Sep 6, 2009

Escrito por Gamaliel Ché en Web, Wordpress | 1 comentario

Sobre la grave vulnerabilidad de Wordpress en todas sus versiones

Sobre la grave vulnerabilidad de Wordpress en todas sus versiones

WordPressEl día de ayer se dío a conocer que una vieja vulnerabilidad de Wordpress ha comenzado a ser explotada por un gusano. Se ha difundido en la red como ‘Administradores Fantasma’ debido a que el gusano utiliza este agujero de seguridad para crear un usuario con privilegios de administrador en cualquier version de Wordpress corriendo en un hospedaje propio (no afecta a Wordpress.com).

Este blog sufrío el ataque y nada más supe de la vulnerabilidad, procedí a revisar el blog. ¿Cómo saber si tu blog ha sido infectado? Muy sencillo, solo sigue las siguientes intrucciones:

  1. Accede a tu blog y verifica que tus URLs sean las mismas. En mi caso, pasaron de FancyUrls a QueryStrings que son las url por defecto de Wordpress.
  2. Inicia sesión y ve a la pestaña de Usuarios. Verifica el número de usuarios con privilegio de administrador que tengas. En mi caso, soy el único y me contabilizaba dos. Sin embargo, al filtrar usuarios por tipo, en administradores, a pesar de seguir contando dos, solo mostraba mi cuenta.
  3. Si cualquiera de los pasos anteriores ha resultado positivo, lo siguiente es eliminar cualquier rastro de dicho usuario con privilegios de administrador. Para ello, y de forma directa y precisa, ingresamos a la base de datos de nuestro Wordpress.
  4. Nos ubicamos en la tabla ‘usermeta’, hacemos una consulta del tipo like en ‘meta_value’ de la siguiente manera:
    SELECT * FROM {tu_prefijo_aqui}usermeta WHERE meta_value LIKE '%administrator%'
    Esto nos devolverá los privilegios de cada uno de los usuarios tipo administrador. Hay que fijarse bien en el campo user_id, y buscar en la tabla ‘users’ a quienes le pertenece. Ahi podrá descubrir al usuario fantasma.
  5. Ahora simplemente eliminalo de la tabla users y busca en la tabla usersmeta todas aquellas menciones al id de ese usuario:
    SELECT * FROM {tu_prefijo_aqui}usermeta WHERE user_id = {id_usuario_fantasma}
    Una vez encontradas, eliminalas. Con eso habrás eliminado al usuario fantasma.
  6. Recomendable revisar a detalle que nada en el blog haya sido modificado, y si es necesario, exportar las entradas a traves de la utilidad de Wordpress destinada a ello y realizar una instalación limpia.

Ahora solo nos resta esperar que el equipo de desarrollo libere la version 2.8.5 de Wordpress para solucionar este problema.

Un comentario

  1. online-maris dice:
    Sábado 17 de Octubre de 2009 en 7:24 AM

    lo que yo queria, gracias

Dejar un Comentario

Debes iniciar sesión para dejar tus comentarios.