Fallo de seguridad en WordPress permite bloquear el acceso al administrador

Se ha detectado un problema de seguridad en WordPress que permite a un atacante bloquear el acceso al administrador a través de una simple llamada a un parámetro. Afecta a WordPress con versiones menor o igual a 2.8.3. La rama 2.7.x no se ve afectada.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El fallo permite en la práctica bloquear el acceso a un administrador de Wordpres, debido a una falta de comprobación en el código y aprovechando la funcionalidad de confirmación de cambio de contraseña. En estos momentos, http://wordpress.org/ permite ya la descarga de la versión

2.8.4 que no es vulnerable. La versión 2.8.3 apareció hace apenas una semana precisamente para corregir varios fallos de seguridad.

El parche aplicado añade una simple comprobación. En wp-login.php:

if ( empty( $key ) )

pasa a:

if ( empty( $key ) || is_array( $key ) )

El problema era que si el atacante realizaba el ataque, se podría eludir la comprobación de cambio de contraseña que se envía por email cuando se solicita. Así, se podría enviar una contraseña nueva al correo de la primera cuenta de la base de datos (que suele ser la de administrador) sin necesidad de que el propio administrador confirmara el cambio. Por tanto, se bloquearía temporalmente el acceso al administrador hasta que comprobase la nueva contraseña en su correo. Si el ataque se repite en bucle, el bloqueo podría ser más o menos permanente.

Fuente:Noticias Hispasec

Read More

Tema de Facebook para WordPress

La mayoría de las interfaces se pueden cambiar utilizando temas especiales para cambiarle la imagen standard. Para WordPress también existen temas que se pueden instalar para cambiarle la interface standard. En este caso, el sitio web foxinni presenta un tema especial para WordPress parecido a la interface de Facebook. El tema funciona y se ve muy bien. La versión de este tema es 1.0 y 1.1 y es compatible con la versión de WordPress 2.2, y aunque no está suficientemente probado puede ser utilizado con versiones más antiguas.

facebook-layouts-wordpress-theme-preview-big

Hay dos tipos de temas Facebook para WordPress que se pueden descargar. El primero es Tema Facebook con todos los widgets; y el segundo es Tema Facebook WordPress.

Fuente:Mil Recursos

Read More

WordPress.com ya permite subir videos en HD como funcionalidad extra


Hace unos meses, Automattic anunció la creación de WordPress.tv, un nuevo sitio en el que se reúnen todo tipo de videos y material multimedia directamente relacionados con la plataforma de desarrollo de blogs WordPress. La apuesta por los videos no se queda ahí, ya que esta misma semana se ha anunciado Videopress, un nuevo complemento disponible para los blogs creados en WordPress.com.

Tras activar Videopress, los bloguers van a poder subir sus videos al blog sin restricción de número ni de tamaño de los archivos, permitiendo incluso la reproducción en alta calidad (HD). Al añadir esta nueva característica, se podrá colocar un botón en la web para permitir la suscripción como a cualquier otro video podcast, utilizando cualquier gestor de feeds que lo permita, como iTunes, Miro, etc.

Read More

Shape Collage, crea fácilmente atractivos collages con tus imágenes

shapecollage

Hace un tiempo les contamos de Microsoft AutoCollage una herramienta (de pago) para crear composiciones con diferentes imágenes. Ahora les traemos a Shape Collage, una aplicación parecida a la anterior, con la que podremos hacer collages con un estilo un tanto “diferente”. La “gracia” está en que las composiciones creadas con esta herramienta luciran como si fueran collages reales, es decir, como si se tratara de una pila de fotografías pegadas manualmente.

Para crear estos collages primero tenemos que agregar las fotos que vamos a utilizar, para esto bastará con que las arrastremos a un área dentro de la aplicación establecida para ello. Luego, en un panel a la izquierda, podemos seleccionar la forma que le queremos dar al collage. Se nos permite escoger entre formas como corazones, rectángulos, triángulos, etc, o hacer cosas más creativas como crear palabras usando tipografías, o simplemente hacer un dibujo a mano alzada.

Read More

Por qué el 92% de las vulnerabilidades críticas en Windows minimizarían su impacto si no se usase la cuenta de administrador

BeyondTrust ha emitido un escueto informe en el que afirma que el impacto del 92% de las vulnerabilidades críticas en Windows se minimizaría si no se usasen los privilegios de administrador. El uso de la cuenta de administrador, como ya hemos defendido desde aquí en otras ocasiones, es uno de los más graves problemas con los que se enfrenta Microsoft y que el propio Windows ha ayudado a alimentar con versiones anteriores. Veremos contra qué tipo de vulnerabilidades protege el principio de mínimo privilegio y por qué, en realidad, el informe no descubre nada nuevo: el principio de mínimos privilegios es una regla que siempre ha estado ahí para todos los sistemas operativos… menos para los de Microsoft.

BeyondTrust ha publicado un estudio pormenorizado de todas las vulnerabilidades publicadas por Microsoft en 2008. Ha concluido que el 92% de las vulnerabilidades críticas y el 69% de todas (críticas o no) serían menos graves, o tendrían un impacto mucho menor, si fuesen aprovechadas por un atacante pero la víctima no fuese administrador.

Cuando un atacante aprovecha una vulnerabilidad de ejecución de código en un programa que está siendo usado por un administrador, éste código hereda sus permisos y el atacante podrá campar a sus anchas (como el

usuario) en el sistema una vez explotado el fallo. En un 92% de los casos, según el informe, se hubiese limitado considerablemente la gravedad del asunto.

Desde Hispasec siempre se ha recomendado evitar la cuenta administrador, es el principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular. Esta es la primera capa de seguridad con la que se debe proteger un usuario. Un “administrador”

está precisamente para “administrar”, y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Con XP, por fin, Microsoft permitía la creación de un usuario inicial distinto al administrador para el uso del sistema, pero lo incluía por defecto al grupo administradores y por tanto no lo protegía ni limitaba en absoluto.

El otro 8%

El informe no explica por qué el impacto de tantas vulnerabilidades es susceptible a la cuenta bajo la que se exploten. ¿Por qué no nos protege del 100% de las vulnerabilidades críticas el hecho de trabajar como usuario sin privilegios? Pues porque el resto, el 8% de vulnerabilidades se pueden clasificar básicamente en tres:

* Las que permiten revelación de información. Estas suelen ser independientes del usuario bajo el que se explota la vulnerabilidad.

* Las que afectan a servicios de sistema que corren siempre bajo cuentas privilegiadas. Los servicios especiales de sistema corren normalmente bajo la cuenta SYSTEM. Si un atacante aprovecha un fallo en estos servicios desde el exterior, no hay nada que el usuario pueda hacer para evitarlo excepto intentar precisamente que el servicio no esté accesible para cualquiera. Hay que recordar que ya hicieron un trabajo importante de limitación de cuentas de servicio cuando apareció XP. En 2000 todos los servicios trabajaban con los máximos privilegios. En XP y 2003, no.

* Las elevaciones de privilegios. Evidentemente, este tipo de vulnerabilidades permiten precisamente saltar de una cuenta sin privilegios a otra con mayor capacidad de actuación sobre el sistema. Si se trabaja con cuenta limitada, es una de las mayores preocupaciones. Si se trabaja como administrador, estas vulnerabilidades no suelen tienen impacto (excepto si logran privilegios de SYSTEM, ligeramente superiores a los del propio Administrador). Hoy en día, las vulnerabilidades de elevación de privilegios son poco valoradas por los atacantes (en especial los creadores de malware) porque presuponen (y presuponen bien) que su víctima será administrador.

¿Windows un 92% más seguro?

Significa que el trabajar con cuentas con privilegios menos elevados ayudaría a que el sistema fuese un 92% más seguro? Desgraciadamente no, pero sin duda ayudaría.

Trabajar como usuario con pocos privilegios no es la panacea. Trabajar como usuario raso en XP o 2000 con cierto software puede llegar a ser incómodo, incluso para usuarios experimentados (y casi siempre esto es responsabilidad de los propios programadores, que no suelen tenerlo en cuenta). Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos… Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition esconde deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos. En otros sistemas operativos resulta más sencillo, porque los programadores siempre han supuesto que su usuario no iba a gozar de todos los permisos.

El problema es, como de costumbre, la educación del usuario ante una estructura tan compleja como hoy en día es un sistema operativo. Estamos tan mal acostumbrados que si un usuario de cualquier sistema operativo (distinto a Windows) se convierte en víctima del exploit de una vulnerabilidad, y por ello el sistema queda totalmente comprometido, lo primero que preguntamos es si estaba trabajando como root. Si es así, inmediatamente la mayor parte de la responsabilidad cae del lado del usuario (abstrayéndonos de la responsabilidad del software). Se entiende como una especie de castigo justo por no conocer y limitar convenientemente su entorno de trabajo, o por despiste. En Windows, si un usuario es víctima de un malware que se le ha colado a través del navegador, y esta víctima trabaja como administrador (lo más habitual) el problema se achaca directamente al sistema operativo o al navegador y sus continuos fallos. No solemos pararnos a pensar en que el usuario, tampoco en este caso, conoce realmente su entorno de trabajo o no se le han proporcionado la facilidades para hacerlo, y por eso no lo ha limitado convenientemente. Limitándolo, si bien no se reduciría el número de fallos, sí se degradará considerablemente su impacto, como bien recuerda el informe.

Fuente:Noticias Hispasec

Read More

WordPress.tv: videos y recursos visuales sobre WordPress

Este sábado nos hemos levantado con una muy buena noticia para todos los amantes de la plataforma de blogs WordPress: ha sido publicado WordPress.tv, un lugar donde encontrar un montón de recursos y material visual sobre temas relacionados con WordPress. No sólo es un sitio con videotutoriales sobre el propio software y sobre WordPress.com, sino que intenta ser un portal con cualquier cosa visual sobre la plataforma, ya sean guías en video, pases de diapositivas, reportajes sobre conferencias, grabaciones de encuentros…

Automattic, la empresa detrás del desarrollo del sitio, ha trabajado mucho en el aspecto visual de la página consiguiendo un diseño bien integrado con el resto de sitios oficiales y con la interfaz de administración de WordPress. Desde la portada puede echarse un vistazo a varios videos destacados y a una lista con los videos más populares o los últimos que se han agregado. También se está haciendo un importante esfuerzo para cubrir desde WordPress.tv las conferencias WordCamp, publicando grabaciones y reportajes sobre todo lo acontecido allí.

Por ahora todos los videos están en inglés y tratan aspectos muy básicos de WordPress, pero evidentemente poco a poco se irá incoporporando más documentación de cualquier tipo y nivel.

Fuente:Gen Beta

Read More

JS-Kit permite imágenes en los comentarios

jskit-picture

Ya lo decía mi compañero Cyberfrancis. Tras la compra de Intense Debate por parte de Automattic, servicios como Disqus o JS-Kit deben trabajar muy duro para que la competencia no les quite mercado.

Precisamente es JS-Kit la que anuncia ahora novedades en su servicio de comentarios, el cual se integra con diversas plataformas de blogging como WordPress o Movable Type. Entre las novedades, la más interesante es el permitir a los usuarios añadir imágenes a los comentarios que hagan.

Estas imágenes se mostrarán a tamaño reducido, pero pueden ser ampliadas pulsando sobre ellas. Esto abre muchas más posibilidades a los comentarios. Creo que queda bastante claro cual será el próximo paso, la posibilidad de añadir vídeos, no ya incrustados desde otros sitios como YouTube, algo que ya permite, sino también grabándolos directamente.

A esto se añade el que desde hace poco permiten usar Facebook Connect para identificarse como comentarista y que en esta nueva versión han añadido soporte para OpenID 2.0, un sistema de identificación que, si no vigila, podría verse relegado por Facebook Connect y Google Friend Connect.

Fuente:GenBeta

Read More

Publicado WordPress 2.7 “Coltrane”

Luego de una muy larga espera y algunas versiones beta por detrás, el equipo de WordPress finalmente ha lanzado la versión 2.7 de su popular CMS para blogs.

Esta nueva versión integra muchas mejoras y novedades. Entre ellas el rediseño de la interfaz que ofrece al usuario una mejor y rápida administración del blog. Además, por fin se integra un sistema de actualizaciones automáticas que nos permitirá actualizar fácilmente el CMS desde el panel de administración.

Por otra parte, WordPress 2.7 cierra cientos de errores y problemas reportados en versiones anteriores. También incluye las últmas correcciones de seguridad que se incorporaron en la versión 2.6.5, la cual se publicó hace unas semanas.

Así pues, se recomienda a todos los usuarios de WordPress instalar esta nueva versión. Es necesario realizar una actualización completa de todos los archivos.

Fuente:Open Security

Read More

WordPress 2.7 versión candidata

Hace tan sólo unas horas que Ryan Boren ha anunciado en el blog oficial de desarrollo la disponibilidad de WordPress 2.7 RC1. Si hace unos días, cuando salió la Beta 3, comentábamos que quedaba poco tiempo para tener WordPress 2.7 entre nosotros, esta Release Candidate confirma el buen ritmo del equipo de desarrollo y el cercano lanzamiento de la versión final.

Ya publicamos en Genbeta un artículo sobre el nuevo diseño que vendrá con WordPress 2.7, aunque en esta RC han cambiado algunos detalles. Además de 280 cambios y mejoras respecto a la Beta 3, se ha incorporado la nueva colección de iconos en el panel de administración, elegida después de un concurso público hace unos días.

Por supuesto, hay que recordar que es una versión todavía en fase inestable y se recomienda hacer una copia de seguridad de todo el blog antes de intentar probar la versión en desarrollo.

Fuente:GenBeta

Read More

WordPress 2.6.5: actualización de seguridad

WordPress 2.7 se hace esperar y el equipo de desarrollo ha tenido que liberar una nueva versión dentro de la rama 2.6 para solucionar un problema grave de seguridad y algunos errores menos importantes. Según se comenta en el anuncio oficial, en la nomenclatura de la versión se ha saltado de la 2.6.3 a la 2.6.5 para evitar confusiones con el falso WordPress 2.6.4.

Se trata de una actualización menor que puede realizarse simplemente sobreescribiendo los ficheros de instalación (salvo el directorio wp-content y el fichero de configuración wp-config.php). Si sólo quieres actualizar para solucionar el problema de seguridad, bastará con sobreescribir solamente los ficheros wp-includes/feed.php y wp-includes/version.php. Por supuesto, como siempre en estos casos, lo más recomendable es hacer una copia de seguridad antes de realizar la actualización.

Fuente: GenBeta

Read More