☆ No hay problemas de seguridad con WordPress 2.0 ó 2.0.1

Via Mangas Verdes, llega un aviso de seguridad sobre WordPress. Mismo que hace eco en Alt1040 y otros tantos blogs, gracias en parte al poder de difusión de los mismos.

Ahh, pero pequeño detalle, SE REQUIERE ACCESO DE ADMINISTRADOR, ¿Para que necesitaria hacer un XSS, a un sitio si ya soy admin del mismo?.

Analizando un poco mas el reporte de un desconocido Neo Security Team. Leemos: “Impact: XSS, Full Path Disclosure, Directory Listing”, salvo por el XSS, que en realidad no sirve para nada a menos que sea Admin. Se toma en consideracion el supuesto Directory Listing, en otras palabras, mostrar un listado de los archivos en cualquier carpeta. Problema que no depende directamente de WordPress, si no de la correcta administración de el servidor HTTP en cuestión. La solucion:

Options -Indexes
ErrorDocument 401 "error
ErrorDocument 403 "error

El problema no es de WordPress, pero la alerta de seguridad la cambiamos mejor a “Alerta de seguridad en todo servidor mal administrado, posible exploit a todo script conocido por el ser humano”, ahora que si tienen miedo, les puedo recomendar el mejor firewall, del mercado. Con cero tolerancia.

Actualización: Repito una vez mas, no hay tal XSS, y el Full Path Disclousure, depende de la configuracion del servidor., deberian ver el capitulo de southpark acerca del secuestro (5ta temporada, si no me falla la memoria)

Actualización: Para dejar de mostrar errores, como el Full Path disclousure (que en si no es dañino, pero permite al atacante conocer mejor el sistema), basta con cambiar en el php.ini:

; Print out errors (as a part of the output). For production web sites,
; you’re strongly encouraged to turn this feature off, and use error logging
; instead (see below). Keeping display_errors enabled on a production web site
; may reveal security information to end users, such as file paths on your Web
; server, your database schema or other information.
display_errors = On

Y cambiarlo por un Off.

10 respuestas a “☆ No hay problemas de seguridad con WordPress 2.0 ó 2.0.1”

Responder a ">alert("Al parecer no es necesario ser admin..."); Cancelar respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.