Este último fin de semana, Ricardo Galli liberó una nueva versión que corrige unos problemas de seguridad presente en su popular plugin WP-Cache.
Estos problemas se presentaban porque en versiones anteriores no se implementaron ningún tipo de control para evitar ataques del tipo CSRF al momento de guardar las opciones de este plugin, por lo cual alguien podía usar un exploit parecido al de unos días atrás para persistir HTML peligroso en el archivo de configuración.
Si la siguiente prueba de concepto funciona en tu blog, entonces es recomendable actualizar de versión (sólo se hicieron cambios en la página que guarda las preferencias, así que no debería haber problemas):
Por otro lado, si tienen algo de experiencia en PHP, les sugiero que revisen los plugins que actualmente usan y guardan sus preferencias en base de datos (presencia de la función update_option); si no encuentran ninguna llamada a las funciones wp_nonce_field, wp_nonce_url, wp_verify_nonce o check_admin_referer, entonces probablemente sus instalaciones de WordPress son vulnerables a este tipo de ataques.
9 replies on “Actualización de seguridad: WP-Cache 2.1.1”
alex, probando el codigo q escribiste en esta entrada no me salta ningun alert();, por lo que no deberia actualizar?
he leido en los comentarios del blog de Galli que mucho tuvieron errores al actualizar a la nueva version, a modo de ahorrarme esos problemas, es 100% necesario actualizar o no?
j0an, para que esa prueba de concepto funcione necesitas estar logueado. Por otro lado, esa actualización sólo causará problemas siempre y cuando uses una versión muy vieja, es decir que no tenga las funciones
wp_nonce_fieldycheck_admin_referer.Personalmente yo creo que es necesario actualizar, uno nunca sabe cuando algún juanker intentará hacer algo. 😀
como instalo eso que me da colera el ingles
Disculpen por el doble post me podrian enviar donde esta la parte del tutotiar de instalacion que biene incluido en el paquete a que se refiere con esto.
5. Create a symbolic link from wp-content/advanced-cache.php to wp-content/plugins/wp-cache/wp-cache-phase1.php.
ln -s wp-content/plugins/wp-cache/wp-cache-phase1.php wp-content/advanced-cache.php
Si tienes acceso a una shell, eso indica que tienes que hacer un enlace simbólico de
wp-content/plugins/wp-cache/wp-cache-phase1.phpawp-content/advanced-cache.php.Si no tienes acceso, cambia el nombre de
wp-cache-phase1.phpaadvanced-cache.phpy luego súbelo/wp-content/.estoy mas perdido como se hace el enlace simbolico una ayudita por favor
bueno ya lo intente de toda forma no se que los estare salteando me sales esto en mi configuracion
advanced-cache.php link does not exist <--------como pongo link??
Create it by executing:
ln -s <-------- a que se refiere con esto???
/home/taragro/public_html/blog/wp-content/plugins/wp-cache/wp-cache-phase1.php /home/taragro/public_html/blog/wp-content/advanced-cache.php
in your server
Cannot continue... fix previous problems and retry.
me pueden ayudar
He estado indagando sobre los enlaces simbolico, y veo que muchos no lo saben hacer, e incluso no hay respuesta a ello, mas o menos ya tengo la nocion, pero mi problema es como lo enlazo por via gftp en linux ubuntu, otro cosa yo me compre un hosting y si existe otra alternativa como enlazar por via cpanel, NO PODRIAS HACER UN TUTORIAL SOBRE ELLO. paso por paso asi muchos usuarios que aman a wordpress no se darian problemas. Y po ende se que muchos buscan las respuesta.