Vulnerabilidad grave de WordPress que satura el servidor

Wordpress SeguridadLa noticia esta en todos los blogs de informática que abarcan WordPress mínimamente.  La noticia, que proviene del blog Desvaríos informáticos, narra como el autor descubrió la vulnerabilidad, la notificó a los responsables de WordPress, y estos no le han dado la importancia que se merece. En los comentarios se puede leer la diferencia de opiniones sobre si José debía publicar o no toda la información del bug.

En resumen, hay un agujero de seguridad por el cual, haciendo unas 20 peticiones, se puede saturar un servidor donde tiene alojado un WordPress. En la entrada se muestra las líneas de código que dan el fallo, se muestra el código en PHP de un exploit que consigue el objetivo mencionado, y un par de soluciones para resolver este fallo.

La solución que parece más efectiva, pasa por modificar el archivo wp-trackbacks.php del WordPress, y modificar la línea donde pone:

$charset = $_POST['charset'];

Por estas otras:

$charset = str_replace(",", "", $_POST['charset']);
if (is_array($charset)) { exit; }

Así, tendremos parcheado nuestro WordPress mientras no salga una solución oficial. En la entrada se explican todos los detalles del error, y del proceso seguido por el descubridor. Si estas interesado en el tema, recomiendo la lectura de la entrada.

Un comentario en “Vulnerabilidad grave de WordPress que satura el servidor

  1. もし現実的にこれからずっと、ネットをうまく活用してお金を稼ぐことを考えて、その目的のためのホームページを開設する場合では、費用がかかっても有料のレンタルサーバーを利用して、希望の独自ドメインを入手する
    どこまでの機能がなければいけないのかは、利用者によって違いますが、どれほどかわからないときは、とにかく通例の機能については大体備えているレンタルサーバーを選ぶことを、強くおすすめしています。
    やはりホームページの運営を計画しているのなら、私としては、なるべく有料の格安レンタルサーバーで料金が安いものを使用していただき、うまく独自ドメイン(.comなどのアドレス)を取得・登録して、運営をしていただく事をみなさんにおすすめしています。

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>