Entrar
Angel María nos pone en alerta ante posibles ataques de hackers que tengan acceso a cuentas de GMail por una vulneravilidad del sistema. En Incubaweb lo explican perfectamente y nos indican cómo prevenir:
[...] La historia de David Airey es alucinante, por las penurias que pasó, por la insensatez de todo el proceso y por el fallo de Google GMail que permitió lo que le pasó.
A modo de resumen, el pobre de David se fue de vacaciones y a la vuelta se encontró con su dominio (www.davidairey.com) había sido transferido a otro usuario con el proceso habitual: solicitud de transferencia, entrega del AUTH-CODE, confirmación del “titular” por email. Con la salvedad de que el titular real, David, no se enteró de este proceso. Para mas INRI, el nuevo “titular” pretendía cobrar a DAvid por recuperar SU dominio. Tienes la historia completa en su (nuevo) blog.
Y todo esto fue posible debido a un fallo de Google GMail que explota la técnica de HiJack. El proceso pasa por visitar la página de GMail, visitar una página que inyecta el exploit y agrega una puerta falsa a la cuenta de GMail invadida. A partir de ahí ya puedes acceder a ella como si fuera tuya, y aprovechar la ausencia del titular para hacer y deshacer a tus anchas. Sin necesidad de seguir entrando, solo con crear un filtro de reenvío ya tenía la solución a su “robo” [...]
Leer completo | Fallo en GMail permite robo de dominio a un blogger
Otro artículo más sobre WordPress que nos encontramos en aNieto2K, blog que recomiendo seguir si eres usuario de WordPress, ya que Andrés nos ofrece gran cantidad de posts sobre este tema.
Si eres de los usuarios que han actualizado a Wordpress 2.5, es muy probable que no tengas activada la opción SECRET_KEY del fichero wp-config.php.
Esta opción, que la vimos entre las posibilidades de wp-config.php, se encarga de añadir una semilla con la que las cookies usadas para identificarnos como usuario logueado sean más complejas y por consecuente más seguras. Su implementación es realmente sencilla, así que no está de más hacerlo y asegurarnos un poco más.
Aunque pueda parecer muy técnico, todos los bloggers debemos tener en cuenta los consejos que nos da Blogpocket para hacer nuestro blog más seguro:
a) Tener el blog siempre en la última versión. Pueden seguir nuestras instrucciones, si tienen dudas. Y para mantenerse al tanto del estado del desarrollo de WP, uno se puede suscribir a WordPress Development Blog.
b) Cambiar, de vez en cuando, la password, tanto del login al panel de administración como la del FTP. Lo medianamente ideal es utilizar una contraseña de letras y números de seis o más caracteres en total.
SecurityFocus SQL Injection Bogus
Vía / Blogpocket
A nadie le gusta verse, o pensar en la situación, de que su blog falle, ya sea por un problema de hosting, un error propio o una mala actualización del sistema, y es en esos casos cuando nos echamos las manos a la cabeza por no tener una copia de seguridad.
En el blog Performancing James Mowery expone una guía (en ingles) que puede resultar obvia, pero que es recomendable llevar a cabo de una manera u otra por la seguridad de tu blog (y de tus nervios). En ella expone las dos formas en que se puede hacer esta copia de seguridad y que son manual o automáticamente:
I will be discussing manual and automated solutions for accomplishing the task of backing up your blog. A manual solution has a much higher chance of being a perfect one-to-one copy if done correctly, and as a result, it should be performed regardless of whether or not you have an automated solution in place. The automated solutions are much easier and require little to no maintenance, but are not guaranteed to work correctly.
[...]
I would strongly recommend you make it a habit to manually backup your system at least once a month. The more often, the better.
En el articulo completo está más detallado, pero la idea básica de las dos opciones es:
El Instituto Nacional de Tecnologías de la Comunicación de España (INTECO) estrena blog sobre seguridad de la información y nuevas tecnologías:
[...] nace con el objetivo de constituirse en foro de debate y reflexión en materia de seguridad de la información, con un prisma abierto y multidisciplinar. Así, a través de este blog el Observatorio de la Seguridad de la Información se abre a expertos y profesionales de los ámbitos público y privado y pertenecientes a diversos campos del conocimiento para, mediante sus aportaciones cualificadas, obtener diferentes puntos de vista que sirvan para generar y enriquecer el debate así como colaborar en la labor de difusión de la cultura de la seguridad y la e-confianza que lleva a cabo el Observatorio [...]
Vía | Barrapunto
Etiquetas: inteco, blog, seguridad, informacion
Nos da el aviso Andrés Nieto desde su blog:
Al despertarme y abrir el blog veo que los chicos de Wordpress han detectado un bug de seguridad que afecta especialmente al XMLRPC, permitiendo que cualquier usuario registrado editara los posts de otros usuarios.. Lo que nos lleva a una actualización de seguridad dejando la versión actual de Wordpress en la 2.3.3. Se recomienda actualizar el sistema por completo, pero si eres de los que les da pereza basta con actualizar el fichero xmlrpc.php que se encuentra en la raiz de nuestro Wordpress.[Descargar]
Vía | Canal Wordpress em Bitacoras.com
Etiquetas: wordpress, actualizacion, seguridad
Andrés Nieto recomienda a todos los usuarios de Wordpress que actualicen urgentemente a la versión 2.3.2 de este CMS ya que se han encontrado importantes vulnerabilidades que pueden afectar gravemente a la seguridad del sistema:
La gente de Wordpress, nos recomienda que nos actualizemos a la versión 2.3.2 urgentemente para evitarnos problemas de seguridad, descubiertos por Alex Concha, en los que la privacidad de nuestros borradores se veía comprometida. Al parecer, la versión actual es sensible a que personas sin loguear puedan ver estos posts desde nuestro blog.
El problema radicaba en una comprobación de usuario en el fichero wp-includes/query.php, en el que daba por supuesto que eras administrador si encontraba wp-admin/ en la URL del navegador [...]
Leer completo | Wordpress 2.3.2, actualización urgente
Descargar | nueva versión Wordpress
