José, de Desvarios Informaticos, ha detectado un grave error en el fichero wp-trackback.php que permite dejar caido nuestro servidor en menos de 5 minutos realizando poco más de 20 peticiones. Esto es un problema muy grave, ya que afecta a todas las versiones de WordPress ha la fecha.
Por suerte, la solución es muy simple y basta con buscar la siguiente linea en nuestro wp-trackback.php:
$charset = $_POST['charset'];
Y reemplazarla por esta:
$charset = str_replace(',', '', $_POST['charset']);
if(is_array($charset)) { exit; }
Con esto el problema se soluciona. Cabe señalar que, aun cuando no tengamos activado los trackbacks, esta vulnerabilidad igual nos afecta, de modo que es altamente recomendable aplicar el parche cuanto antes.
Fuente: Agujero de seguridad muy grave en WordPress
Nota: nos comenta Fernando Serer de Blog Estudio que el plugin Bad Behaviour bloquea el exploit sin necesidad de tocar código (gracias 😉 )
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación hace 3 años o más que no se actualiza. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te sirvió?, pues entonces nada :-)
Gracias por el aviso, aunque ya me iba a dormir tuve este trabajo extra.
Hola, ¿son comillas normales en el código verdad? Es decir, es algo así (reemplazar todas las comas por nada en la cadena): $charset = str_replace(",","",$_POST['charset']); Lo digo porque la cadena original juraría que da error de formato al escribirla indicándome que falta algo por cerrar.
un saludo
Copia y pega y no tendrás ningún problema.
Muchísimas gracias, por esto mi Wordpress será aún más seguro.
¡Saludos!
Gracias por le aviso 🙂
Hola!
Muchas gracias por el aviso!
Una cosa, puede ser que al código le sobren unas comillas?
Jesús, sí, al código le faltan, que no le sobran, comillas 🙂
Por cierto, hemos estado probando el código y no hemos conseguido tirar ninguno de nuestros servidores usando el código que José propone.
un saludo!!
HOla,
He intentado cambiar la linea que especificas, pero … ¿estan bien codificadas las comillas?..
Saludos.
COLORATE, Jesús, aquí tenéis el código con las comillas bien puestas:
Un saludo.
Holas
el plugin Bad behavior bloquea el xploit sin necesidad de modificar núcleo.
http://wordpress.org/extend/plugins/bad-behavior/
saludos!
Modificado el código en el post y añadida la solución alternativa que nos ha comentado Fernando Serer 😉
Si señor, esto es comunidad, esto es efectividad 🙂
Muchas gracias a todos,
Jesús, pues no nos pongas más el enlace a tu blogspot o te defenestramos
http://core.trac.wordpress.org/changeset/12057
Muchas gracias por el dato, se no estaba cayendo la vps.
Gracias de verdad Gracias!!!
y que pasa si elimino wp-trackback? se soluciona el problema, afectaria de algun modo al blog?
Lolailola, si actualizar a la última versión (2.8.5) se soluciona el problema.
tengo la ultima version y aun asi mi servidor sigue sin responder cada ciertas horas si dejo wp-trackback, pero si lo elimino se soluciona y bueno hasta el momento mi servidor se mantiene estable (ya van un par de días 🙂 ), por eso la duda.
Saludos
lolailola, la 2.8.5? Es oficial que con esta release, este problema de seguridad viene parcheado.
saludos.
si la 2.8.5, pues no lo entiendo :s aunque en wordpress pone que aun se lo estan mirando, o eso me parece al leer esto xd
"A fix for the Trackback Denial-of-Service attack that is currently being seen."
jejeje, eso precisamente significa:
"El parche para el ataque de denegacion de servicio que se ha estado viendo"
Si te fijas en el código propuesto y en el nuevo código de la 2.8.5, verás como ya está parcheado :).
pues a mi me ha funcionado solo borrando el archivo en cuestion y claro ahora que funciona bien y el servidor se mantiene estable todo indica que me atacaban a través de ese bug en el blog.
saludos y perdon por mi mal ingles xDD
Este bug es el que posiblemente me bloqueo mi sitio web por 2 días, en resumen el servidor se caia cada hora y la cantidad de visitas eran las mismas, buscando cmo resolver me di con 2 archivos muy raros en la carpeta Upload: topper.php y wp-pass.php, archivos que contienen codigo encriptado, buscando en google vi otros casos similares, alguien le sucedio algo parecido.
saludos