Falha crítica de segurança no WordPress

Por: em 06/01/07 na(s) categoria(s): Blog

comentários 7

Pode parecer chocante para um fanboy da plataforma como eu, mas o WordPress não é perfeito. Por algumas semanas vem sendo discutida uma falha séria de segurança, envolvendo Cross Site Scripting, que permite a um filho de uma dama que troca favores por dinheiro mal-intencionado ganhar status de Admin em um blog WordPress.

A falha foi tornada pública ontem. Em minutos um de meus blogs sofreu tentativa de invasão. Felizmente escutei o conselho de Henry Kissinger, que dizia “os paranóicos também têm inimigos” e como acompanho fielmente listas de segurança, já estava com um patch instalado desde semana passada.

Aos que utilizam os serviços do WordPress.com, relaxem, eles cuidam de tudo. Se seu blog roda em servidor próprio, atualize o mais rápido possível para a versão 2.0.6. E lembre-se, olhe antes de clicar. É assim que o XSS funciona. Comentários com links tipo “javascript:document.location&#x3d” não devem ser clicados.

claro, fora esse pequeno detalhe o WordPress é perfeito ;)

Mais textos de | Twitter

  • Felipe Daldegan

    WordPress é uma plataforma perfeita. Já vou atualizar meu blog…

    Agora, meio fora da notícia: Alguém pode me explicar, pq a Brasil Telecom bloqueou o Youtube? Se quiser posso entrar por proxy, mas eu quero entrar normalmente, pq eu pago essa m*rda e tenho direito de acessar aonde quiser!

    • Ricardo Bicalho

      Efeito Daniella Cicarelli?

  • Ricardo Bicalho

    Cardoso, eu acompanho o Secunia. Existe algum outro serviço que vale a pena monitorar?

    • http://pietra@hotmail.com Anônimo

      Eu acompanho a Bugtraq e a SecurityFocus, também. Fora os RSSs e newsletters dos principais scripts, mas isso é perigoso, muito desenvolvedor regula informação e não divulga pra não “afetar a imagem” do produto.

      http://www.contraditorium.com

  • http://www.newsinside.org TioSolid

    AEuheahuaehuaehu pqp..
    eu ja fui SECO pra repsonder nao deu tempo ;/
    enfim.. eh culpa dela.. tem culpa todo mundo (pftt trocadilho)

  • Felipe Daldegan

    Mas só bloqueou a Brasil Telecom…

  • julioverme

    Po Cardoso, fala sério. No dia 26 de dezembro te mandei um email avisando que teus posts até o dia 30 de dezembro estavam expostos, no carloscardoso.com, o que só foi corrigido no dia 31. Cinco dias é muita coisa para um profissional…
    Por outro lado entendo o problema, a SecurityFocus tem bug pra última versão do WordPress, nada é perfeito e é impossível estar sempre atualizado ;-)
    (este post tem 1 ano e ainda está atualizado,lol)

    []´s