Problema de segurança no Wordpress 2.5 (fácil de resolver)

cadeadoferrujento.jpgUm problema de segurança que afecta unicamente a versão 2.5 do WordPress, a última, foi reportado hoje pela BlogSecurity (que acaba, aliás, de actualizar o seu recomendável guia de segurança para as instalações de WordPress).
Como poderão ler no site, ou no advisory original publicado ontem da Security Focus, da autoria de Carlos Nieto, o problema afecta apenas a versão 2.5 e se não foi cumprido um passo da instalação (99,9% de probabilidade de não ter sido…): a substituição de uma frase secreta no ficheiro de configuração.
É também um problema que qualquer pessoa que tenha instalado o seu WordPress consegue evitar ou resolver.

Como resolver

O ficheiro wp-config.php encontra-se na raiz do seu blog. Procure a linha
define('SECRET_KEY', 'put your unique phrase here');
e substitua a frase por algo BEM complicado, não precisa de recordar mais tarde.

Se quiser ajuda no último passo, esta página gerará chaves compridas e complexas para uso rápido.

Tweets

Debate

6 opiniões no artigo “Problema de segurança no Wordpress 2.5 (fácil de resolver)”

    1 pfig em 17 Abr 08 10:51

    pardon my french, mas foda-se… este e’ o bug *de hoje* do wordpress. ja’ para na~o falar no buraco que esta’ por baixo (php).

    2 Paulo Querido em 17 Abr 08 11:04

    Pedro, eheheh! Conheço a tua aversão ao PHP — mas não temos propriamente melhor.

    3 Mário em 17 Abr 08 11:09

    Fui ao blog para resolver esta questão e descobri que no ficheiro não havia nada acerca da secret key. Como o wp-config.php já vem de não sei que versão anterior, faltava essa parte, já resolvi indo buscar ao wp-config-sample.php com a parte da ley devidamente acautelada.

    4 pfig em 17 Abr 08 12:11

    …mas não temos propriamente melhor [que o php].

    desculpa? e’ difi’cil e’ na~o encontrar melhor.

    5 Pedro em 17 Abr 08 16:45

    Por acaso na última instalação que fiz do wordpress ( a primeira com o 2.5 ) reparei nessa feature nova e substituí por uma linha BEM COMPLICADA…

    Mas isso só é um problema de segurança para quem não está com atenção ao que está a fazer, o pessoal do wordpress até se deu ao trabalho de deixar no file do config um link para um gerador de frases complicadas :P

    Acho que não faz sentido chamar-lhe bug quando está isto no código:

    // Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
    // so make it long and complicated. You can visit https://www.grc.com/passwords.htm
    // to get a phrase generated for you, or just make something up.

    6 Paulo Querido em 17 Abr 08 16:55

    Pedro (ainanas), quem lhe chamou bug foi o Pedro (Figueiredo). Não faz de facto sentido — mas o Pedro (Figueiredo) não perde uma oportunidade de cascar no PHP e no WordPress ;)

    É um problema de segurança no sentido em que a maioria das pessoas está desatenta e nunca é demais chamar a atenção. É como os vírus, eliminava-se uma percentagem significativa dos problemas que acarretam se as pessoas fossem atentas.

Deixe a sua opinião




Textos mais recentes

ACERCA
mini fotografia paulo querido Olá, o meu nome é Paulo Querido e Certamente! é o meu webzine pessoal. Sou jornalista free lance, escrevo livros e artigos (e também algum código) sobre a net e na net desde 1989. (Mais)

Como ler

Certamente! é distribuído em vários canais.
newsletter à sexta-feira com o melhor da semana
edição diária por e-mail
Pelo Twitter
Por RSS
Google
Bloglines
no Yahoo!
no seu leitor


http://www.wikio.fr