Comentarios en: Primer fallo de seguridad REAL en WordPress 2.5 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml Desarrollo web con WordPress y otros temas de interés. Fri, 12 Mar 2010 12:57:30 +0100 http://wordpress.org/?v=2.9.2 hourly 1 Por: Fallo de seguridad en WordPress 2.5 « Un poco de mucho http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-848 Fallo de seguridad en WordPress 2.5 « Un poco de mucho Wed, 16 Apr 2008 20:45:04 +0000 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-848 [...] Agamum | Fuente: [...] [...] Agamum | Fuente: [...]

]]> Por: Samuel Aguilera http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-846 Samuel Aguilera Wed, 16 Apr 2008 17:07:53 +0000 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-846 Pues también es cierto jact :) Pues también es cierto jact

]]> Por: jact http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-845 jact Wed, 16 Apr 2008 16:58:35 +0000 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-845 Pues, desde mi punto de vista de desarrollador de aplicaciones web, pienso que sí es un fallo de la aplicación. Lo más lógico es que, durante el proceso de instalación, el script generara un valor aleatorio para esa variable y que dejara el valor escrito en el fichero de configuración. De esta forma, se conseguiría tener un valor diferente en cada instalación (en cada servidor) y se ahorraría trabajo a los usuarios (que no tienen por qué conocer las tripas del código, ni que tienen que modificar manualmente ese parámetro tras hacer la instalación). Definitivamente, punto negativo para los desarrolladores de WP. Pues, desde mi punto de vista de desarrollador de aplicaciones web, pienso que sí es un fallo de la aplicación. Lo más lógico es que, durante el proceso de instalación, el script generara un valor aleatorio para esa variable y que dejara el valor escrito en el fichero de configuración.

De esta forma, se conseguiría tener un valor diferente en cada instalación (en cada servidor) y se ahorraría trabajo a los usuarios (que no tienen por qué conocer las tripas del código, ni que tienen que modificar manualmente ese parámetro tras hacer la instalación).

Definitivamente, punto negativo para los desarrolladores de WP.

]]> Por: Samuel Aguilera http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-844 Samuel Aguilera Wed, 16 Apr 2008 14:48:24 +0000 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-844 Si el archivo no tiene esa variable, según la descripción del fallo que se ha reportado, sería como conservar el valor predeterminado de la variable SECRET_KEY. Por lo que a efectos prácticos entiendo que, sí, un blog con WP 2.5 y sin esa clave definida en el archivo de configuración es vulnerable. Si el archivo no tiene esa variable, según la descripción del fallo que se ha reportado, sería como conservar el valor predeterminado de la variable SECRET_KEY.

Por lo que a efectos prácticos entiendo que, sí, un blog con WP 2.5 y sin esa clave definida en el archivo de configuración es vulnerable.

]]> Por: MOPE http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-843 MOPE Wed, 16 Apr 2008 14:36:09 +0000 http://www.samuelaguilera.com/archivo/primer-fallo-seguridad-real-wordpress-25.xhtml#comment-843 Hola, pues eso no debe afectar a todos, porque he revisado varios wp-config.php de distintos blogs y no disponen de esa cadena denominada Secret_key, lo más parecido es DB_password Hola, pues eso no debe afectar a todos, porque he revisado varios wp-config.php de distintos blogs y no disponen de esa cadena denominada Secret_key, lo más parecido es DB_password

]]>