Gusano ataca a Wordpress

¿Sabia usted que Wordpress 2.8 se ha descargado más de 5 millones de veces? Esto, claro, no implica que haya 5 millones de instalaciones en línea, pero sí nos dice que es un producto de uso masivo, y que muchos particulares y empresas lo utilizan para manejar su contenido. Por lo mismo, un ataque exitoso a las instalaciones de Wordpress puede hacer mucho daño y a la vez ser grito y plata para el malvado gusano que logre hackearlo.

Según reportó ayer Matt Mullenweg, uno de los creadores de Wordpress, el gusano explota una vulnerabilidad presente en viejas instalaciones de WP que permite aprovechar la extructura de los permalinks para ejecutar código arbitrario. Dice Lorelle en su blog:

There are strange additions to the pretty permalinks, such as example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/. The keywords are “eval” and “base64_decode.”

The second clue is that a “back door” was created by a “hidden” Administrator. Check your site users for “Administrator (2)” or a name you do not recognize. You will probably be unable to access that account

Lo malo es que no es llegar y mirar tu lista de usuarios via panel de control, porque el gusano se esconde a sí mismo usando javascript. Habría que buscarlo dentro de la tabla wp_users directo en la base de datos. ¿Qué hace este gusano? Edita tus posts más viejos reemplazando el contenido por links spameros a sitios porno y de medicamentos chanta como viagra de tiza y aspirinas remarcadas como vicodin.

Al parecer la única manera de prevenir es actualizar a la versión 2.8.4 y si acaso te destruyó parte del contenido más vale que tengas respaldos.

Link:
Old WordPress Versions Under Attack (Lorelle Blog)
How to Keep WordPress Secure (Wordpres Blog)