DaboBlog

El concepto de “seguridad por oscuridad” viene ya de lejos. Imagino que, si hablamos de servidores web, nace de la necesidad de protegerse tanto de muchos ataques automatizados que pueden llegar a nuestro servidor web, buscando versiones de software vulnerables, como de la imposibilidad de realizar esas actualizaciones o frente a ataques “0 day”, para los que no hay ningún parche disponible.

Hoy vamos hablar de una herramienta interesante que ya mencioné  hace más de un año en el pasado FIMP. Se trata de “Whatweb”, (acceso a la web del proyecto y su lugar en GitHub). Se trata básicamente de una herramienta capaz de identificar las versiones instaladas de la gran mayoría de CMS (gestores de contenidos) actuales, plugins y una gran variedad de aplicaciones web. También proporciona datos tan relevantes como versiones de Apache, SSL o PHP a través de la información extraída de las “cabeceras” o “banners” que lee cuando realiza una petición al website en cuestión.

"Features" (Según se lee en la web del proyecto):
	* Over 1000 plugins
	* Control the trade off between speed/stealth and reliability
	* Plugins include example URLs
	* Performance tuning. Control how many websites to scan concurrently.
	* Multiple log formats: Brief (greppable)
          XML, JSON, MagicTree, RubyObject, MongoDB, SQL.
	* Proxy support including TOR
	* Custom HTTP headers
	* Basic HTTP authentication
	* Control over webpage redirection
	* Nmap-style IP ranges
	* Fuzzy matching
	* Result certainty awareness
	* Custom plugins defined on the command line

Por lo general, simplemente dentro del directorio desde donde hayamos descargado Whatweb, ejecutamos;

Leer el resto de;”/* Sec tools */ (Cap 1). Whatweb y curl. “Seguridad por oscuridad” en servidores web GNU/Linux y Apache.”

Compartir

Tags: Apache, Ataques, CMS, Curl, GNU/Linux, Hacking, Plugins, Server, Servidor Web, Whatweb, Wordpress

Esta entrada no tendría mucha lógica si unos cuantos colegas que usan WordPress, no me he hubiesen hecho llegar la pregunta sobre cómo activar el modo “pantalla completa” en WordPress 3.2.

También está siendo llamado “zen mode” en alusión a este post sobre WP 3.2, (ENG) que llevó la firma de Matt Mullenweg creador de WordPress, allí hacía una especial mención a la escritura sin distracciones en modo “fullscreen” (así se se llama el botón para activarlo).

Es muy sencillo hacerlo y sinceramente, es una de las características que más me está gustando de WordPress 3.2 aunque las distracciones no creo que vengan tanto de la pantalla, sino más bien de Twitter, los RSS y Facebook o Google + (para quienes uséis esas dos redes sociales, no es mi caso ya que no me veo también actualizando perfiles allí, entonces, entre mis trabajos de consultoría, los que llevo a cabo en APACHEctl , el podcast que saldrá por cierto en breve el episodio 29, más la participación en los blogs y comunidades que ves en el sidebar (mis otras webs) apaga y vámonos ;D.

Cómo activar el modo “pantalla completa” en WordPress 3.2

# 1º; Cambias la pestaña dentro del editor gráfico (si lo tienes activado en tu perfil) de modo Visual a HTML.

# 2º Haces click en el botón que ves debajo donde pone “fullscreen” (pantalla completa en Inglés) y el cambio se hará efectivo.

Acto seguido, verás una limpia y bonita pantalla blanca con el título y el texto que estás escribiendo, si acercas el ratón a la zona superior, saldrán los controles para añadir una imagen, insertar un enlace, cambiar la alineación, edición de texto, etc, o salir del modo “pantalla completa” tal y como puedes ver en la captura inferior.

Pincha para ampliar

Por cierto, en la entrada que le dediqué en Daboweb al lanzamiento de esta versión junto a sus novedades y con el poco tiempo que lo había probado, ya dije que notaba una mayor ligereza y rapidez en la carga (se nota más en el panel de admin),

Unas cuantas actualizaciones y post después me reafirmo, se nota el trabajo con el código, gracias y enhorabuena a toda la comunidad que está detrás del desarrollo de WordPress. Ahora a seguir escribiendo, compartiendo y “mucho zen” para todos -;).

Compartir

Tags: Blogs, CMS, fullscreen, webs, Wordpress, WordPress 3.2, Zen mode

Como muchos sabéis, Coppermine es un sistema de gestión de galerías fotográficas Open Source muy utilizado y con opciones muy interesantes, más en la rama 1.5x, (podéis ver un ejemplo en mis galerías de DaviHM o Fotos de Gijón). Con la llegada de la rama 1.5x, han venido como digo mejoras notables en la gestión de las galerías, así como de las opciones disponibles. Unas más visibles y otras no tanto a nivel de “core” del CMS.

Este es un post que hacía mucho tiempo tenía ganas de publicar y por falta de tiempo no había podido hacerlo, ayer estuve instalando y actualizando las galerías de un cliente y fui recopilando los pasos a seguir o los problemas que me encontré con el update.

Realmente, hay mucha documentación en la web del proyecto y un foro de ayuda en castellano, pero si seguís estos pasos no tenéis que tener problemas a la hora de pasar a la rama estable 1.5x.

El proceso de actualización viene a ser “el de siempre”, esto es;

Hacéis una copia de seguridad de la base de datos ya que escribe más cambios de los habituales que cuando se hacía la actualización de la rama 1.4x. También de toda la galería.

Dejáis la carpeta “albums” tal y como está (ahí están las fotos subidas, miniaturas, etc). Es decir, cuando subáis los nuevos ficheros no la sustituyáis ojo !.

Dentro de /include está el fichero “config.inc.php“, ahí están los datos de conexión del CMS a la base de datos (como wp-config en WordPress por ej). No lo sustituyáis.

Una vez subidos los nuevos ficheros, si accedéis a vuestra galería os podéis encontrar un con un “bonito/puñetero”; “fatal error”,bien eso se solventa ejecutando vuestrodominio/update.php

(Ahí se escribirán todos los cambios en la base de datos necesarios para que funcione perfectamente la nueva rama de Coppermine). Después borrad install.php y update.php.

Ahora, otras consideraciones y problemas que podéis tener.

Es importante que desde el menú “config” (vuestrodominio/admin.php) vayáis a la opción “Check versions” (http://www.vuestrodominio/versioncheck.php) y ahí comparar las versiones instaladas y ver si falta algo.

Es más que posible que ese “Check versions” os informe que dentro de “albums” falten algunos ficheros (directorio “edit” por ejemplo), subid vía FTP buscando dentro de la nueva versión descargada (por ej 1.5.12) dentro de “albums” el directorio “edit” al directorio “albums” que tenéis subido y que recuerdo, no hay que sustituir en la actualización.

Una vez hecho todo esto, es más que posible que cuando queráis ver una imagen al pinchar en una miniatura, os pida un password para hacerlo. Esto es por la configuración de “grupos” y los permisos para los “visitantes”.

Tenéis que ir a http://www.vuestrositio/groupmgr.php (o hacer click en groups o grupos según el idioma) y ahí en “Guest” (invitados) poner los siguientes permisos para ver las imágenes en “Access level” o “nivel de acceso”;

 

Los temas anteriores (de la rama 1.4x) en principio deberían funcionar (os saldrán mal maquetadas o colocadas las opciones cuando estéis logeados como “admin” a la galería pero los visitantes lo verán bien). De todos modos, en Coppermine dan los consejos y pistas necesarias para que sean compatibles con la rama 1.5x.

Espero que os sea de utilidad y que os ahorre algún dolor de cabeza. No obstante como en cualquier tutorial de este tipo, siempre aconsejo ir a la documentación oficial (ES). Saludos ;).

Compartir

Tags: CMS, Coppermine, Tutoriales, Webmaster

Bueno, esta vez me tocaba a mi pasar al otro lado del micro y mi amigo Daniel, de El Arca de Alianza, me ha invitado a su gran podcast para hablar de seguridad informática a nivel un tanto básico aunque al final, escuchándome (que no me gusta tanto como pensáis), nos hemos metido un poco en el tema con profundidad…

Hablamos de seguridad local, vía web, de Windows, Mac OS X, GNU/Linux, también de cómo afectan los temas de seguridad cuando tienes un blog, cómo afecta a tu teléfono móvil, redes sociales, etc, etc. Sólo decir que estuve muy cómodo al igual que lo estuve con otro gran amigo Kids (de AdamaWeb) cuando me invitó a su “explícalo” en blogoff, en el que hablé de otros temas más bien relacionados con webs, foros, CMS, etc.

Muchas gracias Daniel, he estado muy cómodo (da gusto no ser tú el que publicas/editas-;) y creo que ya me ha liado (junto a José Antonio Blanco) para estar en otro en breve. Lamento los cortes puntuales en mi audio (mi PCI Wi-fi, lo solventaré) y de veras que ha sido un placer.

Acceso al podcast en El Arca de la Alianza.

Compartir

Tags: Blogoff, CMS, Entrevista, GNU/Linux, Hacking, Mac OS X, podcast, red, Redes, Seguridad Informatica, Wi-FI, Windows

Hola amigos, alguno me pidió que publicase enlaces y algún texto sobre la parte que me tocó a mi (Servidores web y seguridad) en el pasado ESET Foro Internet Meeting Point que se celebró en Gijón.

Foto cortesía de mi gran amigo Fernando (SInLaVeniA), su crónica.

En su momento, hablé más o menos aquí de lo que iba a hablar en esos 30 min que me tocaban a mi en el EFIMP, después, os comenté en esta otra entrada que tendría el placer de compartir mesa con Fernando De La Cuadra (ESET), muchas gracias por todo, además de con un gran amigo Oscar Reixa (Oreixa) que ya ha publicado su parte de la charla (Seguridad en WP y optimización), alguien que no dudo en estar conmigo allí cuando le comenté la posibilidad de hacer algo juntos para la ocasión.

No voy a intentar referenciar o enlazar a todos los amigos que estuvieron allí además de los que conocí “in situ”, porque seguro que me olvido de alguno así que sólo puedo decir que gracias, por todo.

Lo cierto es que el tiempo era justo y después estaba el partido de Paraguay, (que no lo pude ver entero ya que Oreixa tuvo que llevar a Julia a casa por un asunto familiar y me quedé encerrado en su coche 20 min, con radio, eso sí -;) pero quizás contra lo que más tuve que luchar fue contra mi mismo, el Sábado por la mañana andaba todavía con fiebre del gripazo que me pillé unos días antes.

Pude estar ahí gracias a los antibióticos, el Bisolgrip, la excelente organización con su máximo exponente en Ana Fernández Ordíz, tutelada por un gran profesional como Carlos Urioste y a esos grandes amigos que tengo -;).

El Viernes no pude estar por razones obvias, pero desde las 9,30 del Sábado, estuve asistiendo a las interesantes charlas que nos precedían y conseguí “desquitarme” un poco el Sábado por la noche cuando acabó todo y compartí unos cuantos buenos momentos con varios de los participantes del EFIMP.

Me precedieron como os decía Fernando De La Cuadra (ESET) que habló de seguridad local con algunos conceptos fundamentales y Oscar Reixa (Oreixa) que tomó el testigo hablando de seguridad a nivel de WordPress (El CMS más usado de los que estábamos allí) y cuestiones de optimización como podéis ver en el enlace de superior de su parte).

Luego seguí yo hablando de seguridad web a nivel del servidor (cuando publiquen el vídeo lo enlazaré desde aquí), cada ejemplo lo acompañé de una demostración práctica ya que no quería quedarme sólo en la teoría y me basé en experiencias propias usando para ello un par de servidores web dedicados en producción bajo Debian, el mismo S.O que corría en mi MacBook (con KDE 4x). Todo ello dentro de mis limitados conocimientos adquiridos a base de muchas noches intentando “comprender”.

Algún participante comentó que quizás mi parte era muy técnica pero en el programa y donde iba mi ficha de participante ya puse esto “Todo ello apoyado con escenarios reales de ataques web de diversos tipos” y vaya, Internet es tan real como lo que se pudo ver(me quedé corto, os lo aseguro).

Conocer los riesgos o amenazas antes de montar tu flamante negocio online (que se habló mucho de ello) por citar un ejemplo y saber a qué te enfrentas y cómo hacerlo o qué deberías contratar caso de que no quieras pasarte media vida frente un terminal, creo que es fundamental. Ya hablé en esta entrada de la situación inicial en la que te encuentras contratando un servidor virtual/dedicado administrado sólo con un Plesk, DA o Cpanel.  Mucha responsabilidad y más riesgo.

Todo ello partiendo de la base de que como dije allí, hablamos de ataques automatizados en la mayor parte de los casos, si esos ataques se realizan de un modo directo por alquien que tenga los motivos, conocimientos o dinero suficiente para llevarlos a cabo, tienes un buen problema ya que de un modo u otro, acabaría por conseguir su objetivo…

Parte 1; Seguridad por oscuridad.

Como complemento a lo que comentó Oreixa a nivel de WordPress, di algún repaso a cuestiones de Apache y PHP frente a posibles ataques automatizados buscando versiones obsoletas como pueden ser las siguientes;

Ocultar la versión de Apache y PHP (con ello también la del sistema operativo a veces y PHP, SSL, etc)

Primero vimos cómo con una simple extensión de Firefox se podía conseguir una valiosa información acerca del servidor web que está ejecutándose en una web, se trata de Server Spy.

En apache2.conf (normalmente estaría en /etc/apache2/apache2.conf) cambiamos los siguientes valores; ServerTokens por defecto está en “Full”, lo cambiamos a “Prod”.
ServerSignature por defecto está en “On”, lo cambiamos a “Off”.

Luego vimos como con esto no es suficiente ya que el “flag” de PHP por defecto revela información acerca de estas cuestiones tal y como se comprobó con una simple petición con curl;
curl -i aqui-la-web.com y mediante la herramienta whatweb con un ./whatweb aqui-la-web.com

Para ello, editamos el fichero de configuración de PHP, php.ini (normalmente en /etc/php/apache2/php.ini)
El valor expose_php por defecto está en “On”, hay que ponerlo en “Off”, esto, además de revelar que está ejecutándose de facto PHP, algo que no es un riesgo para la seguridad realmente, revela la versión de PHP como se pudo ver también mediante una petición con curl, el mismo whatweb o vía un escaneo con nmap del tipo nmap -sS -sV -P0 aquí-la-web.com.

Para que todos estos cambios se hagan efectivos, es necesario recargar la configuración de apache, por ejemplo con /etc/init.d/apache2 reload.

Para testar cómo es nuestra configuración de PHP a nivel de seguridad, aconsejé el uso de phpsecinfo, sólo tenéis que descargarlo y descomprimirlo dentro de la raíz de vuestro site y acceder vía el navegador.

Parte 2; Rootkits, puertos, servicios ejecutándose en la máquina.

Aquí primero hice un par de demos con dos herramientas para buscar Rootkits-Troyanos además de cambios (al estilo Tripwire) en comandos esenciales en el sistema, configuración de algunos servicios y versiones, en este caso rkhunter, además de otra aplicación muy potente como chkrootkit.

También puse algún ejemplo de cómo controlar el estado de las conexiones viendo tanto puertos abiertos como qué servicios se ejecutan en dichos puertos con herramientas como;

iptraf, lsof o netstat o nmap pudiéndose añadir alguno más, varios ejemplos;

netstat -an
lsof -i
ps ax | grep apache | wc -l (Procesos que origina Apache)
netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’ | sort | uniq -c | sort -n (Tráfico SYN).

También hablé de la importancia de controlar el tráfico que enviamos o recibimos y además del uso de Munin (que se vio en la parte de Oreixa), puede ser una buena opción el comando vnstat, ejemplos;

vnstat -m (mes)

vnstat -d (dia)

vnstat -h (hora)

Parte 3, diferenciando el tráfico legítimo del no deseado y bloqueo con Mod Evasive.

En esta parte además de hablar de algún ejemplo de picos de tráfico supuestamente legítimos que al final no lo eran tanto (Robots de Yahoo, algún ataque de una Botnet, etc), recomendé para monitorizar en tiempo real el tráfico que llega a nuestras webs, el uso del módulo para Apache Server Status (ahí se puede ver en el sitio web de Apache a Mod Status en acción).

Luego, para los casos en los que sea necesario bloquear picos de tráfico puntuales (más que parar un ataque DoS como se lee mucho por ahí), otro módulo para Apache como Mod Evasive puede ayudarnos, hice una demo del script en Perl que viene con él, (test.pl) para ver cómo bloqueaba un intento masivo de 200 conexiónes a la vez.

Parte 4, acceso al servidor vía SSH, FTP, riesgos y medidas de seguridad.

Hablé de algún consejo para usar con mayor seguridad estos servicios, realizando una demo con Medusa de un ataque de fuerza bruta contra una cuenta FTP y el mejor consejo que pude dar es que no se use como nombre de usuario del FTP, el mismo que tiene la web, para que un ataque de fuerza bruta no sea tan fácil de realizar.

Recalqué lo importante también que es además de cambiar el puerto por defecto del SSH (el 22) y de no usar la cuenta de “root” para conectar vía SSH, revisar los logs del sistema con regularidad ya que este tipo de ataques dejan un rastro fácil de seguir a poco que se observen con atención esos logs (authlog, secure.log, etc).

Para proteger los intentos no deseados de conexión vía SSH, recomendé el uso de DenyHosts (también puede servir Fail2ban) que bloquea tras el número de intentos que definamos una conexión añadiendo la IP a “hosts.dey” y enviando un mail con la IP del bloqueo. También BFD os puede ayudar hablando de ataques de fuerza bruta.

Parte 5, APF Firewall trabajando junto a Iptables.

Para usuarios que no estén familiarizados con el uso de iptables, el firewall por excelencia en sistemas GNU/Linux, recomendé el uso de APF Firewall, puede trabajar junto a paneles como Plesk, CPanel, DA, etc, contando con un fichero de configuración (/etc/apf/conf.apf) muy faćil de interpretar, pudiendo cambiar valores del sistema a nivel de Kernel para paliar ataques DoS (sysctl, etc), descargar listas de IPs maliciosas de lugares como Dshield, etc, recargar la configuración pasado un tiempo (muy válido para DNS dinámicas) o al estilo de “Porsentry” detectar y bloquear un escaneo u otros ataques definiendo los valores deseados TOS o proteger ciertos rangos de puertos previamente definidos.

Hice una demo de ataque (DoS Flood Syn) y detección-bloqueo con una gran herramienta como es Pentbox creada por Alberto Ortega, por cierto, esa demo fue sólo una parte de lo mucho que puede hacer Pentbox.

Parte 6, Mod Security para Apache.

Aquí expliqué algo acerca de las bondades del módulo para Apache Mod Security, potente firewall de aplicaciones y del por qué de su uso en hostings compartidos donde el admin no puede controlar todo lo que instalan o no actualizan sus “inquilinos”. Pero ojo con matar moscas a cañonazos…

Repasé a grosso modo las opciones de detección y bloqueo que se pueden definir en sus extensas reglas (CRS) de ataques XSS, inyección SQL, robots maliciosos, peticiones malformadas HTTP, etc.

Hice una demo de un ataque XSS con bloqueo incluido con la “Hackbar” para Firefox.

Parte 7, control del tráfico y servicios con Logcheck y Monit.

Aquí ya el tiempo apremiaba, como os digo esto fue en 30 min aprox y hablé de Logcheck para estar al tanto cada hora en tu e-mail de todos los avisos relevantes del sistema que rastrea buscando en los logs de un modo tan efectivo Logcheck.

Para monitorizar servicios como SSH, FTP, MySQL, etc, recomendé el uso de Monit que avisa caso de que algún servicio esencial caiga, pudiendo levantarlo o ejecutar un comando previamente definido.

Espero que os pueda ser de utilidad, se podría hablar mucho más sobre todo esto y seguro que mucho mejor, pero creo que puede ser un punto de partida para quienes estén interesados en estos temas.

Compartir

Tags: Apache, Ataques, CMS, Debian, FIMP, Firewall, GNU/Linux, iptables, iptraf, ModSecurity, nmap, Server Status, Servidor Web, SSH

Hola amigos, estoy ahora mismo acabando la edición del podcast nº 15 (con un pequeño problema de última hora ya solventado-;) y entro para comentaros los siguientes cambios en estas 3 webs que están en mi órbita.

Daboweb; (visto en versión móvil).

Es la que recibe más cambios, además de estrenar la versión móvil, Daboweb estrena Twitter @daboweb, allí iremos metiendo temas de seguridad, webmasters-cms y Cibercultura en general, en formato Twitter para apoyar las entradas que salen del blog.

Además de ello, inauguramos una nueva categoría de entradas llamada [Breves], se trata de publicaciones rápidas por parte de todo el equipo, sobre dos líneas con un enlace de interés junto a una explicación. Necesitábamos poder publicar desde cualquier dispositivo móvil para temas que no requieran post más extensos o en el formato habitual de la web, las entradas del blog (las que van dentro de breves o las normales) salen automáticamente en nuestro Twitter, así que allí nos podéis seguir además de por RSS.

Caborian; (Visto en versión móvil).

Cambios aparte del tema de la versión móvil realmente no hay, si acaso comentar que se han incorporado al equipo de redacción y colaboración de redacción unas 4 personas y como podéis ir viendo, no paran de publicar -;).

DaboBlog; (Visto en versión móvil).

Bueno, más o menos como lo de Daboweb, dándole mucha caña y dejando bastante info en mi Twitter @daboblog (sobre todo por las noches que es cuando puedo;) , y también lanzaré post en formato breve para la web.

Otros temas,

Flipando con el movimiento que estamos teniendo en DebianHackers, estos días a @n1mh (Diego) le estoy haciendo currar más pero es que tenía que acabar estos cambios en conjunción con todo el equipazo de desarrollo, grandes amigos muy volcados con todo esto (aquí si que no doy nombres porque me quedo corto-;).

Hablando de Twitter, otro de los integrantes del podcast, Forat, estrena cuenta @foratinfo, nos veremos allí -;).

Compartir

Tags: Caborian, CMS, Dabo, DaboBlog, Daboweb, DebianHackers, Twitter, Webmaster, webs

Hola amigos, iba a currarme una mini-traducción de lo que solventa esta nueva versión 2.8.6 de WordPress, pero Liamngls ha sido más rápido que yo :D y ya lo ha publicado en Daboweb. Copio y pego;

Nueva actualización para WP que corrige dos vulnerabilidades reportadas por Benjamin Flesch y Dawid Golunski; la primera de ellas es una vulnerabilidad XSS que afecta a los usuarios con privilegios de publicación mientras que la segunda tiene que ver con los nombres de archivos subidos que puede ser explotada en determinadas configuraciones de Apache.

Así que ya sabéis, a actualizar y os comento que no hace falta ejecutar el upgrade de la base de datos.

Os recuerdo que actualizar WP es tan sencillo como esto;

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Saludos, estos días ando un poco liado afinando y jugando con mi Debian y también estoy con el podcast, además de tener a Karbonato en casa, de ahí el parón en el ritmo de publicación habitual -;).

Más info y descarga de WordPress.

Compartir

Tags: actualizacion, Apache, Blogs, CMS, Wordpress, XSS

Desde el blog “desvaríos informáticos“, su autor nos avisa de un grave ¿gravísimo? bug que afecta a la última versión de WordPress (2.8.4) y anteriores, el fallo se da en el fichero wp-trackback.php y una vez se lanza el exploit sobre el sitio web atacado, el consumo de memoria y uso de CPU del servidor web intentando procesar esas peticiones, sube hasta el punto de (en 3 minutos en mi caso) dejar K.O la máquina en cuestión.

Aunque todavía no hay una solución al bug por parte de WordPress, el propio autor, además de hacer público el exploit para comprobarlo, informa sobre como solventarlo (además de quejarse de la falta de respuesta de WordPress y la solución que le comentaron).

Solución al fallo;

1º) Buscad en “wp-trackback.php” (línea 45);

$charset = $_POST['charset'];

2º) Sustituid por;

$charset = str_replace(",","",$_POST['charset']);
if(is_array($charset)) { exit; }

He probado el exploit y puedo dar fe de que funciona;

debian:/home/dabo# php exploitwp.php http://www.url_victima.com
hit!
hit!
hit!
hit!
hit!
hit!
^C

Y con una simple conexión, (la mía) he conseguido casi dejar K.O (estaba monitorizado y lógicamente paré) a un servidor web de alguien que comenta habitualmente por aquí. Aprovecho para informaros que el php y otros aspectos del servidor no estaban nada mal configurados (límites del php, tiempo de ejecución, etc) por lo que sin querer entrar en populismos, el bug me parece simplemente devastador…

Sólo me queda darle las gracias a jcarlosn, autor del post (que con la portada de Menéame tiene mayor repercusión) por informar y dar la solución. Si alguien se pregunta que me parece el hecho de que haya hecho público el exploit junto a la solución, le diré que entiendo que si desde WordPress y aún habiendo informado, no acababan de dar salida o solución al tema, se ha visto obligado a hacerlo público.

Creo que no es momento de discutir sobre el “sexo de los ángeles” si “yo hubiera hecho esto o lo otro” sino de parchear los blogs y en mi caso informar y dar fe de la seriedad del asunto.

Entiendo que desde WordPress se liberará una nueva versión que lo solvente. Hay una gran comunidad de desarrolladores detrás y estarán en ello, aunque en este caso y por el bien de muchos servidores web, espero que se den prisa ya que son sólo dos líneas de código.

Compartir

Tags: Blogs, CMS, Exploit, PHP, Seguridad Informatica, Wordpress

Digo que está todo ok porque si seguís Ayuda WordPress, os daréis cuenta de que realmente el trabajo que se está haciendo para las traducciones “oficiales” de WP (de agradecer) va rápido y además bien.

Para informaros mejor, os recomiendo leer esta entrada de Fernando.

(Nota del autor) Si el aviso os “agobia” y tenéis la versión actualizada (os recuerdo que como ahora el update viene a nivel de “core” por eso sale), le dais a “Actualizar” y una vez dentro de la funcionalidad a “ocultar esta versión”.

Compartir

Tags: Blogs, CMS, Wordpress

Vengo de darme una vuelta por Buayacorp donde mi amigo Alex, que se prodiga poco pero es un placer leerle, (Internet tenga en su gloria a los RSS) ha dejado una reflexión en voz alta sobre un artículo de Maestros del web en el que se habla de que la inseguridad del código abierto (en este caso hablando de WordPress pero en el saco está todo dentro) viene dada porque (Copio y pego)

El problema es que el modelo de código abierto permite que hackers y casi cualquier otra persona se pueda dar el lujo de excavar hasta llegar al núcleo del código de todos los foros y blogs que funcionan a través de dicha plataforma, permitiéndoles descifrar múltiples maneras de irrumpir en la sagrada información de sus usuarios.

Increible…pero cierto, no puedo estar más de acuerdo con Alex y más en desacuerdo con Luis Eduardo Barrieto, quien firma esa entrada (blog personal del autor). Desde el más absoluto de los respetos le contestaré aquí con el mismo comentario que he hecho en la entrada de Buayacorp.

Hola Alex, no puedo estar más de acuerdo contigo, las políticas de ocultismo y la capacidad de reacción a ritmo de elefante de muchas compañías de software cerrado con gran implantación en muchos ámbitos de la sociedad, sólo llevan a más inseguridad para los usuarios.

La gran ventaja del software libre es precisamente eso, dotar a quienes lo usan de la capacidad de reacción (y solución) de poder solventar el problema por ellos mismos.

El post de Alex sobre el tema (os recomiendo leerlo).

Y Alex sabe bien de lo que habla porque durante mucho tiempo ha estado haciendo grandes aportes a la seguridad de WordPress, (y otros muchos sites) siendo reconocida su labor citándole en los agradecimientos en la publicación de nuevas versiones de WP.

No deja de ser una paradoja que quien ha publicado ese artículo, lo difunda por la red vía un servidor web con Apache y gestionado con WordPress…y el caso que comenta era conocido,  desde WP hace bien poco se avisó, es también nuestra responsabilidad usar versiones de software debidamente parcheadas.

Y no soy “sospechoso de” tener algo en contra de esa gran comunidad de Internet a quienes mando un saludo, porque cuando tuvieron su problema de robo de cuentas y dominios nos hicimos eco en Daboweb, al igual que muchos otros sitios y no dudaría en volver a hacerlo si pasase mañana otra vez, sólo que quien lo dice está en todo su derecho de hacerlo y yo de opinar sobre ello.

Me veo “obligado” a escribir sobre ello porque estas cosas, si no se rebaten a su debido tiempo, “ahí quedan”. Ya tengo tema para el primer podcast “de verdad” (por cierto, el plantel que estará conmigo, de auténtico lujo, muchas gracias-;).

Compartir

Tags: CMS, GNU, Opinión, Software, sofware libre, Wordpress