Si aún te preguntas porque debes actualizar WordPress a la nueva versión, actualmente la 2.8.3, debes saber que las versiones anteriores tienen un fallo de seguridad que puede facilitar que alguien - malintencionadamente - reinicie la contraseña del administrador (sea el nombre de usuario 'admin' u otro) aún sin un email válido autorizado.
Es tan sencillo como hacer lo siguiente:
Se envía un cambio de dirección de email o nombre de usuario a través de este formulario:
/wp-login.php?action=lostpassword ;
Wordpress envía una confirmación para reiniciarlo a través del típico email:
"
Alguien ha solicitado reiniciar la contraseña del siguiente sitio y usuario.http://DOMAIN_NAME.TLD/wordpress
Username: admin
Para reiniciar tu contraseña visita la siguiente dirección, en caso contrario simplemente ignora este email y no pasará nadahttp://DOMAIN_NAME.TLD/wordpress/wp-login.php?action=rp&key=o7naCKN3OoeU2KJMMsag
"
Si se hace clic en el enlace WordPress reinicia la contraseña de administrador y envía otro email con los nuevos datos de acceso.
Así es como funciona:
-
wp-login.php:
-
...[snip]....
-
line 186:
-
function reset_password($key) {
-
global $wpdb;
-
return new WP_Error('invalid_key', __('Invalid key'));
-
$user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s", $key));
-
return new WP_Error('invalid_key', __('Invalid key'));
-
...[snip]....
-
line 276:
-
$errors = new WP_Error();
-
$action = 'resetpass';
-
// validate action so as to default to the login screen
-
$action = 'login';
-
...[snip]....
-
line 370:
-
break;
-
case 'resetpass' :
-
case 'rp' :
-
$errors = reset_password($_GET['key']);
-
if ( ! is_wp_error($errors) ) {
-
wp_redirect('wp-login.php?checkemail=newpass');
-
}
-
wp_redirect('wp-login.php?action=lostpassword&error=invalidkey');
-
break;
-
...[snip ]...
Puedes incluso reiniciar la clave de admin enviando un array a la variable $key.
Puedes incluso hacer una prueba de concepto. Solo necesitas el navegador web para reproducirlo:
http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key[]=
La contraseña se reiniciará sin confirmación alguna.
Da miedo ¿verdad?, pues actualiza coño., pues revisa lo que viene a continuación …
Actualización: esta vulnerabilidad también afecta a la versión 2.8.3 y se puede solucionar como indica Martín:
Abre el fichero wp-login.php y su sustituye esta línea …
por esta otra …
Si por cualquier motivo no te funciona este "hack" prueba a bajar la versión modificada del archivo wp-login.php del trac, con el problema solucionado, como ha hecho Ferticidio.
Esta vulnerabilidad ya la están aprovechando varios indeseables que no tienen nada mejor que hacer así que no te lo tomes a la ligera.
48 comentarios en “Reinicio de contraseña de admin en WP 2.8.3 y previas (actualizado)”
Información Bitacoras.com...
Valora en Bitacoras.com: No hay resumen disponible para esta anotación...
El problema incluye a la version 2.8.3...
Actualmente no hay revision oficial que tenga resuelto el problema solo parches:
http://core.trac.wordpress.org/changeset?old_path=%2Ftags%2F2.8.3&old=11804&new_path=%2Fbranches%2F2.8&new=11804
Saludos
Gracias por el aviso amigo
[...] This post was Twitted by PlanetaWP [...]
¿Para actualizar de 2.8.2 a 2.8.3 es necesario subir todos los archivos o sólo algunos?
Es raro porque me acaba de suceder, pero en un blog actualizado a la versión 2.8.3 :S
Acabo de probarlo con un blog que tengo, el Dashboard dice You are using WordPress 2.8.3. y aún asi pude reinciarle la contraseña sin necesidad del email de validación.
Será que el wordpress 2.8.3 también es vulnerable??
Lo es, repasa el post que hay solución sencilla
da miedo de verdad
Parece que están afectadas todas las versiones, incluida la 2.8.3 http://www.martinaberastegue.com/seguridad/nueva-vulnerabilidad-wordpress-2-8-3.html
Gracias por el aviso, acabo de actualizar el post con la solución
[...] post: Reinicio de contraseña de admin en WordPress < 2.8.3 Comments0 Leave a Reply Click here to cancel [...]
Esto afecta tambien a la rama 2.7.x?
Parece ser que no, solo a la rama 2.8.x
Fer, sos un groso... GRACIAS!
y si no existe el usuario admin? también es vulnerable?
Buena pregunta, yo tampoco uso el usuario 'admin' por defecto pero no lo he probado. Por si acaso aplica el hack por si las moscas o limita el acceso por IP como explicaba ayer. Para probar siempre hay tiempo.
A mi me han hecho el hack y mi único usuario administrador no se llama admin, de hecho 'admin' no existe en mi blog...
Pues ya tenemos la respuesta. Gracias por el aviso Rafa
Perdonad por mi ignorancia, se supone que el problema es solo si el administrador tiene como nick "admin"? Porque si es por eso, no seria mas facil entrar a traves de phpmyadmin y cambiar el nick del administrador en la tabla users?
Acaba de comentar Rafa que también afecta.
[...] Y Fernando Tellado ya publico la solucion al problema. [...]
Che a mi no me funciono eso.
Y tambien me afecta sin tener el usuario "admin"
Yo tampoco tengo el user por default "admin", y aún así salí afectada. Por favor, corrijan. Una pregunta para Fernando, esta vulnerabilidad afecta a versiones 2.7.x?
En serio, gracias por poner tan fácil la explicación, que hasta yo pude solucionarlo. Mil mil mil gracias.
Relee los comentarios, que ya se comentó que también afecta a usuarios administradores que no sean "admin". Y no, no afecta a la rama 2.7.x
Ah, perdón, acabo de leer la respuesta a mi pregunta lineas más arriba, estoy muy alterada y asustada. :S
Listo el hack aplicado al archivo no me funciono, nose porque, yo solo copie y pegue.
Pero bajando el archivo desde http://core.trac.wordpress.org/changeset/11798?format=zip&new=11798 (Paciencia que media blogocosa esta intentando hacerlo) ya no me resetea el password
A mi me bajó rápido el fichero de sustitución. En un blog he recibido el aviso de cambio de clave pero lo he recibido yo afortunadamente, y ya he aplicado el cambio de fichero.
Muchas gracias! Comprobado que eso arregla el agujero de seguridad. Estoy actualizando mis sitios y a seguir propagando esta info. Grande Martín aportando la solución!
[...] AyudaWordpress lei por la mañana que existe una vulnerabilidad que afecta a las versiones 2.8.0, 2.8.1, 2.8.2 y [...]
@Fernando Tellado...
No es que la solucion que veo todos estan usando no sea segura, pero se han aumentado los cambios (se ha vuelto mas estricta en esta parte para no solo mitigar el caso de los arreglos cualquier otro), asi que deberian aplicar los cambios 11800 y 11804... ya he dejado en mi comentario anterior como bajar el archivo con los cambios necesarios (asi como ya he posteado informacion al respecto en mi blog) para así solo reemplazar con el actual y parcheado segun el equipo de wordpress (mas bien segun ryan).
Saludos
Gracias por la aclaración
Afortunadamente ya está disponible la 2.8.4
[...] a AyudaWordpress y a sus mensajes en Twitter, me entero de esta vulnerabilidad que posee WordPress y que aún no ha [...]
[...] los hechos, tomo el cierre del post en Ayuda WordPress: “Da miedo ¿verdad?, pues actualiza [...]
[...] WordPress para administrar tus blogs, lee esto que seguro te interesa, porque según encuentro en Ayuda WordPress, tal parece que las versiones 2.8.3 hasta la 2.8, sufren una vulnerabilidad que permite que un [...]
[...] Ayer comentaba Fernando de una vulnerabilidad critica en la rama 2.8.x y hace solo minutos se libero la versión 2.8.4 que corrigue este fallo. No es un consejo, te obligamos a actualizar ahora. [...]
Como siempre, gracias, ya actualizé mis blogs al 2.8.4, pero si utilizo /wp-login.php?action=lostpassword ;
me sigue apareciendo el recuadro para poner mi nombre de usuario y mail.
¿hay algun modo de evitarlo?
Lo que si: http://DOMAIN_NAME.TLD/wp-login.php?action=rp&key= me da una respuesta de "invalid key"
Bueno esto parece que nos ha puesto a trabajar y actualizarnos bastante más pronto de lo usual.
Saludos
Diana
[...] encuentra disponible WordPress 2.8.4, luego de que se descubriera una vulnerabilidad en el sistema de recuperación de contraseña, es muy importante actualizar ahora a esta nueva [...]
[...] Las versiones 2.8.x de Wordpress no dejan de darnos disgustos con la seguridad. Acabo de ver en Mangas Verdes que el último agujero detectado permite que cualquiera cambie la contraseña del administrador incluso sin un e-mail válido autorizado. [...]
[...] Via | Ayudawordpress [...]
[...] http://ayudawordpress.com/reinicio-de-constrasena-de-admin-en-wordpress-2-8-3/ [...]
[...] Leyendo AyudaWordpress me entero de que este problema de seguridad en las versiones anteriores si existe y puede usarse para tomar tu blog por lo que es mejor actualizar cuanto [...]
Hola, muy buena la info.
Me llamó la atención que usaras el termino "indeseables" que usaba yo hace años en mi sitio Seguridad en Internet 2.0, alguna relación?
Muy bueno el blog
Saludos!
[...] las versiones de la rama 2.8, en donde cualquier persona con los conocimientos suficientes, puede reiniciar la contraseña de administrador sin aviso previo. Para evitar ese tipo de incidentes en donde la seguridad del blog se ve [...]
[...] las versiones de la rama 2.8, en donde cualquier persona con los conocimientos suficientes, puede reiniciar la contraseña de administrador sin aviso previo. Para evitar ese tipo de incidentes en donde la seguridad del blog se ve [...]
[...] el reciente sustillo que nos dimos con el reinicio de cuentas de admin no estaría de más tener en cuenta estos 12 consejos para proteger nuestra área de [...]
[...] Ayuda Wordpress [...]
[...] las versiones de la rama 2.8, en donde cualquier persona con los conocimientos suficientes, puede reiniciar la contraseña de administrador sin aviso previo. Para evitar ese tipo de incidentes en donde la seguridad del blog se ve [...]
Escribe un Comentario
Comentarios adicionales gracias BackType
BuddyPress 1.2 está prácticamente lista para lanzarse salvo que las pruebas de los usuarios digan lo contrario. Ya puedes descargarla y empezar a comprobarla (enlace al svn). En esta nueva versión se han cerrado más de 125 tickets desde la última beta.
[#3]
Ya está disponible WordPress MU 2.9.1 y José Conti me avisa que en unas horas tendrá lista la traducción para poder tener actualizado y listo tu sitio multiusuario.
[#6]
¿Sabías que Kubrick, el tema que va a ser sustituido en 2010 lo creó un desarrollador danés?. Toda la historia de este tema, ya mítico, la tienes en este artículo (traducido con Google).
[#26]
Último mensaje de: Em4-R
En el foro: Themes y Diseño
Último mensaje de: seijas
En el foro: Otros CMS
Último mensaje de: adriancon
En el foro: Plugins
Último mensaje de: fum
En el foro: General WordPress.org
Último mensaje de: AMD
En el foro: Themes y Diseño
Acceder