Los usuarios habituales de Wordpress, habreis podido observar como estos últimos días ha aparecido el la pantalla principal (dashboard en inglés, ignoro como lo tendrá traducido el que lo tenga en español) la existencia de una nueva versión del software. En concreto se trata de la 2.6.3 y, aunque en principio parece que no incorpora demasiadas novedades, sí que se hace necesaria su instalación o, al menos, el parcheo de un par de ficheros conflictivos.

Hace unos días se ha hecho pública una vulnerabilidad de Snoopy, una clase PHP utilizada por Wordpress para simular el comportamiento de un navegador a la hora de obtener contenido de otras páginas web o enviar formularios.

Es decir, existe una función exec tras una petición httpsrequest(), que no es convenientemente validada. Un posible atacante podría hacer una petición de este tipo a una página controlada por él, que devolviera código malicioso que se ejecutaría en nuestro Wordpress.

Si no quereis o podeis actualizar completamente a la nueva versión, sí que es conveniente que sustituyais los ficheros wp-includes/class-snoopy.php y wp-includes/version.php a los indicados en este página.

Como medida de seguridad adicional, para este fallo y los posteriores que pudieran producirse, os aconsejo que, en el caso en que vuestra plantilla muestre el número de versión exacto de Wordpress que estais utilizando la modifiqueis para no dar este tipo de información. Son muchas las búsquedas que llegan a mi página, por ejemplo, buscando versiones concretas de Wordpress con fallos de seguridad de este tipo.

Relacionado

• Migración terminada
• Ubuntu 8.10 Intrepid Ibex
• Un plugin imprescindible (Subscribe to Comments)
• Favicon y página de error
• Wordpress 2.3.1