El otro día comentábamos el hecho de la desprotección que se había detectado en la versión 2.3.3 de Wordpress, mediante la cual se podrían crear carpetas, normalmente numeradas, dentro de tu directorio wp-content de la instalación de Wordpress.
Pues bien, desde hace días vengo observando que estas carpetas intrusas se están utilizando mayoritariamente para el envío de spam desde servidores ajenos, con lo que los spammers consiguen (si les dejas) hacer lo suyo pero ocultando la identidad propia.
Lo que hacen es crear dentro de tu carpeta wp-content carpetas numeradas – 1, 2, 3, etc – en las que ubican ficheros HTML hacia los que enlazan el spam que dejan en tus comentarios, email, etc y desde donde promocionan esos productos tan importantes para el ser humano como la vicodina, el viagra o cremas para el alargamiento de pene, ya sabes.
No tienes mas que revisar tu carpeta de spam en Akismet para comprobar lo que estamos comentando. En nuestro caso, he comprobado que antes las URLs de destino de estos spammers eran de servidores gratuitos pero ahora están alojadas en la ruta de blogs no suficientemente protegidos, que encima corren el riesgo de tener problemas por ser catalogados como spammers y aparecer en las listas negras que corren por ahí.
Así que repasa el hilo de la vulnerabilidad y toma medidas si no quieres que usen tu espacio para promocionar cosas a tu costa. En caso contrario puedes comprobar que tus comentarios en otros blogs nunca aparecerían, al haber sido varias veces catalogados como spam.
Un comentario en “Efectos de la vulnerabilidad de Wordpress 2.3.3”
La verdad es que la web va muy bien, os doy una idea y es, de vez en cuando, publicar un documento .rar que incluya themes, plugins, y documentos en .PDF donde expliquen los procesos de instalación y demás, creo que sería muy útil.
Gracias ^^
Escribe un Comentario
Comentarios adicionales gracias BackType
Mucho hemos hablado de como asegurar WordPress pero cuando uno de mis blogs de cabecera en seguridad informática: Security by default, hace recomendaciones lo menos es tomarlas en cuenta. Personalmente me ha interesado mucho Plecost, que no conocía y que, además de hacer fingerprinting de la base de Wordpress que disponemos, reconoce los plugins y sus versiones y es capaz de mostrarnos vulnerabilidades con enlaces CVE incluidas en caso de encontrar algún plugin vulnerable. Interesantísimo.
[#8]
Donncha anunció la disponibilidad la versión 2.9.2 de WordPress MU, con solución a todos los fallos encontrados desde la última actualización. Esta versión, salvo necesidad, será la última versión de WordPress MU, ahora que WordPress 3.0 integrará ambas plataformas, ofreciendo la posibilidad de montar sistemas multiusuario a voluntad.
[#9]
BuddyPress 1.2 está prácticamente lista para lanzarse salvo que las pruebas de los usuarios digan lo contrario. Ya puedes descargarla y empezar a comprobarla (enlace al svn). En esta nueva versión se han cerrado más de 125 tickets desde la última beta.
[#3]
Último mensaje de: caslamaro
En el foro: Themes y Diseño
Último mensaje de: pmoranc
En el foro: General WordPress.org
Último mensaje de: evola100
En el foro: General WordPress.org
Último mensaje de: Pedro Raul
En el foro: Plugins
Último mensaje de: EduGalaz
En el foro: Themes y Diseño
Acceder