Hemeroteca de Tags | "Seguridad"

WordPress 4.0.1 actualización de seguridad ¡ya estás tardando en actualizar!

Jueves, 20 noviembre, 2014

Comentarios desactivados

Acaba de salir a la luz la versión de WordPress 4.0.1 que soluciona graves posibles problemas de seguridad y, en consecuencia, es altamente recomendable. En concreto incorpora los siguientes cambios: Soluciona nada menos que tres vulnerabilidades XSS (Cross Site Scripting) por las que un autor o colaborador podría comprometer la seguridad de un sitio. Arregla otra vulnerabilidad cruzada que podría usarse para engañar a un usuario para que cambie la contraseña. También soluciona un problema que podría conllevar una denegación de servicio al comprobar contraseñas. Incorpora protección adicional para peticiones de servidor ante ataques cuando WordPress hace peticiones HTTP. Ahora WordPress … Sigue leyendo que hay más →

Sigue leyendo...

¿Es realmente WordPress más seguro cambiando el prefijo de la base de datos?

Jueves, 23 octubre, 2014

Comentarios desactivados

Uno de los consejos más habituales que se dan (yo también) sobre seguridad en WordPress es no usar el prefijo por defecto de WordPress para las tablas de la base de datos pero ¿de verdad este cambio mejora la seguridad de WordPress? Ya sea desde la instalación o a posteriori (ver enlace del párrafo anterior), usar un prefijo distinto para las tablas de la base de datos es un consejo básico de seguridad en WordPress para evitar inyecciones SQL. Como ya sabrás, WordPress por defecto usa el prefijo wp_nombretabla pero ¿realmente es una mejora de seguridad usar otro como mistablas_nombretabla? … Sigue leyendo que hay más →

Sigue leyendo...

Ocultar que tu sitio está creado con WordPress

Lunes, 6 octubre, 2014

Comentarios desactivados

Hay múltiples razones por las que alguien quiera ocultar el hecho de que un sitio esté creado con WordPress, pero para mi la única es la seguridad, pues es tan popular que suele ser objetivo de los hackers, y nunca está de más ponérselo complicado. Afortunadamente es relativamente sencillo ocultar el hecho de que un sitio está hecho con WordPress, así que vamos a ver algunos modos de conseguirlo, luego tú aplicas los que más te gusten o sirvan. Eliminar la categoría de la URL Una de las evidencias de que un sitio está hecho con WordPress es el /category/ … Sigue leyendo que hay más →

Sigue leyendo...

WPScan, base de datos de vulnerabilidades WordPress

Jueves, 2 octubre, 2014

Comentarios desactivados

Acaba de salir a la luz un proyecto desde el que avisar y en el que revisar vulnerabilidades de WordPress, sus temas y plugins. A través de la web WPScan puedes avisar de cualquier vulnerabilidad que encuentres en temas, plugins o el mismo WordPress, o revisar las ya existentes y comprobar de qué se tratan para tener información de gran valor para tu web. El proyecto, desarrollado en Ruby, ha partido de una serie de desarrolladores, pero puedes participar en el escaner de vulnerabilidades en su página de github. El sistema, aunque no sustituye – ni debe hacerlo – al … Sigue leyendo que hay más →

Sigue leyendo...

TimThumb abandonado

Viernes, 26 septiembre, 2014

Comentarios desactivados

El célebre script de recorte de imágenes TimThumb, masivamente utilizado por temas y plugins, ha sido abandonado por su desarrollador, pasando a la ya célebre lista de abandonware. No carente de culpa por los distintos exploits que ha sufrido este script, estupendo por otra parte, el autor ha decidido abandonar su desarrollo y soporte, y recomienda a desarrolladores de plugins y temas que dejen de utilizarlo. Si usas algún tema o plugin que lo use “anima” a su desarrollador a que utilice algún método alternativo, pues si ya hasta ahora TimThumb era vulnerable no digamos una vez abandonado el desarrollo … Sigue leyendo que hay más →

Sigue leyendo...

Vulnerabilidad en el plugin Disqus: encontrada y solucionada

Viernes, 15 agosto, 2014

Comentarios desactivados

Hace ya unos meses que un investigador descubrió vulnerabilidades en el plugin de Disqus para WordPress que, afortunadamente, ya han sido solucionadas. Nik Cubrilovic, que es como se llama el buen samaritano, descubrió hasta tres posibles fallos graves en el plugin. El problema más gordo era un fallo que podría permitir una petición cruzada (XSS) en el fichero “Manage.php” del plugin, utilizado para los ajustes del mismo. El problema es que había parámetros sin el filtrado necesario que impidiese a un atacante inyectar un exploit. Para demostrarlo, el investigador de seguridad creó un exploit de ejemplo y lo probó en … Sigue leyendo que hay más →

Sigue leyendo...

Problemas de acceso a WordPress.com por bloqueo de IPs

Domingo, 10 agosto, 2014

Comentarios desactivados

En las últimas horas se está informando de multitud de usuarios que no pueden acceder a sus blogs alojados en WordPress.com. El problema parece estar motivado porque WordPress.com ha bloqueado las IPs del proveedor de servicios (ISP) Sky Network, que gestiona tráfico desde Europa hacia los EEUU y otros países. Esto ha sido debido a que WordPress.com ha detectado IPs, provenientes de ese proveedor, que podrían constituir un peligro para sus servidores, así que han bloqueado a todo el ISP, al menos de momento. Así que si no puedes acceder a tu blog o incluso a todo WordPress.com puede que … Sigue leyendo que hay más →

Sigue leyendo...

WordPress 3.9.2, actualización de seguridad

Miércoles, 6 agosto, 2014

Comentarios desactivados

Si tienes activas las actualizaciones automáticas en segundo plano ya debes tener instalada la versión 3.9.2 de WordPress, una actualización de seguridad. Esta actualización soluciona importantes fallos de seguridad, y de paso ha supuesto la primera ocasión en que el equipo de seguridad de WordPress ha trabajado de la mano con el equipo de seguridad de Drupal para solucionarlos, una buena práctica en la que ganamos todos. En concreto, esta versión incorpora estos parches: Soluciona la posibilidad de denegación de servicio al procesar XML PHP en XML-RPC Arregla una posible, aunque improbable,  posibilidad de ejecutar código al procesar widgets. Evita … Sigue leyendo que hay más →

Sigue leyendo...