25mar
2

Vulnerabilidad en WordPress 2.3.3

Seguro que tenemos una nueva versión de WordPress 2.3… 4 ya que se ha descubierto una vulnerabilidad de por la que se pueden crear carpetas y páginas en wp-content. Lo anunciaron en Smackdown y lo comentan Chica SEO y en Inkilino.

Parece que se puede solventar temporalmente añadiendo estas dos líneas a tu archivo robots.txt:

Disallow: /wp-content/
Allow: /wp-content/uploads/

También te recomiendo revisar este post para proteger tu instalación, y esperemos que no pase de ahí la cosa. De momento se puede ver la lista de blogs hackeados por este sistema en esta búsqueda de Google.

wordpressexploit04.jpg

Para saber más:

por en Seguridad, Wordpress.org Disallow, hacking, SEO
  • http://www.dondado.es Dondado

    No parece que esa sea mucha solución, salvo que lo indexe algún buscador poco más consigues. Como primera medida yo intentaría quitar , si el sistema de permisos del servidor lo permite, el permiso de escritura a public e incluso al grupo (aunque puedes perder la posibilidad de subir imágenes).
    Tampoco tengo claro que sea una vulnerabilidad de WP y no una vulnerabilidad del apache (o el servidor que esa) que además se aprovecha de que esa carpeta es conocida en todos los blogs y en muchos además suele tener permisos 777

  • http://fernandotellado.com/ Fernando Tellado

    Yo recomiendo cambiar los permisos a 755 e introducir un fichero vacío index.html en wp-content, themes y plugins. Además de lo del nofollow para wp-content, que ya lo tenía por defecto en mis blogs.