Nuevo exploit de WordPress

Estoy leyendo en fholzhauer.de que han descubierto un exploit para WordPress. Traduzco lo que dice el sitio:

Existe un exploit que afecta a todas (incluyendo 1.5.1.3) las instalaciones de WordPress que estén en un servidor que tenga la variable (de PHP) “register_globals” activada.

Con este exploit el atacante puede ejecutar cualquier comando PHP o de shell al que tenga derecho el servidor Web.

Para saber si tu servidor tiene la variable register_globals activada crea un archivo que contenga el siguiente código:

<?php phpinfo() ?>

Lo nombras cualquier_nombre_que_quieras.php, lo subes a tu servidor y lo abres en el navegador, se va a desplegar una página con información sobre PHP, en ella busca el texto register_globals y al lado aparecerá si esta activada (On) o desactivada (Off).

En caso de que este activada, en el post sugieren esta solución: insertar al principio del archivo index.php la siguiente línea de código:

<?php unset($wp_filter); ?>

No creo que sea la mejor solución porque varios plugins dependen del $wp_filter.

Mi recomendación es que hagas un respaldo de tu blog, por si llegará a ser atacado, y que esperes el parche oficial de WordPress.

PD. Si estás hospedado en DreamHost lee esta información para desactivar el register_globals, me imagino que también funciona en otros servidores.

PPD. En el foro de soporte de WordPress ya apareció un hilo.

Vía BlogBar.de
Warnung: neuer WordPress-Exploit.

Leer completa…