Arte Produccion: Dj K-CoDesahogoEl Chef

Subscribe to wWw.Desahogo.cLEntradasSubscribe to wWw.Desahogo.cLComentarios

Viendo > Inicio / Internet / Password Reset en Wordpress. Mas problemas de seguridad en Wordpress 2.8.3. Como arreglarlos!

Password Reset en Wordpress. Mas problemas de seguridad en Wordpress 2.8.3. Como arreglarlos!

11 Ago, 2009 por marxter a las 17:38 Hrs. 
Publicado en Internet

Deja tu comentario

Nueva vulnerabilidad de Wordpress que afecta incluso hasta la última versión disponible hasta el día de hoy (la 2.8.3).

Todos pueden resetear una contraseña de cualquier blog en  Wordpress, sin necesidad de conocer ni el nombre de usuario, ni el correo electrónico asociado a la cuenta!

Picture 7

Así es, nos afecta a todos.

Si bien no es una manera de ganar acceso al blog, este exploit permite que cualquier persona simplemente deshabilite las cuentas de los usuarios en Wordpress, obligándolos a revisar el correo por los passwords generados. Todo un dolor de cabeza.

Cómo solucionarlo?

Para solucionarlo de manera temporal, tenemos que abrir los archivos de configuración de Wordpress en nuestro servidor, ubicar wp-login.php, dirigirnos a la línea 190 y cambiar

if ( empty( $key ) )

Por

if ( empty( $key ) || is_array( $key ) )

Ademas te recomendamos Eliminar el usuario admin

Wordpress crea, por defecto, el usuario admin en todos los blogs como el usuario principal.

Esto significa, pues, que resulta bastante vulnerable a un ataque de “fuerza bruta”, donde se intenta averiguar el password con miles de intentos.

Para ayudar a prevenir este tipo de ataques o, al menos, añadir una barrera de seguridad extra, lo que es conveniente es eliminar al usuario “admin” de nuestro blog y crear otro usuario que tenga los mismos privilegios.

Cómo?

Vayan, en el panel de configuración de Wordpress, en el menú a la mano izquierda, a “Usuarios”. Ahí verán la opción de añadir uno nuevo.

Aquí verán los datos regulares, como el nombre de usuario, primer nombre, etc. No se olviden de elegir un nombre de usuario difícil de adivinar. Pero definitivamente, cualquier cosa será mejor que “admin”. Además, en la parte inferior, la opción de “Rol”. Asegúrense de elegir “Administrador” en este campo, además de, por supuesto, un password largo y seguro.

Picture 10

Una vez hecho esto, cierren sesión de su cuenta actual (admin), y entren con la nueva. Ahora, vayan, en el menú, a “Autores y Usuarios”, y cuando vean a Admin, denle click en Delete / Eliminar.

No se preocupen por todos los posts escritos con la cuenta de “Admin”. Verán que pueden fácilmente transferirlos al nuevo usuario que han creado. Sólo asegúrense de no darle “Delete” a los posts / comentarios dejados con dicha cuenta.

Fuente: http://www.arturogoga.com


Etiquetas:
Compartir Compartir

Comentarios

1 Comentario para “Password Reset en Wordpress. Mas problemas de seguridad en Wordpress 2.8.3. Como arreglarlos!”

  1. HFX escribio el 11 Agosto, 2009 a las 17:48 Hrs.

    Se ha puesto bastante comun los ataques a redes sociales, hace poco hubo un reset password en Twiter xD

Siéntase libre de dejar un comentario...
si quieres colocar una foto en tu comentario, entra en gravatar!