Por no actualizar WordPress, el blog oficial de Al Gore fue hackeado

El blog ClimateCrisis.net (el blog donde Al Gore mantiene una lucha contra el cambio climático) fue hackeado hace poco debido a que la versión de WordPress que usaba era vulnerable y no habían actualizado. El blog de Al Gore utilizaba WordPress 2.0.4 y lo que los hackers hicieron, fue agregar enlaces spam (viagra, etc) debido a una vulnerabilidad que tiene esa versión de WordPress.

Si utilizas WordPress, es recomendable que tengas actualizado ese CMS ya sea a la versión 2.3.1 o si sigues usando la rama 2.0, a la versión 2.0.11, hay que darse cuenta que no es una broma y que realmente es importante actualizar WordPress por razones de seguridad.

Fuente: PhotoMatt

¡Deja de usar Internet Explorer 6!

Una campaña para dejar de usar Internet Explorer 6 ha empezado e invitamos a que todos participen. Internet Explorer 6 fue creado en el 2001 y es verdad, en esa época se podría decir que Internet Explorer 6 era una maravilla. Pero ahora en el 2007, Internet Explorer 6 se ha quedado en el pasado y tienes muchas fallas entre las cuales destacan:

  • Problemas de seguridad que nunca han sido solucionados
  • Se congela a cada rato
  • El modelo de CSS es totalmente inútil
  • Grandes problemas para hacer funcionar bien Flash
  • No tiene soporte de pestañas nativo

La idea es que si ves o conoces a alguien que use Internet Explorer 6, lo invites a que cambie de navegador. Hay muchas alternativas superiores a Internet Explorer 6, tenemos a Firefox, Opera, Safari, Internet Explorer 7, entre muchos otros. Cambia ya, no te quedes en el pasado y ¡ven a el futuro!

Para más información sobre esta campaña, visita End6.

Fuente: Alt1040

Policía Alemana “no puede romper” el cifrado de Skype

He leído una interesante noticia acerca de una declaración de la policía federal de Alemania donde han afirmado que no han podido romper la encriptación usada por Skype lo cual significa que si algún terrorista o villano utiliza Skype, es muy difícil que la Policía Alemana lo capture.

En mi opinión, creo que es mentira lo que dijo la Policía Alemana ya que al decir eso, están indicándole a los terroristas que usen Skype ya que ellos no pueden atraparlos de esa forma. ¿Sería la Policía Alemana tan tonta para afirmar que no pueden romper un cifrado? Juzguen ustedes…

Fuente: Alt1040

Seguridad en WordPress por Stefan Esser

Stefan Esser es un experto en seguridad PHP el cual tiene una larga trayectoria y experiencia en PHP y en su seguridad. Durante una entrevista, le preguntaron acerca de seguridad en WordPress y realmente lo que dijo me dejo marcado…

Creo que WordPress es el mejor software para blog desde una perspectiva de usuario. Su interfaz gráfico está lleno de características y adornos que no existen en otro software. Pero si me pongo mi sombrero de seguridad y me meto en el código veo varias decisiones de mal diseño. Empieza por cómo interacciona con la base de datos. Además, considero algunas de sus características bastante peligrosas. Personalmente no me gusta que el software anime a sus usuarios a tener ficheros escribibles en el directorio raíz. La característica de WordPress de editar ficheros y plantillas en el servidor hace exactamente eso. El problema es que si me apodero de la cuenta de administrador de un blog en WordPress, nada me impide ejecutar cualquier código PHP en el sistema. Y desde ahí sólo queda un pequeño paso para controlar el servidor completo.

He sido crítico con el equipo de desarrollo de WordPress porque hizo varias cosas que no están bien. Cuando has arreglado una ejecución directa de código remoto en tu rama de desarrollo y existe ya un exploit públicamente disponible, no se puede esperar varios días para publicar la actualización. Y es totalmente inaceptable que un fabricante intente rebajar la seriedad de la vulnerabilidad con afirmaciones como: “Hemos hablado con expertos en seguridad PHP y dicen que no es una vulnerabilidad seria porque requiere que register_globals esté activado.” En primer lugar, la mayoría de los servidores aún tienen activado register_globals y, además, el propio servidor de wordpress.org lo tenía activado también.

Cuando por fin sacaron la actualización, les dije que su arreglo no servía porque bastaba modificar un poco el exploit para que éste funcionara. Su reacción fue ocultar el hecho cambiando sin decir nada el fichero de descarga. No incrementaron el número de versión, sólo arreglaron el código vulnerable horas después de haberlo publicado. Y luego afirmaron públicamente que el fichero anterior estuvo on-line “brevemente”, cuando los sellos de tiempo en su interior demostraban que “brevemente” fueron varias horas.

Personalmente opino que en lo relativo a actualizaciones de seguridad, un productor de software ha de decir la verdad y asegurarse de que la gente comprende la amenaza. Los errores ocurren y también los fallos mal reparados, pero es mucho más profesional admitir que un parche no era perfecto que cambiarlo sin decir nada.

Si no recuerdo mal, la gente de phpBB en un momento dado utilizó el dinero recolectado para pagar a una empresa de seguridad que auditara el software. Estoy bastante seguro de que todavía existen varias vulnerabilidades en WordPress. Sugiero firmemente que la gente de WordPress haga lo mismo. Las auditorías gratuitas que obtienen a partir de la gente que publica fallos no cubren todo el código básico. Y quizás deberían empezar a pensar en una completa reescritura que utilice otra arquitectura. Cuando pienso en la forma en que WordPress intenta frenar la inyección de SQL, que es básicamente mediante un magic_quotes_gpc hecho en casa, me entran escalofríos. Con otra arquitectura se podrían asegurar desde el principio de que cosas como CSRF o incluso XSS no pudieran darse.

WordPress es un software para usuarios finales con poco o ningún conocimiento técnico. Por supuesto hay también administradores y desarrolladores que lo utilizan, pero la mayoría de usuarios de WordPress no leen listas de correo sobre seguridad. Normalmente no se enterarán de todos los fallos de seguridad que se encuentren. Y estoy seguro de que la mayoría de ellos simplemente actualizarán si se enteran y no pensarán más en ello. La mayoría no se ocupan de estas vulnerabilidades hasta que sus blogs son jaqueados, e incluso entonces, simplemente reinstalan y empiezan de nuevo. Dicho eso, creo que los agujeros de seguridad en WordPress podrían espantar a los desarrolladores y administradores, pero la mayoría de usuarios seguirán utilizándolo.

No conozco demasiadas alternativas a WordPress. Para mí está Serendipity/S9Y. En mi opinión la calidad del código de Serendipity es mejor que la de WordPress, pero Serendipity no es tan amistoso para el usuario. A causa de que su código básico es más pequeño, es más fácil de auditar y por tanto deja un mejor sabor de estómago. Además conozco personalmente a muchos de sus autores.

Gracias Kriptópolis (Entrevista traducida por ellos)

Siete vulnerabilidades en WordPress han sido descubiertas

Siete vulnerabilidades de seguridad graves de WordPress han sido descubiertas por Benjamin Flesch. El equipo de WordPress ya las ha arreglado pero como no anuncian, lo haré yo. Tu blog se encuentra vulnerable de tal forma que un hacker podría agregar posts, borrar posts, agregar links, cambiar tu feed y manipular los plugins de tu blog WordPress. Esto afecta a todas las versiones WordPress (2.0, 2.1, 2.2, 2.3)

¿Qué hacer? Te recomiendo que descargues WordPress via SVN, estoy tratando de comunicarme con Matt o Ryan para saber si van a poner las versiones actualizadas a descarga, esperemos (que con la gravedad en que se encuentra en estos momentos WordPress), pongan las versiones nuevas a descarga lo antes posible.

Tampoco te asustes, no es que va a ir alguien a hackear todos los blogs, pero te recomiendo que estés pendiente de actualizar, ya que he visto muchos blogs que no han actualizado desde hace mucho tiempo.

Actualización 1: Mi tocayo Alex también hablo sobre el tema y tiene una descarga de parches para los usuarios de WordPress 2.2