Cookies inseguras permiten hackear las cuentas de WordPress.com

cookies zomby

Aviso a navegantes: si te conectas a tu web desde una WiFi abierta, aunque lo hagas mediante la identificación en dos pasos, cualquier hacker novato puede secuestrar tu sitio alojado en WordPress.com.

Esto es posible debido a que los servidores de WordPress.com envían al navegador la cookie de las contraseñas en texto plano, sin encriptar, como sería deseable.

La cookie, denominada como «wordpress_logged_in«, se define cuando un usuario introduce un nombre y contraseña válidos en WordPress.com, y es un pase permanente a tu sitio ya que cualquiera que capture la cookie podrá acceder a tu cuenta de WordPress.com y hacer de todo.

Yan Zhu, una experta en tecnología de la Electronic Frontier Foundation, capturó de una red abierta su propia cookie y la pegó en otro navegador, al acceder desde este navegador a WordPress.com descubrió que había accedido directamente, pudiendo gestionar la cuenta de WordPress.com sin restricción alguna, cambiando el correo electrónico y hasta la configuración de seguridad.

Lo que implica esto es que un hacker malintencionado podría fácilmente capturar una cookie y tomar control de la cuenta de WordPress.com de cualquier usuario, aunque esté usando la identificación en dos pasos.

Para empeorar aún las cosas resulta que la dichosa cookie dura nada menos que 3 años, ahí es nada.

El problema, claramente, es que una cookie de este estilo debería ser exclusiva para la combinación de usuario y navegador, y por supuesto no durar hasta 3 años.

Así que si utilizas WordPress.com tu cuenta es vulnerable hasta que no se solucione el problema con la fastidiosa cookie y, entretanto, deberás acceder siempre mediante HTTPS.

Por el contrario, si usas WordPress alojado en tu servidor, el auténtico, eres menos vulnerable pues la cookie es más segura y además puedes habilitar la navegación HTTPS fácilmente. En cualquier caso ya se ha tomado nota y en la próxima actualización se solucionará el problema.

VALORA Y COMPARTE ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
(4 votos, promedio: 4.8)

¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!

AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

2 comentarios en “Cookies inseguras permiten hackear las cuentas de WordPress.com”

  1. Alejandro Gálvez

    Esto solo es un problema siempre que te conectes desde una red abierta y que haya un mal bicho intentando capturar cookies. Es decir, el mismo riesgo que tienes de que te roben la cuenta del banco, tu correo electrónico o tus conversaciones de Whatsapp. Con mayor facilidad de operación, pero desde un punto de partida común. Que alguien pueda monitorizar el tráfico de tu red.

    Si, pueden y deben aumentar la seguridad más allá de unas cookies tan simplonas, pero tampoco iba a suponer mucha diferencia si se dan las mismas condiciones. Que estés conectado a una red que interfiere un hacker.

    No veo necesidad de alarma general a menos que seas un hipster que se conecta a su WordPress a diario desde un McDonalds que frecuenta Stephen Arthuro 😉

    1. Felipe Lavín

      Sí… pero no

      Éste problema en particular tiene algunas peculiaridades que lo hacen más riesgoso que las otras situaciones que comentas.

      En primer lugar, porque a diferencia de los otros servicios, el logueo ocurre sobre HTTP, no sobre HTTPS, por lo que los datos no van encriptados (al parecer ahora sí han activado el funcionamiento sobre HTTPS para WordPress.com)

      Lo segundo tiene que ver con la duración de la sesión. Acá el tema es que WordPress no utiliza «sesiones» como otras aplicaciones; lo único que necesitas para ingresar como un usuario autenticado es la cookie, por lo que si alguien captura tu cookie, puede seguir accediendo con tu usuario incluso si tú «cierras sesión». Es decir, lo único que se comprueba es si la cookie ha expirado, y si tiene una duración de 3 años… mal.

      Por lo mismo se presenta el problema que se puede aprovechar la vulnerabilidad aunque el usuario tenga autenticación de dos factores, lo que es peor porque es algo que podría ser una muy buena medida de seguridad pero totalmente desperdiciada.

      Ojo que no soy un odia-WordPress, todo lo contrario… pero tampoco hay que defender ciegamente algo sólo porque nos cae simpático. Lo mejor es informar y colaborar para solucionar el problema, lo que para mí al menos tiene una alternativa súper obvia para mis clientes: plantear que es requisito contar con un certificado SSL y listo.

      Slds!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Ir arriba Ir al contenido