DaboBlog

Hola amigos, iba a currarme una mini-traducción de lo que solventa esta nueva versión 2.8.6 de WordPress, pero Liamngls ha sido más rápido que yo :D y ya lo ha publicado en Daboweb. Copio y pego;

Nueva actualización para WP que corrige dos vulnerabilidades reportadas por Benjamin Flesch y Dawid Golunski; la primera de ellas es una vulnerabilidad XSS que afecta a los usuarios con privilegios de publicación mientras que la segunda tiene que ver con los nombres de archivos subidos que puede ser explotada en determinadas configuraciones de Apache.

Así que ya sabéis, a actualizar y os comento que no hace falta ejecutar el upgrade de la base de datos.

Os recuerdo que actualizar WP es tan sencillo como esto;

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Saludos, estos días ando un poco liado afinando y jugando con mi Debian y también estoy con el podcast, además de tener a Karbonato en casa, de ahí el parón en el ritmo de publicación habitual -;).

Más info y descarga de WordPress.

Tags: actualizacion, Apache, Blogs, CMS, Wordpress, XSS

Desde el blog “desvaríos informáticos“, su autor nos avisa de un grave ¿gravísimo? bug que afecta a la última versión de WordPress (2.8.4) y anteriores, el fallo se da en el fichero wp-trackback.php y una vez se lanza el exploit sobre el sitio web atacado, el consumo de memoria y uso de CPU del servidor web intentando procesar esas peticiones, sube hasta el punto de (en 3 minutos en mi caso) dejar K.O la máquina en cuestión.

Aunque todavía no hay una solución al bug por parte de WordPress, el propio autor, además de hacer público el exploit para comprobarlo, informa sobre como solventarlo (además de quejarse de la falta de respuesta de WordPress y la solución que le comentaron).

Solución al fallo;

1º) Buscad en “wp-trackback.php” (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

He probado el exploit y puedo dar fe de que funciona;

debian:/home/dabo# php exploitwp.php http://www.url_victima.com
hit!
hit!
hit!
hit!
hit!
hit!
^C

Y con una simple conexión, (la mía) he conseguido casi dejar K.O (estaba monitorizado y lógicamente paré) a un servidor web de alguien que comenta habitualmente por aquí. Aprovecho para informaros que el php y otros aspectos del servidor no estaban nada mal configurados (límites del php, tiempo de ejecución, etc) por lo que sin querer entrar en populismos, el bug me parece simplemente devastador…

Sólo me queda darle las gracias a jcarlosn, autor del post (que con la portada de Menéame tiene mayor repercusión) por informar y dar la solución. Si alguien se pregunta que me parece el hecho de que haya hecho público el exploit junto a la solución, le diré que entiendo que si desde WordPress y aún habiendo informado, no acababan de dar salida o solución al tema, se ha visto obligado a hacerlo público.

Creo que no es momento de discutir sobre el “sexo de los ángeles” si “yo hubiera hecho esto o lo otro” sino de parchear los blogs y en mi caso informar y dar fe de la seriedad del asunto.

Entiendo que desde WordPress se liberará una nueva versión que lo solvente. Hay una gran comunidad de desarrolladores detrás y estarán en ello, aunque en este caso y por el bien de muchos servidores web, espero que se den prisa ya que son sólo dos líneas de código.

Tags: Blogs, CMS, Exploit, PHP, Seguridad Informatica, Wordpress

Digo que está todo ok porque si seguís Ayuda WordPress, os daréis cuenta de que realmente el trabajo que se está haciendo para las traducciones “oficiales” de WP (de agradecer) va rápido y además bien.

Para informaros mejor, os recomiendo leer esta entrada de Fernando.

(Nota del autor) Si el aviso os “agobia” y tenéis la versión actualizada (os recuerdo que como ahora el update viene a nivel de “core” por eso sale), le dais a “Actualizar” y una vez dentro de la funcionalidad a “ocultar esta versión”.

Tags: Blogs, CMS, Wordpress

Vengo de darme una vuelta por Buayacorp donde mi amigo Alex, que se prodiga poco pero es un placer leerle, (Internet tenga en su gloria a los RSS) ha dejado una reflexión en voz alta sobre un artículo de Maestros del web en el que se habla de que la inseguridad del código abierto (en este caso hablando de WordPress pero en el saco está todo dentro) viene dada porque (Copio y pego)

El problema es que el modelo de código abierto permite que hackers y casi cualquier otra persona se pueda dar el lujo de excavar hasta llegar al núcleo del código de todos los foros y blogs que funcionan a través de dicha plataforma, permitiéndoles descifrar múltiples maneras de irrumpir en la sagrada información de sus usuarios.

Increible…pero cierto, no puedo estar más de acuerdo con Alex y más en desacuerdo con Luis Eduardo Barrieto, quien firma esa entrada (blog personal del autor). Desde el más absoluto de los respetos le contestaré aquí con el mismo comentario que he hecho en la entrada de Buayacorp.

Hola Alex, no puedo estar más de acuerdo contigo, las políticas de ocultismo y la capacidad de reacción a ritmo de elefante de muchas compañías de software cerrado con gran implantación en muchos ámbitos de la sociedad, sólo llevan a más inseguridad para los usuarios.

La gran ventaja del software libre es precisamente eso, dotar a quienes lo usan de la capacidad de reacción (y solución) de poder solventar el problema por ellos mismos.

El post de Alex sobre el tema (os recomiendo leerlo).

Y Alex sabe bien de lo que habla porque durante mucho tiempo ha estado haciendo grandes aportes a la seguridad de WordPress, (y otros muchos sites) siendo reconocida su labor citándole en los agradecimientos en la publicación de nuevas versiones de WP.

No deja de ser una paradoja que quien ha publicado ese artículo, lo difunda por la red vía un servidor web con Apache y gestionado con WordPress…y el caso que comenta era conocido,  desde WP hace bien poco se avisó, es también nuestra responsabilidad usar versiones de software debidamente parcheadas.

Y no soy “sospechoso de” tener algo en contra de esa gran comunidad de Internet a quienes mando un saludo, porque cuando tuvieron su problema de robo de cuentas y dominios nos hicimos eco en Daboweb, al igual que muchos otros sitios y no dudaría en volver a hacerlo si pasase mañana otra vez, sólo que quien lo dice está en todo su derecho de hacerlo y yo de opinar sobre ello.

Me veo “obligado” a escribir sobre ello porque estas cosas, si no se rebaten a su debido tiempo, “ahí quedan”. Ya tengo tema para el primer podcast “de verdad” (por cierto, el plantel que estará conmigo, de auténtico lujo, muchas gracias-;).

Tags: CMS, GNU, Opinión, Software, sofware libre, Wordpress

Si, llevaba años sin pegarme con uno y la verdad es que la impresión ha sido muy buena. Ese sistema de foros, phpBB, era lo que en origen teníamos en Daboweb y Caborian y la verdad es que cuando la versión 2x empezó a dar guerra, migramos a SMF hasta la actualidad.

Pero cosas de la vida y por un trabajo que me han encargado, estos días he estado actualizando una obsoleta versión 2.0x a la flamante 3.0.5 y me ha sorprendido gratamente en muchos aspectos.

Sobre phpBB encontraréis la mejor información posible en phpbb-es.com, donde colaboro y hay un equipazo impresionante de gente que os hará la vida muy fácil con estos foros, pero por mi experiencia de estos días con la migración de phpBB2 a phpBB3 (se instala una versión 3 nueva y luego se usa el conversor), os diré que todo lo que he visto ha sido bueno a nivel de configuración, administración, cacheo de contenidos, control de usuarios, opciones para los usuarios y administradores, seguridad,etc, etc.

Yo, cuando la versión 2 de SMF sea estable, migraré de la 1.x porque con ese sistema de foros estoy muy contento, pero después de lo visto, phpBB3 es una opción muy a tener en cuenta, además, con un soporte en español más potente que SMF (resultando una tarea más sencilla e intuitiva el manejo de foros, grupos de usuarios, permisos, etc.) y herramientas como “Automod” que os facilitarán mucho la tarea de gestionar “mods” o añadidos y mejoras para el foro.

Si tenéis un foro en phpBB de la rama 2.x, (ya obsoleta y con muchas versiones inseguras) no dudéis en actualizarlo a la 3.05 (versión actual estable) y sabréis de lo que estoy hablando, eso si, dependiendo de como sea el servidor o plan de alojamiento elegido, esa migración puede dar algo de guerra, cosa que me sucedió a mi y como era en un servidor dedicado, pude ver los errores en los logs y trastear un poco con MySQL server y Apache para aumentar los límites y rendimiento necesarios para la conversión, a mi por dos veces me falló, pero al final se migraron todos los mensajes, foros, usuarios, etc.

Para acabar, el mejor consejo que os puedo dar es “deja al script de migración-conversión hacer su trabajo sin tocar nada hasta que acabe” -;) y “reza para que tu servidor este correctamente configurado para convertir todos los mensajes” xD.

(PDT)

Esta entrada está dedicada a Joseba que se va a “pegar” también estos días con phpBB, mucha suerte y al toro, que no se diga !

Tags: Apache, CMS, foro, MySQL, PHP, phpBB, SMF, Webmaster

Acabo de escribir la entrada en Daboweb y creo que lo lógico es que lo leáis allí. No es algo realmente grave pero si bastante molesto por la posibilidad de resetear continuamente por parte de terceros el password de un usuario en WordPress.

La info en Daboweb y como se soluciona el tema hasta que salga estos días la versión 2.8.4.

(PDTA; Sigo de vacaciones -;)

Tags: Blogs, CMS, Exploit, Password, Seguridad Informatica, Wordpress

Hola amigos, aquí os dejo un post “vacacional” por si se os ha pasado alguna de estas importantes actualizaciones. Imagino que la de WordPress la tenéis controlada pero os informo igualmente.

Voy a enlazar a entradas publicadas en Daboweb (donde por cierto los usuarios de Windows podréis informaros sobre una versión de Nero gratuita) porque allí seguimos publicando a pesar de la letanía de Agosto los temas más importantes que van surgiendo hablando de seguridad.

Firefox 3.5.2 | WordPress 2.8.3 | Joomla 1.5.14.

Saludos y a disfrutar todos de las vacaciones y para los que estáis currando muchos ánimos -;).

Tags: Daboweb, Firefox | Iceweasel, Joomla, Mozilla, Wordpress

Algunos usuarios se habían quejado de problemas en la versión 2.8, la verdad es que yo no he notando más que alguno muy puntual, pero ayer ha visto la luz la versión 2.8.1 de WordPress y toca actualizar -;).

Fernando desde Ayuda WordPress, ha recopilado una lista con los cambios más interesantes, os recomiendo darle un vistazo para poneros al día ya que de un tiempo a esta parte, la gente está perdiéndose un poco con tanto cambio, sobre todo desde la versión 2.6x y hay funcionalidades según he podido comprobar,  realmente “no las ven”.

Descarga de WordPress 2.8.1 | Tutorial para actualizar WordPress (sin sustos-;).

Suerte con los updates !

Tags: actualizacion, Blogs, CMS, Webmaster, Wordpress

Hoy se ha liberado la versión 2.8 de WordPress, a pesar de que se ha quedado en el tintero alguna “feature” comentada, como apunto en el título, la lista de novedades y mejoras es lo suficientemente amplia como para actualizar con brevedad.

No está de más por cierto esperar unos días si tienes muchos plugins para que los desarrolladores puedan adecuarlos a esta entrega del CMS, la mayoría funcionará sin problemas pero alguno os dará algo de guerra, veréis como de aquí al Lunes pisan el acelerador y muchos de los incompatibles dejan de serlo .

Descarga de WordPress 2.8 | Tutorial para actualizar WordPress (sin sustos-;) | Lista de tickets solventados.

Tags: CMS, Plugins, Wordpress