Vulnerabilidad en Wordpress 2.3.3
Seguro que tenemos una nueva versión de Wordpress 2.3… 4 ya que se ha descubierto una vulnerabilidad de por la que se pueden crear carpetas y páginas en wp-content. Lo anunciaron en Smackdown y lo comentan Chica SEO y en Inkilino.
Parece que se puede solventar temporalmente añadiendo estas dos líneas a tu archivo robots.txt:
Disallow: /wp-content/Allow: /wp-content/uploads/
También te recomiendo revisar este post para proteger tu instalación, y esperemos que no pase de ahí la cosa. De momento se puede ver la lista de blogs hackeados por este sistema en esta búsqueda de Google.
También te puede interesar:
Bitacoras
RSS
Blog EntreBlogs
Ayuda WordPress
Bocabit
Buscando Libertad
CiberPrensa
Comparativa de Bancos
Verdadera Seducción
Soy Plastic
No parece que esa sea mucha solución, salvo que lo indexe algún buscador poco más consigues. Como primera medida yo intentaría quitar , si el sistema de permisos del servidor lo permite, el permiso de escritura a public e incluso al grupo (aunque puedes perder la posibilidad de subir imágenes).
Tampoco tengo claro que sea una vulnerabilidad de WP y no una vulnerabilidad del apache (o el servidor que esa) que además se aprovecha de que esa carpeta es conocida en todos los blogs y en muchos además suele tener permisos 777
Yo recomiendo cambiar los permisos a 755 e introducir un fichero vacío index.html en wp-content, themes y plugins. Además de lo del nofollow para wp-content, que ya lo tenía por defecto en mis blogs.