Unas horas después de conocer un problema de seguridad en el sistema de recuperación de contraseña, llega WordPress 2.8.4 para solucionar el error. Descargar.
No pienses ni un sólo segundo en no actualizar tu sitio. ¡Actualízalo ya!
Gracias a Ejner por el chivatazo.
Ayer comentaba Fernando de una vulnerabilidad critica en la rama 2.8.x y hace solo minutos se libero la versión 2.8.4 que corrigue este fallo. No es un consejo, te obligamos a actualizar ahora.
¿Te gustó este post? ¡Compártelo!
Si aún te preguntas porque debes actualizar WordPress a la nueva versión, actualmente la 2.8.3, debes saber que las versiones anteriores tienen un fallo de seguridad que puede facilitar que alguien – malintencionadamente – reinicie la contraseña del administrador (sea el nombre de usuario ‘admin’ u otro) aún sin un email válido autorizado.
Es tan sencillo como hacer lo siguiente:
Se envía un cambio de dirección de email o nombre de usuario a través de este formulario:
/wp-login.php?action=lostpassword ;
WordPress envía una confirmación para reiniciarlo a través del típico email:
”
Alguien ha solicitado reiniciar la contraseña del siguiente sitio y usuario.
http://DOMAIN_NAME.TLD/wordpress
Username: admin
Para reiniciar tu contraseña visita la siguiente dirección, en caso contrario simplemente ignora este email y no pasará nadahttp://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag
”
Si se hace clic en el enlace WordPress reinicia la contraseña de administrador y envía otro email con los nuevos datos de acceso.
Así es como funciona:
wp-login.php:
...[snip]....
line 186:
function reset_password($key) {
global $wpdb;
$key = preg_replace('/[^a-z0-9]/i', '', $key);
if ( empty( $key ) )
return new WP_Error('invalid_key', __('Invalid key'));
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key));
if ( empty( $user ) )
return new WP_Error('invalid_key', __('Invalid key'));
...[snip]....
line 276:
$action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
$errors = new WP_Error();
if ( isset($_GET['key']) )
$action = 'resetpass';
// validate action so as to default to the login screen
if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword', 'resetpass', 'rp', 'register', 'login')) && false === has_filter('login_form_' . $action) )
$action = 'login';
...[snip]....
line 370:
break;
case 'resetpass' :
case 'rp' :
$errors = reset_password($_GET['key']);
if ( ! is_wp_error($errors) ) {
wp_redirect('wp-login.php?checkemail=newpass');
exit();
}
wp_redirect('wp-login.php?action=lostpassword&error=invalidkey');
exit();
break;
...[snip ]...
Puedes incluso reiniciar la clave de admin enviando un array a la variable $key.
Puedes incluso hacer una prueba de concepto. Solo necesitas el navegador web para reproducirlo:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
La contraseña se reiniciará sin confirmación alguna.
Da miedo ¿verdad?, pues actualiza coño., pues revisa lo que viene a continuación …
Actualización: esta vulnerabilidad también afecta a la versión 2.8.3 y se puede solucionar como indica Martín:
Abre el fichero wp-login.php y su sustituye esta línea …
if ( empty( $key ) )
por esta otra …
if ( empty( $key ) || is_array( $key ) )
Si por cualquier motivo no te funciona este “hack” prueba a bajar la versión modificada del archivo wp-login.php del trac, con el problema solucionado, como ha hecho Ferticidio.
Esta vulnerabilidad ya la están aprovechando varios indeseables que no tienen nada mejor que hacer así que no te lo tomes a la ligera.
¿Te gustó este post? ¡Compártelo!
No nos hemos repuesto aún de la migración a la versión 2.8 cuando ya hay tres releases nuevas. Pero eso es bueno, aunque un poco molesto: demuestra que la plataforma está en plena forma. Se recomienda instalar inmediatamente.
[Link a la descarga de la nueva versión}
Lo que se dice por ahí, acerca de esta actualización de seguridad: Carrero, Weblog Tools Collection
, Ayuda WordPress
, ANieto2K
.
Y también tienes la versión en español.
Reyson acaba de actualizar su traducción al español formal a la versión 2.8.3 de WordPress que ha salido esta misma tarde. Además aprovecha para mejorar la traducción previa.
¿Te gustó este post? ¡Compártelo!
Ya está disponible para su descarga WordPress 2.8.3 que soluciona varios problemas de seguridad. Esto significa que esta actualización es altamente recomendable. Descargar.
Gracias a Javi por el aviso.
A pesar de que la versión 2.8.1 vino a solucionar algunos problemillas, y que en la versión 2.8.2 se manejaron algunos problemas adicionales, no dejes de actualizar (ya mismo) a WordPress 2.8.3 pues arregla problemas de seguridad importantes recientemente descubiertos por la comunidad de desarrollo.
¿Te gustó este post? ¡Compártelo!
Según el trac de WordPress 2.8 una de las funcionalidades que vamos a ver pronto serán los pings en las actualizaciones de posts ya publicados. Esto significa que si modificamos un post para añadir un enlace el sitio enlazado recibirá un ping.
¿Te gustó este post? ¡Compártelo!
También se ha actualizado WordPress Mu a la versión 2.8.2 con el objeto de evitar la vulnerabilidad XSS detectada. Ya estás tardando.
¿Te gustó este post? ¡Compártelo!
Ya está disponible la nueva versión de WordPress que corrige una vulnerabilidad en el XSS. Como siempre, puedes actualizar automaticamente desde tu panel de control (wp-admin) o descargartela y actualizar manualmente..