Confirmado: Hay vulnerabilidades en Wordpress 2.3.3
March 8, 2008 · Imprimir este Artículo
Nosotras ayer habíamos dicho que nuestro blog fué atacado y hackeado, dado que todos los usuarios que acceden a algunos posts de nuestro blog encontraran código malicioso que intentará instalar un control OCX en sus computadoras.
¿Que pueden hacer estos controles OCX?
Miles de cosas, desde virus, troyanos o simplemente dejar nuestras pcs como zombis para que los hackers puedan realizar sus fechorías utilizando nuestras pcs.
Ahora hay muchas personas que están reportando esta falla en wordpress, hasta incluso en los blogs de wordpress están sufriendo este ataque.
Pienso yo, que es inminente una nueva versión de actualización critica de seguridad.
Actualización:
La falla que están reportando es similar a la que sufrimos nosotras. Es una inyección de código eh insertan un IFRAME.
Este fue el ultimo post que encontré con este código:
¿Como corroborar si tu blog esta sufriendo este ataque?
Tienes que entrar en el phpmyadmin y allí correr estas sentencias SQL:
//Para los posts SELECT * FROM wp_posts WHERE post_content LIKE '%iframe%' //Para los comentarios SELECT * FROM wp_comments WHERE comment_content LIKE '%iframe%'
Enlace: creativebriefing.com
Ya he visto en el post anterior que parece que os vais a instalar una máquina Debian supongo que con wordpress. ¿Estais seguras? Las vulnerabilidades de wordpress segurián siendo las mismas. Pero bueno, ya me contareis porque me acaaban de pasar un equipo en el que también instalaré un servidor Linux (debian o fedora) para una cosita que tengo entre manos.
Suerte con las vulnerabildades.
PD:Mi vulnerabilidad número 1 ahora es mi garganta, que casi no me deja ni comer, siempre en fin de semana, tengo una suerte…
Ya que sois un blog que trata temas de tecnología e internet, deberiais usar la palabra hacker con mas tacto y conocer su verdadero significado.
Un saludo.
sagudino: Estamos viendo, ya compramos el server, quizás usemos CentOS, pero no sabemos aun, dado que nosotras no haremos la instalación. Oye! que te mejores!
trocolo: No subestimes, si quieres que tu comentario tenga valor, demuestra que significa Hacker, para mí son personas malvadas que lo único que quieren es aterrorizar a las demás personas y robar cosas que no son de ellos. Si tu piensas distinto, que los hackers son buenos, allá tu.
según tengo entendido los hackers solamente entran en sistemas, crean virus y todas esas cosas con la simple intención de expender sus conocimientos sin dañar a nadie, los que les gusta joder a la gente, cargar, dañar, robar son crakers.
tengo entendido eso, también según leí hay varios tipos de hackers o crakers o como sea xD
YA TE DIJE QUE REPORTES LOS BUGS Y DEJES DE PARLOTEAR
Una posbile solución para evitar ese tipo de problemas es cambiar el prefijo de de las tablas de la base de datos de wordpress.
En lugar de ser wp_xxxx que sea otracosa_xxxx; no es LA solución pero evita pequeños problemillas como estos.
Alberto: si es verdad, escuche esa definición de hackers. Pero es totalmente insólito, te doy un ejemplo: un día llego a mi casa y encuentro a un intruso en mi casa y me dice: “No soy malo, solamente quiero aprender las vulnerabilidades de la puerta de tu casa”.. jajaja. No se, respeto la opinión de todos, pero yo tengo bien claro, cualquier persona que usurpa datos privados de otra persona está haciendo un delito.
FaQ: FaQyou!
Albert: Si, muy interesante tu idea, quizás la implemente, gracias!!
Es bueno eso de hacer como dice Albert, no cuesta nada..
en cuanto a la vulnerabilidad estoy poniendome al dia porque ayer no estuve en casi todo el dia en la pc, si veo algo nuevo paso a avisar
Saludos!
Ey! Neri, ¿tienes dominio nuevo?
Si natalia, ando en eso, todavia esta bastante Beta, sobre todo el hosting, pero esa es la idea
pd: volviendo al tema, yo no entiendo al tipo este que citas, dice,”Download the latest version of WordPress from here.”
si la ultima version es vulnerable :S
Hola chicas un poquito más de parloteo para aclarar ok?
Los hacker no solo son algo bueno, sino que son un servicio de de la sociedad, gracias a ellos vuestros sistemas son más seguros y son el frente que combate los contenidos ilegales de la red, ¿referencias?, ok.
Buscad en wikipedia “etica hacker”, o escribid en google “define:hacker”, la gran mayoria de las definiciones no dicen “malo, aterrorizar ni robar”, es cierto que existe un pequeño porcentaje que los define como tu, pero eso es culpa de los medios de comunicación que siempre han usado ese término para referirse a delincuentes informáticos, piratas…
Saludos
trocolo, respeto tu opinión, pero no pienso como tú.
Y a mi no me lavo el cerebro ningún medio de comunicación.
Pero es que aquí pareciera que porque crearon una “ética hacker” tienen el visto bueno de todos. Y no es así.
Al hackear sistemas, están haciendo lisa y llanamente eso, hackear, violar, ultrajar, tengan una ética o no.
Para mí, no está bien lo que hacen y jamás voy a pensar que es un servicio para la gente.
Pero te vuelvo a repetir, es un tema sumamente relativo y por eso respeto tu opinión.
Espero que tu respetes la mía
saludos y gracias por participar
Natalia:
Llegué a tu blog porque me lo recomendó un amigo. Pero realmente, tu ignorancia sobre el término hacker es un insulto.
Más aún que sigas defendiendo tus palabras, sin preocuparte por conocer cuál es el significado del que estamos hablando.
Según la misma Wikipedia:
para que sigas leyendo, http://es.wikipedia.org/wiki/Hacker
————————————
Por otra parte, tal vez un poquito de PHP que filtrara el tag iframe sería suficiente para evitar el ataque, no crees?
—————————————
ya terminando, mis felicitaciones por el resto del blog, y suerte con esto…
Es un tema que nunca va a terminar, propongo que si siguen hablando vallan al foro porque este post va a estar lleno de cometarios jaja..
ah, me olvidaba, los hackers no existes Chic@s..o a caso hay una escuela donde te puedas recibir de hacker?,No. no hay, por eso no Existen.
Saludos
¿Porque son tan intolerantes que no pueden aceptar que una persona piense distinto a ustedes?
Juas, yo no digo que son ustedes ignorantes, ustedes si me dicen que soy ignorante, pero bueno allá ustedes.
Cada uno tiene su definición para determinadas cosas, por ejemplo, Chavez dice que los de la FARC no son terroristas, ustedes dicen que los hackers son personas tiernas..
Cada uno que piense lo que quiere, aquí todos podemos opinar y hablar lo que querramos, pero siempre con respeto. Así que les pido que a mi me respeten, como yo les respeto, no les insulte, no soy ignorante porque piense distinto a ustedes.
Neri, si!! muy buena idea, vamos todos pa Seo Cantina
Volviendo al tema del wordpress, parece que el lunes va a salir la versión 2.5 de Wordpress para arreglar estos problemas de seguridad.
Más información aquí:
http://hackwordpress.com/how-to-preparing-for-wordpress-upgrades/
Todavía no reportaste el bug, seguís diciendo que los hackers son algo “malo” cuando en realidad son los que crearon casi todos los programas que usás en la PC y los que descubren la gran mayoría de fallos de seguridad, y no querés compartir conceptos sobre hacker, software libre, ética, etc…
Este post degrada bastante la imágen del blog, casi nunca comento pero estoy desde los inicios (dá la casualidad que me empecé a interesar en SEO cuando salió este blog) y estoy suscripto, y me parece bastante bueno, pero si puedo dar un consejo constructivo es que lo uses (el blog) más para aprender y no tanto para demostrar lo que sabés o expresar opiniones poco argumentadas (como esta): No podés ser tan cerrada en tus opiniones o suposiciones sobre ciertos temas (en este caso software libre y hackers). Hasta me “insultaste”.
Me gustaría seguir este tema con vos pero esto no es un chat ni un mensajero, si te parece mandame un mail y la seguimos.
Saludos, Facundo.
Che paren de bardear!..
chicas, perdon por el Offtopic pero esto ya se desvirtuo igual, asique Feliz dia!
La gente que ha inyectado código en tu blog no son hackers: son piratas, o crackers, o como quieras llamarlo.
Los comentaristas que te piden que mires lo que significa hacker quieren que seas más culta y llames a las cosas por su nombre.
La incultura no es un insulto: nadie lo sabe todo de todos los temas. El insulto es la incultura consentida y no creo que sea tu caso porque parece que quieres aprender
Donde dijiste hacker querías decir pirata, ¿no?
Por cierto, si tienes mucho tráfico hispano en norteamérica, ganarás más dinero con Consorte Media (http://www.consortemedia.com). Para el tráfico fuera de USA y Méjico no pagan muy bien
que cada uno respete la opinión de los demás y punto si total para gustos estan los colores (quemadisimo el dicho este xD)
y no te pueden gustar todos los post de un blog o si? xD
Hola, gracias por el aporte.
¿hay alguna especie de parche para correjir el fallo que no sea tener que editarlo a mano con el phpmyadmin?
Lo digo como un SP para wordpress que tape varios fallos.
Gracias.
Hola chicas, realmente el blog es muy bueno, sin embargo, tal y como se lo han dicho anteriormente, el hecho de que no puedan usar debidamente y ni siquiera saber la definición junto con todo el contexto que lleva la palabra hacker degrada totalmente el contenido del blog sobretodo siendo este un blog de tecnologías y computación.
Y claro, para gustos los colores, pero es que su definición de hacker me deja con varias cuestiones, por ejemplo, si un hacker es tan malo ¿Por qué usan software creado por ellos?, Linus y Stallman son grandes hackers y no por ello son “personas malvadas que lo único que quieren es aterrorizar a las demás personas y robar cosas que no son de ellos”, claro, también están los hackers de Mozilla fundation que hacen que Firefox 3 sea una bala, o los hackers de Linux que contribuyen a que día a día este gran S.O. sea mas amigable y mas seguro, y eso solo por poner algunos ejemplos. Ahora bien, ustedes son las personas de mente cerrada, que no logran aceptar un error, o toda una cultura que estaba ya incluso antes de que aprendieran a encender un monitor, a lo que ustedes se refieren son crackers, un poco mas de respeto por favor.
Polémica:
admin on 03.08.08 at 9:43 am
“…Así que les pido que a mi me respeten, como yo les respeto, no les insulte…”
Natalia on 03.08.08 at 8:17 am
“…FaQ: FaQyou! ;)…”
es simple el tema
hacker es el guru de la informatica que ve muy poco etico hacer daño (lease daño como crear codigo malicioso,etc)
cracker es la persona que hace codigo malicioso para cometer delitos informaticos.
de ahi, tu error de decir que hacker es una persona delictiva cuando en realidad los que lo son se denominan crackers (por culpa del periodismo paso esto)
saludos
Lo primero, un autenténtico hacker jamás inyectaría código malicioso en vuestro blog. Sí tienes razón al decir que entran en sistemas sin permiso, y sí es cierto que es y debe seguir siendo un hecho delictivo, pero el mundo no es en blanco y negro. Anunciáis la llegada inminente de la versión 2.5 con actualizaciones de seguridad que solucionen el bug que ha permitido que infecten este y otros blogs. Pues hay que decir que la mayoría de estos bugs son descubiertos por hackers. Un autentico hacker entrará en tu sistema y reportará el fallo de seguridad para que sea solucionado, eso hace un hacker. Lo que hos han hecho a vosotras es obra de o bien crackers, o bien algun personajillo con aspiraciones en el mundo hacker que lo primero que debería saber es que si lo descubren nunca será aceptado por esta comunidad. Sin duda estos últimos son los más peligrosos ya que dudo que ni siquiera sepan realmente lo que están haciendo.
Lo segundo, felicitaros por vuestro blog chicas, un autentico placer haber pasado por aquí.
Hey, gracias por los tips. Estaba leyendo que wordPress se hace más suceptible a los ataques de hackers cuando usamos plugs que utilizan la base de datos, no lei de aluno en particular, pero me parece que hay demasiados que estan hechos al vapor y si WordPress no tenía la falla, al instalar éstos le creamos una..
En fin, ya estoy siguiendo todos tus consejos y gracias por publicarlos.
Saludos
Ya saben que leo seguido el blog, y comento bastante seguido, y si bien ya está bastante discutido todo el tema del término hacker, me gustaría hacer un aporte.
No está mal admitir una equivocación, y en éste post, el término hacker está mal usado.
Sin entrar en detalles, los hackers son constructivos, mientras que los crackers y demás son destructivos. Así que el término correcto hubiera sido crackers, no hackers.
De todas formas, un error lo comete cualquiera, no se sientan ofendidas!
Saludos
Pobres hackers =(, la media polémica esto, y bueno vulnerabilidades dudo que dejen de presentarse el asunto es como solucionarlas, agradezco los tips que han puesto.
Y es respetable la opinión de todos y cada uno pero no se puede guardar a los hackers y a los crackers en la misma bolsa, ni a los wareros y a los piratas, no se, sí hay diferencias, sutiles pero las hay, así que de cierta forma estoy en pro de que se le llame por su nombre a cada cosa.
Buen blog, me las acabo de topar la semana pasada mas o menos.
Deberian de probar WPIDS:
http://blogsecurity.net/wordpress/wpids-v012-officially-released/
Eso y no demorar mucho al actualizar su Wordpress seguramente las mantendra a salvo de gente indeseada la proxima vez.
Natalia:
Te invito amablemente a que releas mi post y lo interpretes “con buena onda” en lugar de “con mala onda”.
No te estoy llamando ignorante, solo digo que ignoras el significado de la palabra, y por eso la usas incorrectamente.
No te estoy diciendo que un Hacker “que te ataca para buscar vulnerabilidades” es bueno o no. Simplemente confundes el término Hacker con Cracker.
Hacker significa simplemente Experto. Y su uso se extiende más allá de la seguridad. Por ejemplo, yo me considero Hacker de CSS. Y también se extendie más allá de la informática, para referirse a personas que son “expertos/referentes/gurús” en su profesión
[...] Confirmado: Hay vulnerabilidades en Wordpress 2.3.3www.chicaseo.com/confirmado-hay-vulnerabilidades-en-wordpres… por noctime.com hace pocos segundos [...]
Una persona con conocimientos puede usarlos para intentar entrar en tu blog usando posibles fallas de seguridad: Si es Hacker simplemente te avisa de que tienes fallas de seguridad porque no tiene ningún objetivo malicioso. Si es Cracker entonces no te avisa y usa las fallas para hacer algún mal.
Gracias a los Hackers las fallas son descubiertas e incluso arregladas antes que los Crackers puedan usarlas.
No es cuestión de pensar de forma diferente a ti, sino de saber español sin cambiar el significado de las palabras.
facundo:
“you aren’t really a hacker until other hackers consistently call you one”
Eric Raymond - How To Become a Hacker.
Por cierto, la definición de hacker está bien explicada en ésta guía:
http://catb.org/~esr/faqs/hacker-howto.html#what_is
Fernando:
Muy cierto, y por eso mismo es que me considero un hacker de CSS… mis colegas me han convencido de ello.
facundo:
Bien entonces, hacker!
Chicas capas que lo mejor es que cierren los comentarios en este post, son inutiles y no llevan a nada y cada vez desvirtuan mas el tema. [solo sugerencia]
[...] Via Chica Seo [...]
[...] Chica Seo: es muy importante que revisen este artículo todos los que usen WordPress ya que nos hablan sobre una nueva vulnerabilidad en WordPress 2.3.3. [...]