Fallo de seguridad en WordPress 2.0 y 2.1
En la blogosfera está rodando la información sobre un problema grave de seguridad en las versiones 2.0 y 2.1 de wordPress. El bug permite a cualquiera ejecutar un SQL injection para obtener el nombre y el password del administrador del sitio.
Hablan de esto en Alex SEO entre otros. La recomendación es actualizar a la versión 2.2 o aplicar un correctivo temporal en las versiones 2.0.x y 2.1.3 que no tendrá continuación en el futuro.
La solución la comenta en detalle Blogesfera, la transcribo a continuación:
- Si se usa la versión 2.1 (como es mi caso):
- actualizarse a la versión 2.2 (la rama 2.1 no tiene continuación y no habrá una versión 2.1.4)
- modificar el fichero
wp-includes/pluggable.phpañadiendo una línea con el siguiente código justo después de la única entrada donde ponereturn $userdata;(lo podéis ver en sigt.net, aunque el titular dé lugar a confusión):
$user_login = $wpdb->escape($user_login); - Si se usa la versión 2.0:
- esperar a que salga la versión 2.0.11 (poco recomendable: el tema es bastante serio)
- hacer la misma modificación de antes, pero ahora el fichero a modificar es
wp-includes/pluggable-functions.php
jajajaj desde cuando salieron las actualizaciones
Ok, ahora nos queda esperar la 2.6