Problema de segurança no Wordpress 2.5 (fácil de resolver)
Um problema de segurança que afecta unicamente a versão 2.5 do WordPress, a última, foi reportado hoje pela BlogSecurity (que acaba, aliás, de actualizar o seu recomendável guia de segurança para as instalações de WordPress).
Como poderão ler no site, ou no advisory original publicado ontem da Security Focus, da autoria de Carlos Nieto, o problema afecta apenas a versão 2.5 e se não foi cumprido um passo da instalação (99,9% de probabilidade de não ter sido…): a substituição de uma frase secreta no ficheiro de configuração.
É também um problema que qualquer pessoa que tenha instalado o seu WordPress consegue evitar ou resolver.
Como resolver
O ficheiro wp-config.php encontra-se na raiz do seu blog. Procure a linha
define('SECRET_KEY', 'put your unique phrase here');
e substitua a frase por algo BEM complicado, não precisa de recordar mais tarde.
Se quiser ajuda no último passo, esta página gerará chaves compridas e complexas para uso rápido.
Acções
Guardar/partilhar:
Facebook
Twitter
delicious.com
DoMelhor
Assinar publicação:
feed RSS
e-mail diário
newsletter semanal
Tweets
Debate
6 opiniões no artigo “Problema de segurança no Wordpress 2.5 (fácil de resolver)”
Deixe a sua opinião
Textos mais recentes
- A “culpa” não é do Twitter em 14 de Maio de 2009
- Jornais portugueses online: a década perdida em 11 de Maio de 2009
- i num instante nada mudou em 8 de Maio de 2009
- Diário i: a capa do primeiro número em 7 de Maio de 2009
- Fases pandémicas: o que significa passar de 3 para 4 em 29 de Abril de 2009
- Gripe suína: Afinal só há 7 mortes confirmadas em 29 de Abril de 2009
- O efeito Domino em 28 de Abril de 2009
- Os números da gripe suína em 28 de Abril de 2009
- Newsmap sobre a gripe suína (também no seu blog) em 27 de Abril de 2009
- Còmhla em 24 de Abril de 2009
Jornalismo multimedia e mashups
Orçamento Estado 2009
Newsmap
Mediastream PSD
Escaparate dinâmico das capas dos diários gratuitos
ACERCA
Olá, o meu nome é Paulo Querido e Certamente! é o meu webzine pessoal. Sou jornalista free lance, escrevo livros e artigos (e também algum código) sobre a net e na net desde 1989. (Mais)
Como ler
Certamente! é distribuído em vários canais.
newsletter à sexta-feira com o melhor da semana
edição diária por e-mail
Pelo Twitter
Por RSS
Google
Bloglines
no Yahoo!
no seu leitor
Siga o feed RSS
pardon my french, mas foda-se… este e’ o bug *de hoje* do wordpress. ja’ para na~o falar no buraco que esta’ por baixo (php).
Pedro, eheheh! Conheço a tua aversão ao PHP — mas não temos propriamente melhor.
Fui ao blog para resolver esta questão e descobri que no ficheiro não havia nada acerca da secret key. Como o wp-config.php já vem de não sei que versão anterior, faltava essa parte, já resolvi indo buscar ao wp-config-sample.php com a parte da ley devidamente acautelada.
…mas não temos propriamente melhor [que o php].
desculpa? e’ difi’cil e’ na~o encontrar melhor.
Por acaso na última instalação que fiz do wordpress ( a primeira com o 2.5 ) reparei nessa feature nova e substituí por uma linha BEM COMPLICADA…
Mas isso só é um problema de segurança para quem não está com atenção ao que está a fazer, o pessoal do wordpress até se deu ao trabalho de deixar no file do config um link para um gerador de frases complicadas :P
Acho que não faz sentido chamar-lhe bug quando está isto no código:
// Change SECRET_KEY to a unique phrase. You won’t have to remember it later,
// so make it long and complicated. You can visit https://www.grc.com/passwords.htm
// to get a phrase generated for you, or just make something up.
Pedro (ainanas), quem lhe chamou bug foi o Pedro (Figueiredo). Não faz de facto sentido — mas o Pedro (Figueiredo) não perde uma oportunidade de cascar no PHP e no WordPress ;)
É um problema de segurança no sentido em que a maioria das pessoas está desatenta e nunca é demais chamar a atenção. É como os vírus, eliminava-se uma percentagem significativa dos problemas que acarretam se as pessoas fossem atentas.