pwnpress, la pesadilla de Wordpress

Sacha Fuentes 15 de septiembre de 2007 5 comentarios

Pwnpress

Si es importante actualizar las aplicaciones de escritorio cuando aparecen nuevas versiones, aun lo es más hacerlo con las aplicaciones web que estemos usando, ya que están accesibles para cualquier usuario de internet. Wordpress es una de esas aplicaciones con las que deberemos tener especial cuidado.

Últimamente, se han encontrado diversos fallos de seguridad en las versiones más recientes de Wordpress, que han obligado a los desarrolladores a lanzar actualizaciones. Pero estas actualizaciones no sirven de nada si no las instalamos en el servidor y nos mantenemos con la última versión.

Tal vez herramientas como pwnpress nos hagan más conscientes del riesgo de no usar versiones actualizadas de Wordpress. Con pwnpress es realmente sencillo atacar un sitio que tenga instalado Wordpress, ya sea desde la linea de comandos o, facilitando más aun la tarea, a través de una interfaz gráfica.

Para ejecutarlo solo es necesario tener instalado el lenguaje Ruby. La aplicación detecta automáticamente la versión de Wordpress instalada en el servidor especificado y lanza el ataque adecuado, que nos permitirá obtener credenciales para acceder al blog.

Una herramienta peligrosa pero que debería concienciarnos sobre la necesidad de estar actualizados.

Más noticias sobre: Web, Seguridad
Tags: wordpress

Comentarios

  • 1 Avatar
    Mario | 1 estrellas

    Interesante. Pues le han puesto la pistola en la mano a los bandidos. ¡Que controles!. Genbeta debe tener mayor consciencia en relación a darle promoción a una herramienta como esta.

    15 sep 2007 13:50 Permlink
    normal
  • 2 Avatar
    ICeman | 1 estrellas

    Disiento contigo Mario, en dos sitios mios tengo instalaciones vulnerables de Wordpress (versión 2.2.2) y estoy buscando de dónde bajarme la herramienta para probarla en mis blogs y adelantarme a los ataques; dado que la actualización de Wordpress no es precisamente "fácil" tengo que ver qué tan vulnerable soy antes de reescribir los ficheros.

    Saludos.

    15 sep 2007 18:24 Permlink
    normal
  • 3 Avatar
    Mario | 1 estrellas

    No entiendo en que parte es que disientes conmigo. Me parece que el mensaje que tenemos que dar es que tenemos que tener la versión más reciente de WP o de lo contrario corres riesgo. El darle promoción a un programa que puede ser utilizado para hackear un blog no es lo más apropiado.

    15 sep 2007 21:22 Permlink
    normal
  • 4 Avatar
    luisjanatxan | 1 estrellas

    De acuerdo con Mario, vale que la herramienta esta ahy y no se le puede hacer nada, pero no la anuncieis a los 4 vientos en un sitio tan visitado como genbeta porque es una invitacion a los niñatos que no tenian conocimiento de la misma a tontear con ella, con el consiguiente riesgo que ello conlleva.

    Y el que tenga un blog con wordpress mas le valdria actualizar siempre que salga una version nueva y no solo cuando sale algo como esto.

    15 sep 2007 22:08 Permlink
    normal
  • 5 Avatar
    ICeman | 1 estrellas

    Igualmente ya actualicé ambos blogs a Wordpress 2.2.3 muchachos. También está el WP-Scanner que hace análisis con mayor privacidad y control del admin; también fue comentado en este sitio.

    16 sep 2007 21:16 Permlink
    normal

Destacado

Firefox 3.5

Top 10

Lo+leido

  1. Microsoft te anima a usar Internet Explorer 8 en "modo porno"
  2. El precio de Windows 7
  3. VideoSpin 2.0, editor de vídeo gratuito
  4. Consigue el Menú Clásico de Inicio en Windows 7
  5. Firefox 3.5 versión final ya disponible
  6. Sesión de Freetos a la parrilla
  7. Imagen de la semana: Clever Windows, una nueva idea para GNOME 3.0
  8. Liberado VirtualBox 3.0 final
  9. GMX.es, GMX entra en España
  10. ¿Qué hay de nuevo en HTML5?

Lo+votado

  1. Screenlets, los widgets del escritorio GNU/Linux (Screencast)
  2. Firefox 3.5 versión final ya disponible
  3. Firefox se prepara para ser multiproceso
  4. ¿Qué hay de nuevo en HTML5?
  5. The Internet is a Series of Blogs! (II)
  6. Imagen de la semana: Habemus nuevo icono de Firefox
  7. Moovida, el nuevo nombre y diseño de Elisa Media Center (Screencast)
  8. Gmail ahora permite adjuntar archivos de hasta 25 MB
  9. Microsoft Security Essentials (Morro) sale bien evaluado en los primeros tests
  10. Global Gaming Factory X AB compra The Pirate Bay

Lo+comentado

  1. El precio de Windows 7
  2. Firefox 3.5 versión final ya disponible
  3. La beta de Microsoft Security Essentials (Morro) está disponible como descarga limitada
  4. Liberado VirtualBox 3.0 final
  5. Imagen de la semana: Habemus nuevo icono de Firefox
  6. Firefox se prepara para ser multiproceso
  7. Imagen de la semana: Clever Windows, una nueva idea para GNOME 3.0
  8. Outlook 2010 seguirá usando un motor de HTML obsoleto
  9. Microsoft Security Essentials (Morro) sale bien evaluado en los primeros tests
  10. Microsoft te anima a usar Internet Explorer 8 en "modo porno"

Suscríbete