19jun
9

¿Hackearon a WP-Candy?

WP-Candy es un excelente blog que trata exclusivamente sobre WordPress, de los mejores en la lengua de Sheakspeare, y es actualizado con frecuencia por Michael Castilla y Dan Philibin, aunque también cuentan con algunos muy buenos colaboradores.

Este no prentende ser un blog patrocinado ni mucho menos, lo que me llamó la atención hace un momento al ver sus feeds es que hay 4 posts escritos a la misma hora en un idioma que desconozco, pero seguramente provenga de Europa del este, y, que obviamente, fueron escritos por alguien que tuvo una elevación de privilegios o se aprovechó de algún descuido inconsciente de los administradores del sitio.

WP_Candy

Lo preocupante del caso es que no es un blog cualquiera, es un blog de gente que conoce WordPress y por eso seguramente tome muchos recaudos con este CMS, ojalá no nos estemos enfrentando a alguna vulnerabilidad conocida por unos pocos y que comience a dar significativos dolores de cabeza a partir de ahora.

por en General, Seguridad
  • http://fernandotellado.com/ Fernando Tellado

    Mas parece un descuido en los permisos de publicación. Ese tipo de personajes entran TODOS LOS DÍAS en los blogs, se registran con correos .pl La cosa es no tener abierta la puerta para que publiquen sin controlj, como parece que han hecho.

    Vamos, yo creo que es eso :roll:

    El feed ya está bien, eso se debió colar.

  • Pingback: Vulnerabilitat desconeguda a WordPress? | docs4beto

  • http://www.odiolosdomingos.com luis

    Hola,

    Bueno, no es exactamente una lengua de Europa del este, es de Europa central, es polaco. El contenido del mensaje, que se titula Noticias (Wiadomosci) describe quienes son los productores, presentadores, así como la audiencia del programa.

    Es curioso lo que comenta Fernando, nunca se me ha colado nadie en mi blog ni he recibido spam desde Polonia, pero sí que recibo cerca de unos 500 a la semana, de no sé dónde llenos de signos raros.

    Un saludo desde Varsovia.

  • http://fernandotellado.com/ Fernando Tellado

    Gracias por la aclaración Luis.

    A lo que me refiero es a que se me registra mucha gente con dominios de polonia, que luego no utilizan el blog, y en los últimos meses ha sido notorio. No es que se cuelen, es que tengo abierta la puerta para cualquiera que quiera redactar, solo eso :)

  • http://www.copando.com Francisco

    Hey fernando, me gustaría que me dijeras cómo haces para que “cualquiera” pueda redactar en el blog…porque es justamente lo que quiero en el mio, un lugar abierto a las diferentes opiniones sin muchos obstáculos a la hora de escribir. gracias :P

  • http://fernandotellado.com/ Fernando Tellado

    Francisco, para eso tienes que habilitar que los usuarios se puedan registrar, y que el perfil por defecto sea el de “colaborador” o “contributor”. Eso lo defines en las opciones de WP ;)

  • http://www.copando.com Francisco

    Muchas gracias, saludos!

  • http://carneargenta.com Cesar

    Mira vo!, yo siempre pensaba para que joraca me sirve registrarme en un blog, y por eso le saque todo ese código de mi plantilla; jajaj el poder de la ignorancia.-

  • http://tengoun.com.ar Neri

    Yo hace 5 minutos retome la lectura de los feeds y en Greader tengo una carpeta que dice WordPress y ahi tengo todos y justo antes de leer los de AW vi lo de WP Candy y me parecio re raro :S