Dr. Dave, conocido por su spamkarma, anunció el día de ayer un nuevo bug crítico en todas las versiones de wordpress. Aunque no ha dado al detalle del bug, hasta no estar seguro que haya un parche oficial (ojala muchos hicieran eso), si dá la solución momentanea para evitar el bug hasta que salga un nuevo parche de wordpress para actualizar.
Según Dr. Dave, dejar la opción de que cualquier invitado pueda registarse o que ya se hayan registrado puede ser de alto riesgo.
ir a options(opciones) y donde diga Anyone can register (cualquiera puede registrarse) desactivarlo
Y borrar los usuarios que no conozcas
Ignacio Marcos afirma que la vulnerabilidad se aprovecha de inyectar un código malicioso en la carpeta cache/userlogins, permitiendo al atacante ejecutar cualquier comando en el servidor (como usuario webserver).
Otra solución alternativa para quienes tengan usuarios de los que no saben si confiar es de restringir, via .htaccess, wp-content/cache/userlogins/ y wp-content/cache/users/.
Saludos
The Ghost
Comments are closed.