Cookies inseguras permiten hackear las cuentas de WordPress.com

cookies zomby

Aviso a navegantes: si te conectas a tu web desde una WiFi abierta, aunque lo hagas mediante la identificación en dos pasos, cualquier hacker novato puede secuestrar tu sitio alojado en WordPress.com.

Esto es posible debido a que los servidores de WordPress.com envían al navegador la cookie de las contraseñas en texto plano, sin encriptar, como sería deseable.

La cookie, denominada como “wordpress_logged_in“, se define cuando un usuario introduce un nombre y contraseña válidos en WordPress.com, y es un pase permanente a tu sitio ya que cualquiera que capture la cookie podrá acceder a tu cuenta de WordPress.com y hacer de todo.

Yan Zhu, una experta en tecnología de la Electronic Frontier Foundation, capturó de una red abierta su propia cookie y la pegó en otro navegador, al acceder desde este navegador a WordPress.com descubrió que había accedido directamente, pudiendo gestionar la cuenta de WordPress.com sin restricción alguna, cambiando el correo electrónico y hasta la configuración de seguridad.

Lo que implica esto es que un hacker malintencionado podría fácilmente capturar una cookie y tomar control de la cuenta de WordPress.com de cualquier usuario, aunque esté usando la identificación en dos pasos.

Para empeorar aún las cosas resulta que la dichosa cookie dura nada menos que 3 años, ahí es nada.

El problema, claramente, es que una cookie de este estilo debería ser exclusiva para la combinación de usuario y navegador, y por supuesto no durar hasta 3 años.

Así que si utilizas WordPress.com tu cuenta es vulnerable hasta que no se solucione el problema con la fastidiosa cookie y, entretanto, deberás acceder siempre mediante HTTPS.

Por el contrario, si usas WordPress alojado en tu servidor, el auténtico, eres menos vulnerable pues la cookie es más segura y además puedes habilitar la navegación HTTPS fácilmente. En cualquier caso ya se ha tomado nota y en la próxima actualización se solucionará el problema.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (4 votos, promedio: 4,75 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This
Ir al contenido