WordPress 2.3.3 vulnerable

wordpressicon hanttula2Dentro de poco podría ser lanzada una nueva actualización de WordPress, y es que se ha reportado una nueva vulnerabilidad en la versión actual 2.3.3 que permite la inyección de código y la creación de carpetas y páginas dentro del directorio «wp-content» de la instalación de WordPress.

El problema de seguridad está siendo activamente explotado para generar spam y en Google se puede pueden ver los miles de blogs que ya han sido atacados. Por lo general se ha reportado que el atacante crea una carpeta con el número «1», así que es importante revisar el directorio «wp-content» de WordPress y en su caso eliminar cualquier carpeta que tenga un número y sea desconocida.

Ya que de momento aún no exite una actualización que resuelva este problema, una solución para evitar que los buscadores indexen este contenido es modificar (o crear) el fichero robots.txt y agregar las siguientes líneas:

Disallow: /wp-content/
Allow: /wp-content/uploads/

Esta solución temporal no solventa la vulnerabilidad, únicamente sirve para evitar el indexado en los buscadores del contenido spam. Habrá que esperar a que se publique una nueva actualización de WordPress que solucione la vulnerabilidad.

(vía: Inkilino)

2 Comentarios

  1. Parece ser que el problema no es de WordPress sino de los permisos que tiene la carpeta wp-content en el servidor dónde está alojado. Por lo que he leido los blogs que han sucumbido al ataque tienen como permisos 777.

    Por cierto, excelente blog al que sigo desde hace tiempo a través de los feeds.

  2. Gracias por el comentario Chesco. El problema en sí también es de WordPress dado que permite la inyección de código que se aprovecha del directorio «wp-content».

    De cualquier manera la recomendación de dejar los permisos CHMOD 755.

Dejar respuesta

Please enter your comment!
Please enter your name here