan Rodríguez

Alan Rodríguez — Wed, 26 Mar 2008 18:37:28 +0000

A mi me lo hicieron en Paraíso Geek, me inyectaron código y se alojó en el functions.php
Mostraba publicidad que no era mia (de la que se muestra cuando pasas el mouse por alguna palabra resaltada). De todas formas lo arreglé, pero buscando en mi wp-content encontré una carpeta llamada “cache”. Lo raro es que jamás he usado ningún plugin para cachear el sitio, vamos, no me gusta, tengo suficiente ancho de banda, por lo que procedi a borrar dicha carpeta.
Como sea, modificaré el robots.txt.
Gracias por la info, inkilino, me declaro admirador tuyo.

Por: Dogguie

Dogguie — Tue, 25 Mar 2008 23:07:30 +0000

Excelente información. Pero ya tengo mi robots.txt con los datos necesarios

Por: g30rg3_x

g30rg3_x — Tue, 25 Mar 2008 19:59:22 +0000

Opino igual que los demas…

Esto me parece mas un problema de permisos que de WordPress en si, ya que puede ser que el usuario que este usando el servidor web (apache, lighttpd, nginx, etc…) tenga la posibilidad de escribir o bien por que como dicen explicita mente se ha puesto al publico el permiso de escritura sobre la carpeta.

Así que yo no me atrevería a acuñar (aun no) que es una vulnerabilidad especifica para WP, ya que al menos los blogs afectados que he visto son version 2.1.x (versión de WP claramente llena de errores de seguridad), así que por ahora me reservo acuñar la misma.
No obstante sugiero a todos los administradores de blogs que sientan un poco de miedo y que necesiten tener sus directorios con permisos de escritura (por X o Y motivo) que por el momento cierren parcial o totalmente sus registros de usuarios ya que se nota claramente que la mayoría de los blogs afectados tienen el registro de usuarios activado, así que si es un fallo de WP este mismo podría relacionarlo con esto (ya que han habido cierta cantidad de fallos provocados por usuarios registrados como suscriptores).

Saludos

Por: pitote

pitote — Tue, 25 Mar 2008 19:06:50 +0000

Pues nada habrá que estar alerta :O

Por: Dondado

Dondado — Tue, 25 Mar 2008 15:09:24 +0000

¿y seguro que será una vulnerabilidad de wordpress y no un problema de los permisos en el servidor?
quiero decir que tal vez es un problema de acceso al servidor y el único problema que aporta wordpress es que esa carpeta muchos blogs la tienen con los permisos 777.

Por: InKiLiNo

InKiLiNo — Tue, 25 Mar 2008 11:06:21 +0000

Yo de momento no uso nada para evitarlo Herzeleyd, sólo iré echando un ojo para que no me creen ninguna carpeta en el wp-content.

Gafeman, yo ya tengo 755 en el wp-content, pero no estoy seguro si con eso se arregla.

Esta tarde en casa investigaré un poco y a ver si encuentro alguna solución

Por: gafeman

gafeman — Tue, 25 Mar 2008 10:48:04 +0000

con esto no se soluciona el problema, creo que es para que no encuentren tu blog tan facilmente desde un buscador..

por si sirve de algo he puesto los permisos chmod 755 a la carpeta wp-content

gracias jaime por el aviso

Por: Herzeleyd

Herzeleyd — Tue, 25 Mar 2008 10:03:32 +0000

¿Estás usando algo para evitarlo? Que cosas más curiosas pasan cuando van a sacar una nueva versión… y yo no digo nada…