CPI (Curioso pero inútil)

Agujero de seguridad en Blogs de WordPress

13 de mayo de 2006

La Ãºnica ilustraciÃ³n de un agujero negro que he encontrado que no rompe las leyes de la fÃsica Gracias a Víctor y José María por prevenirnos de un problema de seguridad con los blogs de Wordpress. Ya está resuelto en CPI, pero si tienes un blog Powered by WordPress, mejor lee Un inciso, oiga » Seguridad en blogs, o como conseguí entrar en paneles de administración

Consejos rápidos si estás afectado:

Borra los ficheros de backup accesibles
Cambia las contraseñas de todos los usuarios del blog
Piensa donde más has usado esa contraseña* y cambiala.

Según el post original, si la contraseña no es excesivamente difícil, se puede sacar en 2 días por fuerza bruta (probar hasta que salga).

¡Y yo que pensaba que no llegaría a hablar de ataque por fuerza bruta en la sección (hibernada) de criptoCPI!

* Todos los expertos de seguridad te recomiendan que uses 1 contraseña para 1 aplicación, sin repetir, aplicación biunívoca pero… ¡que levante la mano quien no haya repetido jamás contraseña!

¡Vota esta entrada!

(28 votos, media: 3.07 de 5)

Entrada escrita por Patxi A-K el 13 de mayo de 2006 a las 1:58 am.
Está archivada en Software, AutoCPI.
Puedes suscribirte a los comentarios de esta entrada aquí.
Puedes dejar un comentario más abajo.
La dirección para trackbacks manuales es ésta.

Hay 9 comentarios en “Agujero de seguridad en Blogs de WordPress”

victor dice:
13 de mayo de 2006 a las 8:31 am
Me alegra ver que lo solucionasteis tan rápido

(0)
Remo dice:
13 de mayo de 2006 a las 8:35 am
Victor, gracias mil por tu ayuda.

(0)
victor dice:
13 de mayo de 2006 a las 6:28 pm
No hay de que
Si te sientes muy agradecido podeís contestar mi minipregunta chorra sobre la luz de la cocina XDDDD

(1)
Remo dice:
13 de mayo de 2006 a las 8:01 pm
En ello estamos, en ello estamos…

(1)
Gocho dice:
13 de mayo de 2006 a las 8:32 pm
Ok, perdón por las prisas… Acabo de leer el mail que me mandasteis.
Disculpa la presion

(0)
victor dice:
13 de mayo de 2006 a las 8:33 pm
Y encima cambio el nick

(1)
netdancerplanet.info » Buscando la clave perfecta (para recordar) dice:
14 de mayo de 2006 a las 5:15 am
[…] @ 05:14h. · Enlace para trackback · Translate: Estos d�as hay revuelo entre algunos usuarios de WordPress debido a unavulnerabilidad mediante la cual es relativamente sencillo conseguir la contrase�a de administraci�n de los blogs afectados. La primera medida recomendada es la de cambiar nuestra contrase�a, y ah� es donde conviene hacer un inciso en lo importante que es elegir bien una clave hoy en d�a. Con el m�todo de “fuerza bruta” (que es, b�sicamente, como suelen obtenerse muchas contrase�as), una clave sencilla puede ser extra�da en apenas unos minutos, mientras que en claves m�s complejas el proceso puede llevar d�as �Qu� es una clave sencilla? Pues, para empezar, cualquier clave basada en una o m�s palabras propias de un idioma. Esto es as� debido a que los programas “revienta-claves” suelen tener la capacidad de probar todas y cada una de las palabras incluidas en los diccionarios que les sean indicados, y en todas y cada una de las combinaciones posibles. Es pura combinatoria: A menor longitud de la clave, menor tiempo de procesado para dar con ella. […]

(2)
meneame.net dice:
18 de abril de 2007 a las 9:47 am
Agujero de seguridad en Blogs de WordPress…

Consejos sobre la seguridad en Wordpress y de cómo combatir ante posibles intrusiones no deseadas….

(0)
Frikisada dice:
2 de mayo de 2007 a las 5:54 am
Levanto la mano!!!

Hasta ahora no he repetido ninguna contraseña, un truco que uso es usar CD Key’s de juegos, que con 16 caracteres aleatorios (o no) y alternando mayúsculas y minúsculas se consigue

(0)