Sacha Fuentes
Si es importante actualizar las aplicaciones de escritorio cuando aparecen nuevas versiones, aun lo es más hacerlo con las aplicaciones web que estemos usando, ya que están accesibles para cualquier usuario de internet. Wordpress es una de esas aplicaciones con las que deberemos tener especial cuidado.
Últimamente, se han encontrado diversos fallos de seguridad en las versiones más recientes de Wordpress, que han obligado a los desarrolladores a lanzar actualizaciones. Pero estas actualizaciones no sirven de nada si no las instalamos en el servidor y nos mantenemos con la última versión.
Tal vez herramientas como pwnpress nos hagan más conscientes del riesgo de no usar versiones actualizadas de Wordpress. Con pwnpress es realmente sencillo atacar un sitio que tenga instalado Wordpress, ya sea desde la linea de comandos o, facilitando más aun la tarea, a través de una interfaz gráfica.
Para ejecutarlo solo es necesario tener instalado el lenguaje Ruby. La aplicación detecta automáticamente la versión de Wordpress instalada en el servidor especificado y lanza el ataque adecuado, que nos permitirá obtener credenciales para acceder al blog.
Una herramienta peligrosa pero que debería concienciarnos sobre la necesidad de estar actualizados.
Ver 5 comentarios
5 comentarios
Mario Núñez
Interesante. Pues le han puesto la pistola en la mano a los bandidos. ¡Que controles!. Genbeta debe tener mayor consciencia en relación a darle promoción a una herramienta como esta.
ICeman
Disiento contigo Mario, en dos sitios mios tengo instalaciones vulnerables de Wordpress (versión 2.2.2) y estoy buscando de dónde bajarme la herramienta para probarla en mis blogs y adelantarme a los ataques; dado que la actualización de Wordpress no es precisamente "fácil" tengo que ver qué tan vulnerable soy antes de reescribir los ficheros.
Saludos.
Mario Núñez
No entiendo en que parte es que disientes conmigo. Me parece que el mensaje que tenemos que dar es que tenemos que tener la versión más reciente de WP o de lo contrario corres riesgo. El darle promoción a un programa que puede ser utilizado para hackear un blog no es lo más apropiado.
luisjanatxan
De acuerdo con Mario, vale que la herramienta esta ahy y no se le puede hacer nada, pero no la anuncieis a los 4 vientos en un sitio tan visitado como genbeta porque es una invitacion a los niñatos que no tenian conocimiento de la misma a tontear con ella, con el consiguiente riesgo que ello conlleva.
Y el que tenga un blog con wordpress mas le valdria actualizar siempre que salga una version nueva y no solo cuando sale algo como esto.
ICeman
Igualmente ya actualicé ambos blogs a Wordpress 2.2.3 muchachos. También está el WP-Scanner que hace análisis con mayor privacidad y control del admin; también fue comentado en este sitio.