Exploit en WordPress 2.1.3: Inyección SQL

Via la lista de correo wp-hackers, me entero de un nuevo exploit publicado en PacketStrom Security para el constantemente vulnerable WordPress. No hay muchos detalles técnicos de que hace el exploit, pero por lo que vi es una inyección SQL a través de wp-admin/admin-ajax.php para obtener el hash de la clave de los usuarios en wordpress.

A pesar de que las claves de los usuarios wordpress está ofuscadas (salted) no será mayor barrera descifrar la clave teniendo MD5 Hash. En teoría la única versión afectada es WordPress 2.1.3.

Hay un script publicado del exploit lo que facilita por mucho el trabajo de los script kiddies. Será mejor actualizarse a WordPress 2.2 por is las moscas.

Etiquetas: , , , , ,

Plugin de estadísticas basado en WordPress.com

Quizás una de las cosas que muchos usuarios envidian de WordPress.com es su sistema de estadísticas, no tan completo como Analytics, pero suficientemente funcional como para ver que es lo que más se mueve por el blog. Genera unas bonitas gráficas Flash como esta imagen:

Estadisticas en WordPress.com

Ahora, estas estadísticas ya están disponibles para quienes tengan su blog fuera de WordPress.com por medio del plugin de estadísticas liberado hace unas horas. Este plugin llamado Automatic Stats, esta disponible en el Repositorio de plugins para worpdres; para instalarlo es necesario contar con WordPress 2.1 o superior y contar con una API Key de WordPress.com.

La instalación es bastante sencilla: bajas el zip, lo subes a tu blog, luego lo activas y automáticamente te pedirá la API Key. Lo bueno es que si ya tienes Akismet funcionando (seguro que lo tienes!) detectará la clave y podrás usarla. Una vez completada la instalación verás una nueva pestaña en el Dashboard de tu blog que es un enlace hacia el Gobal Dashboard acá en WordPress.com. Ojo, que vas a necesitar tu usuario y contraseña del usuario con el cual te registraste, para acceder a las estadísticas.

Para quienes no coscan las estadísticas de wordpress.com, estas te permiten ver:

  • Total de páginas vistas en el blog, medido respecto a la hora UTC.
  • Top Lins Entrantes/Referidos
  • Posts más vistos
  • Top de palabras claves usadas para llegar a tu blog
  • Top de Clics salientes
  • Estadísticas Generales (mejor día en page views, pagevies de hoy y total de pageviews)
  • y los últimos enlaces entrantes a tu blog.

La Gran ventaja de este plugin, es que no agrega carga adicional a tu servidor o espacio en la base de datos, estas usando los servidores de WordPress.com así que no pierdes nada con dar le una probada 😉 Otra ventaja es que los datos son en tiempo real o casi, no tardan tanto en aparecer como en el caso de Analytics, muy util cuando quieres ver que es lo ultimo que se mueve en el blog.

Si están interesados en saber más detalles técnicos del funcionamiento de este plugin, Andy lo explica en su blog.

Actualización 21 de Agosto: Ahora puedes ver los datos agrupados por días, semanas o meses; aunque solo es para la gráfica principal de paginas vistas y no para el resto de opciones.

WordPress 2.2 se retrasa

Cuando liberaron WordPress 2.1, se dijo que la siguiente versión de WordPress sería lanzada el 23 Abril, apoyando un ciclo de desarrollo rápido. Bien, Matt ha anunciado en WP-Hackers que WP2.2 se retrasa debido al trolleo de los últimos días sobre como manejar en la base de datos la nueva característica de tags, junto a las categorías y los links del blogroll.

De momento los tags no van más para WP2.2, creando una rama especial que no los incluya, aunque en el trunk siempre van a existir; esperaran a que la nueva propuesta del esquema de base de datos madure y puedan incluirlo en WP2.3

Dependiendo de como vayan las pruebas, WP2.2 podría salir este 30 de Abril o sino hasta el 7 de Mayo. En fin, espero que aprovechen para meter más parches y nos ahorren un realease que actualizar XD

WordPress 2.1.3 y 2.0.10

Luego de un mes después de que WordPress sufriera un crackeo y lanzaran una nueva versión de emergencia; hoy llega una nueva versión con bastantes bugs reparados, problemas con XSS y XML-RPC, además de medidas contra futuros problemas. Altamente recomendable que te actualices si tu blog/sitio tiene bastantes enemigos jejeje.

La verdad se tardaron un poco en lanzarla porque los RCs estuvieron listos desde hace muchos días atrás, probablemente el retraso se deba a que tomaron medidas más drásticas contra los hackeos al sitio y un bug de ultima hora. En fin, otro release más, por si quieren aprovechar la baja de tráfico por las vacaciones. Es una suerte que almenos mi blog no lo tenga que actualizar cada mes 😉

Descargar >> WordPress 2.1.3 o bien 2.0.10.

Actualización: Les recuerdo que para fin de mes tenemos la actualización hacia WordPress 2.2. Cuando dijeron desarrollo rápido, no creí que incluyera tantas actualizaciones por mes :S

Etiquetas: , , ,