En la tarde de hoy, mi wordpress 2.1.0 ha sido vulnerado con ayuda de uno de los fallos que traía esta versión y también gracias a mi.
Como buen vago que soy tengo la mala costumbre de picar en las casillas “recordarme”, lo que genera cookies que pueden ser robadas para que otras personas puedan acceder, hace poco pasó algo parecido con google creo recordar.
Después de quitarme la cookie (por ingenieria social 
) aprovechó un fallo de wordpress para conseguir acceso al panel de administración, dado que sus intenciones no eran malas, la cosa no ha ido a mas, solo una noticia “graciosa”, pero cualquier otro podría haberme causado grandes destrozos.
Como no, al igual que en todos los sistemas comprometidos, se dan cita fallos humanos y de programación.
Fallos cometidos que permiten a un hacker acceder a una web (wordpress en este caso)
1- Versión de wordpress desactualizada
2- Cookie que almacena sesión (usuario/pass) (es preferible teclear user y pass siempre)
3- Javascript activado (esto es necesario tenerlo activado, pero para los paranoicos…)
He de decir que aunque he entendido la lección me supone mucho aprenderla, asique seguramente seguiré siendo igual de vago.
(el coste que me supone ser paranoico no me compensa con no tener defacement )
PD: ya he actualizado a la versión 2.1.2
PD2: Aunque hay muchas maneras de acceder a un blog con wordpress, en este caso se ha usado un exploit que no voy a publicar para evitar que otras personas padezcan esta humillación xDDD
PD3: Si se busca se puede encontrar, y sino, el que sabe… si ha leído el fallo.. sabrá hacerlo.
