lunes, 16 de mayo de 2016

Déjame que coleccione esos scripts de tu Wordpress que valen toda tu base de datos

Al tener a mi querida SoftCrim montada en un Wordpress, algo que tengo casi obligado- el equipo de seguridad y yo- es buscar de vez en cuando debilidades que afecten a la versión que tenemos instalada, para eso, siempre busco a ver qué otros Wordpress tienen qué fallos, para ver si a nosotros también nos pasa, pero cuál fue mi sorpresa, que estaba un día mirando unos Wordpress hasta que me encontré que el Wordpress el cual estaba revisando tenía público el conocido wp-admin/setup-config.php, pero no puede sacar mucho; pero eso despertó mi curiosidad.




Tenía que buscar en Google qué sitios  de los que hay  públicos, tenían en su url el wp-admin/setup-config.php, así que me puse a buscar y me encontré muchos paneles de administración de la base de datos, así que limite la búsqueda para encontrar todos los sitios webs que se viesen afectados por lo mismo.


Entonces das en muchos casos con sitios webs en los cuales se copian los scripts -invocando el install.php para después llegar al setup-config.php, algo que hacen muchos admins ya que es el camino "más rápido"- pero que no se han instalado aún, entonces llegamos a un panel donde podemos configurar los datos de la base de datos de la página en cuestión.


O directamente código fuente donde vemos cosas tan graciosas como las "secret keys"


Por esto, escoger el camino más rápido a priori, puede no ser el más seguro, y provocar que cualquiera no es que tenga acceso a tu base de datos, sino que puede configurar el usuario y contraseña para dejarte a ti sin acceso, así que ya sabéis, si tenéis un Wordpress estáis tardando en buscar si habéis sido afectados por este problema de pereza.

Hasta la Próxima Malvados!

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...