Peligroso bug en Wordpress 2.1 y 2.0
Hay un importante bug en Wordpress que puede comprometer la seguridad de cualquier blog que use esta plataforma, tanto en su versión 2.1, como en la 2.0
El bug permite que se pueda obtener fácilmente el nombre del administrador y su contraseña (aunque encriptada en hash, pero de aquí se puede sacar después en texto plano).
Posibles soluciones:
- Si se usa la versión 2.1 (como es mi caso):
- actualizarse a la versión 2.2 (la rama 2.1 no tiene continuación y no habrá una versión 2.1.4)
- modificar el fichero
wp-includes/pluggable.phpañadiendo una línea con el siguiente código justo después de la única entrada donde ponereturn $userdata;(lo podéis ver en sigt.net,aunque el titular dé lugar a confusión):
$user_login = $wpdb->escape($user_login); - Si se usa la versión 2.0:
- esperar a que salga la versión 2.0.11 (poco recomendable: el tema es bastante serio)
- hacer la misma modificación de antes, pero ahora el fichero a modificar es
wp-includes/pluggable-functions.php
Que no se diga que no se ha avisado a la gente…
BruNET dijo
24 de Mayo del 2007 a las 4:35
gracias por el aviso, lo he puesto en portada para que la gente actualice.
salu2
Noticia importante para usuarios de Wordpress. « dijo
24 de Mayo del 2007 a las 17:11
[...] Para más información sobre posibles soluciones, clicad aquí [...]
Marcos García Online » WordPress vulnerable. ¡Protégete pronto! dijo
24 de Mayo del 2007 a las 19:53
[...] Hablan de ello: Sitg.net BuayaCorp.com Genbeta.com Blogantivirus.com Uniondebloggershispanos.com Dalealteclado.com [...]
Como actualizar a WordPress 2.2 | EGOLETRISMO dijo
25 de Mayo del 2007 a las 22:48
[...] de enterarme del bug que afecta a WP 2.0.x y 2.1 decidí cambiarme a WP 2.2. Para esto busqué algún manual en internet y encontré este de [...]