Problema de segurança no WordPress 2.5 (fácil de resolver)
Um problema de segurança que afecta unicamente a versão 2.5 do WordPress, a última, foi reportado hoje pela BlogSecurity (que acaba, aliás, de actualizar o seu recomendável guia de segurança para as instalações de WordPress).
Como poderão ler no site, ou no advisory original publicado ontem da Security Focus, da autoria de Carlos Nieto, o problema afecta apenas a versão 2.5 e se não foi cumprido um passo da instalação (99,9% de probabilidade de não ter sido…): a substituição de uma frase secreta no ficheiro de configuração.
É também um problema que qualquer pessoa que tenha instalado o seu WordPress consegue evitar ou resolver.
Como resolver
O ficheiro wp-config.php encontra-se na raiz do seu blog. Procure a linha
define('SECRET_KEY', 'put your unique phrase here');
e substitua a frase por algo BEM complicado, não precisa de recordar mais tarde.
Se quiser ajuda no último passo, esta página gerará chaves compridas e complexas para uso rápido.
Acções
Guardar/partilhar:
Facebook
Twitter
delicious.com
DoMelhor
Assinar publicação:
feed RSS
e-mail diário
Debate
Ainda sem opiniões no artigo “Problema de segurança no WordPress 2.5 (fácil de resolver)”
Deixe a sua opinião
Textos mais recentes
- The last laugh – If self-published writers owned the midlist #LerComCalma (mais 2 links) em 3 de Setembro de 2010
- Top 10 – Richest Men (of All Time) (mais 1 link) em 1 de Setembro de 2010
- Regras de análise económica para a oposição (segundo João Miranda) em 31 de Agosto de 2010
- As (importantes) mudanças no USA Today, segundo maior diário americano em 30 de Agosto de 2010
- We Dont Hate You – Dear America… (mais 1 link) em 30 de Agosto de 2010
ACERCA
Olá, o meu nome é Paulo Querido e Certamente! é o meu webzine pessoal. Sou consultor de new media, jornalista e escrevo livros e artigos (e também algum código) sobre a net e na net desde 1989. (Mais)
Como ler
Certamente! é distribuído em vários canais.
edição diária por e-mail
Pelo Twitter
Por RSS
Google
Bloglines
no Yahoo!
no seu leitor
Siga o feed RSS
Receba a edição diária por e-mail
pardon my french, mas foda-se… este e’ o bug *de hoje* do wordpress. ja’ para na~o falar no buraco que esta’ por baixo (php).
Pedro, eheheh! Conheço a tua aversão ao PHP — mas não temos propriamente melhor.
Fui ao blog para resolver esta questão e descobri que no ficheiro não havia nada acerca da secret key. Como o wp-config.php já vem de não sei que versão anterior, faltava essa parte, já resolvi indo buscar ao wp-config-sample.php com a parte da ley devidamente acautelada.
…mas não temos propriamente melhor [que o php].
desculpa? e’ difi’cil e’ na~o encontrar melhor.
Por acaso na última instalação que fiz do wordpress ( a primeira com o 2.5 ) reparei nessa feature nova e substituí por uma linha BEM COMPLICADA…
Mas isso só é um problema de segurança para quem não está com atenção ao que está a fazer, o pessoal do wordpress até se deu ao trabalho de deixar no file do config um link para um gerador de frases complicadas
Acho que não faz sentido chamar-lhe bug quando está isto no código:
// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit https://www.grc.com/passwords.htm
// to get a phrase generated for you, or just make something up.
Pedro (ainanas), quem lhe chamou bug foi o Pedro (Figueiredo). Não faz de facto sentido — mas o Pedro (Figueiredo) não perde uma oportunidade de cascar no PHP e no WordPress
É um problema de segurança no sentido em que a maioria das pessoas está desatenta e nunca é demais chamar a atenção. É como os vírus, eliminava-se uma percentagem significativa dos problemas que acarretam se as pessoas fossem atentas.