Vulnerabilidade do WP 2.8.3 e como proteger antes do upgrade p/2.8.4

Por Gilberto "Knuttz" em 12/08/09 em High Tech

Agora pela manhã saiu um patch para upgrade do WP 2.8.3 para 2.8.4, ele cobra uma vulnerabilidade que pemite que indivíduos maliciosos modifiquem a senha do admin com o uso de uma URL. A falha permite que um array seja inserido no servidor, e consiga fazer o reset do user Admin de instalações que não tenham chaves de seguranças customizadas no wp-config.

Se o seu Wordpress é em português brasileiro e o patch ainda não está disponivel, faça o seguinte:

  1. abra o arquivo wp-login.php
  2. edite a linha 190, substituindo
    if ( empty( $key ) )
    por
    if ( empty( $key ) || is_array($key) )
  3. grave, e suba-o para seu servidor.

Este é um bom momento, para fazer duas coisas, caso você não as tenha feito ainda:

  1. Troque o user do Admin
  2. Adicione suas próprias frases de segurança ao wp-config.php (tudo que vai acontecer, é que seu cookie vai ser invalidado depois das novas frases, e você precisará logar novamente, nada demais ;) )

Pronto, você pode ficar tanquilo… bem, pelo menos até a próxima vulnerabilidade chegar ao ventilador ;)



Os links abaixo têm conteúdo relacionado ao que você acabou de ver:
-Arqueologia tecnológica: o primeiro servidor de web do mundo, e um dos primeiros roteadores

del.icio.us tag this | permalink | trackback url

Se você está vendo as imagens "anti-leech", force o recarregamento da página com CTRL+F5 (no caso de Firefox ou Internet Explorer - Windows) ou CTRL+R no Linux.

1 Comentário(s)

  1. Roberto Camara Jr. | Aug 13, 2009 | Reply

    Já atualizei para a versão 2.8.4 e mesmo assim não estou confiante 100%.
    A cada poucos minutos – geralmente no exato momento em que vou salvar o rascunho de um post – descubro que o WP simplesmente fez o logout sozinho.

Desculpe, os comentários estão desabilitados para esta postagem.