Gravatar de Armonth

Seguridad, WordPress, registro de usuarios y preocupación

Publicado el Thursday 27 de July del 2006 @ 5:09 por Armonth.

  • 2
  • 3

  • Comentar

Actualización (23:05): La versión 2.0.4 ha entrado en fase beta por lo que en breve será lanzada y se ha confirmado que el nuevo bug en cuestión está arreglado en dicha beta. Si necesitáis la opción “Anyone can register” esperad a la versión 2.0.4 antes de volver a activarla.

ProBlogger se despacha hace menos de una hora con una entrada títulada “Possible WordPress Security Problem” donde Dr Dave hace un anuncio (en mi opinión quizá algo alarmista) llamado “Critical Announcement affecting ALL WordPress users”:

Parece ser que un “invitado” registrado mediante la opción “Anyone can Register” puede hacer algún que otro destrozo. Esto en principio no es nuevo, hace meses ya hubo en la versión 2.0.2 un grave problema de seguridad con el mismo asunto: Inyección de código aprovechándose de estar registrado.

Lo que sí que hay es mucha incertidumbre sobre lo que puede o no puede hacerse actualmente Sobretodo es inquietante lo que dice Matt:

“He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade”

Resumiéndolo: Que no esta al tanto del problema y por tanto no sabe si es motivo de preocupación o no, que hablara con Dr Dave y que la versión 2.0.4 saldrá en breve (lo cual ya se podía leer en la lista de discusión de WP-Testers).

Mi recomendación es la misma que se ha hecho en las entradas citadas:

  1. Desactivar la opción “Anyone can register” (Cualquiera puede registrarse) (está en “Opciones”).
  2. Comprobar que efectivamente nadie puede registrarse (entrar en tublog/wp-register.php y que te de un error).
  3. Borrar todo usuario/invitado que no sea de fiar.
  4. Si no puedes estar sin está opción, desactivara y espera a la 2.0.4 para volver a reactivarla.

Y ya de paso pediría que se hiciera el máximo de eco posible ya que he visto alguna que otra cosa rara y no me extrañaría que fuera un 0day. Más vale prevenir que curar…

2 Comentarios

  1. javier:

    Nunca entenderé el sistema de gestion de usuarios de wp. En postnuke (otro cms) tiene su logica porque es una comunidad online. Pero en wordpress solo tiene sentido si los usuarios son redactores del propio blog y en tal caso es mucho mejor dar permisos de forma manual.

    Saturday, 2 de September/2006 @ 19:28

  2. Armonth:

    Suponte un modelo anónimo vertical como barrapunto: Gente registrada (o no) enviando noticias que pasan a portada según los editores… si te registras y te ganas la confianza asciendes a editor…

    Aunque parezcan ilógicos sirven para muchas cosas yo mismo tengo unos cuantos usuarios entre ellos el admin, el usuario normal y algunos amigos que a veces escriben en SigT…

    El problema real es que es difícil de ver hoy en día blogs en que la gente decida escribir: prefieren montar el suyo propio… :D

    Saturday, 2 de September/2006 @ 20:58

Comentarios cerrados