Vulnerabilitate descoperită la WordPress 2.8.3.Resetarea parolei
Actualizare. 12 august. 2009. Dacă editarea manuală a fişierului wp-login.php vi s-a părut prea complicată, sau nu aţi avut timp să faceţi modificarea de rigoare, a apărut deja WordPress 2.8.4 ce repară vulnerabilitatea amintită aseară. Spor la upgrade.
Îmi pare rău să vă stric seara, dar tocmai s-a confirmat o situaţie gravă ce poate afecta utilizatorii platformei WordPress şi WordPress MU, indiferent de versiunea folosită. Prolema a fost sesizată în această dimineaţă de către Laurent Gaffie şi reprezintă o vulnerabilitate în urma căreia parola de administrare a unui cont WordPress poate fi resetată la nesfârşit de către o persoană rău intenţionată, blocându-vă astfel accesul la propriul blog.
Iniţial, ştirea mi s-a părut un pic pompieristică, dar după ce materialul a fost preluat şi verificat de softpedia.com, nu mai încape urmă de îndoială că vorbim despre o ameninţare cât se poate de reală.
Mai jos aveţi linkul cu mesajului lui Laurent Gaffie unde este expus modul în care se manifestă această vulnerabilitate.
URL: http://lists.grok.org.uk/pipermail/full-disclosure/2009-August/070137.html
La doar câteva ore, versiunea WordPress aflată în lucru (probabil că se numi WordPress 2.8.4 din această seară), a venit cu soluţie temporară, pe care am să v-o prezint în continuare.
Folosind un client FTP, editaţi fişierul wp-login.php
Vă duceţi la linia 190, unde scrie:
if ( empty( $key ) )
pe care o înlocuiţi cu:
if ( empty( $key ) || is_array( $key ) )
Salvaţi modificarea făcută.
Atenţie ! Această vulnerabilitate poate fi folosită doar pentru a reseta parola administratorului, care este astfel pus în situaţia ingrată de a nu-şi putea administra blogul. Nu este posibil care parola să fie „spartă” şi cineva să-i modifice apoi conţinutul.
Dacă vă număraţi deja printre victime şi nu vă mai puteţi accesa blogul, WordPress recomandă folosirea „Scriptului de urgenţă pentru resetarea parolei” (eng. Emergency Password Reset Script). Modalitatea de folosirea a acestui script este descrisă în amănunt pe site-ul WordPress:
URL: http://codex.wordpress.org/Resetting_Your_Password
Eu vă mai spun doar că trebuie să cunoaşteţi numele contului şi este necesar accesul în acelaşi director în care se află şi fişierul wp-login.php, pentru a putea urca scriptul.
În încheiere…
Aveţi treabă şi eu nu vă mai reţin. O singură recomandare. Faceţi şi un backup la blog, fiindcă nu se ştie niciodată ce probleme pot să apară, iar aşa cum o nenorocire nu vine niciodată singură, iar necazurile umblă în haită, n-ar fi exclus ca o altă vulnerabilitate să fie descoperită, şi poate chiar exploatată, cu consecinţe dintre cele mai neplăcute.
asta a durut. e o problema serioasa, dar cum deja ne-au obisnuit cei de la wordpress vor remedia problema rapid. ma gandisem acum ceva timp la problema blocarii unui cont cu o metoda asemanatoare, dar nu credeam ca va fi pusa in aplicare sau chiar va functiona
Nu mă îndoiesc că vor rezolva problema, dar comportamentul lor este iresponsabil. Au modificat tiptil-tiptil şi n-au trimis un mesaj de avertizare: „măi creştinilor, schimbaţi şi voi acea linie fiindcă e o problemă gravă.” Sunt înscris la ei pe forum şi n-am primit nimic. Blogul lor anunţă „Upcoming WordCamps”. Deja m-am enervat. Mă duc să-mi plimb câinele să mă „răcoresc”….
Bun, dar daca folosesc o adresă de mail pe care n-o știe nimeni? Sau dacă wordpress-ul nu e instalat într-o locație standard?
Eu zic să ne calmăm sau să schimbăm linia respectivă.. că cei care se ocupă de WordPress sunt și ei oameni.
PS Ce se întâmplă dacă sunt mai mulți administratori.
PS2 Același comentariu l-am postat și pe fărăviruși..
Ai parţial dreptate şi doar faptul că este necesară cunoaşterea în prealabil a adresei de mail a făcut ca această vulnerabilitate să fie catalogată ca fiind de importanţă MEDIE. Nici eu nu am folosit în titlu, vulnerabilitate critică, aşa cum am procedat în alte ocazii. Însă pentru că metoda de atac a început deja să circule pe internet şi este mai populară decât pagina cu soluţia de remediere, ne putem aştepta la probleme serioase. Eu cred că până dimineaţă vom avea WordPress 2.8.4. P.S. E bine să fie mai mulţi administratori, chiar şi atunci când se tratează acelaşi subiect. PS2. Asta cu folosirea unei adrese de mail secrete private, ar trebuie să fie trecută ca mijloc de securizare al instalării WordPress.
@Marius
Da. Twitter este din nou în pom. Am dezactivat pluginul pentru site.