Hoy al revisar mi lector de feeds me encuentro con que se ha detectado un problema de seguridad muy grave en WordPress, incluso en la última versión, 2.8.4. Básicamente lo que pasa es que cualquiera puede crearse un usuario con privilegios de administrador en tu blog y hacer lo que quiera con él. El síntoma principal es el cambio de permalinks, en Ayuda WordPress comentan quetus permalinks pueden cambiar a algo como:
http://miblog.com/mi-post/${eval(base64_decode($_SERVER[HTTP_REFERER]))}
Aunque no tengan habilitados los registros de usuarios va a pasar igual, ya que lo hacen mediante inyecciones de código. Hasta hace unos minutos no había ninguna solución al problema, incluso extraoficial, pero, en Ayuda WordPress también, ya nos brindan una solución temporal creada por Sumolari. Se trata de un plugin que detecta los administradores fantasma basándose en datos que nosotros le brindemos, especificamos los administradores reales que tiene que haber y el plugin detecta los que estén demás.
NO es una solución al problema, es sólo una forma de prevenirlo hasta que arguen una nueva versión de WordPress solucionando el problema. Tengan cuidado que pueden mandarse macanas si usan mal el plugin, ante todo, una copia de seguridad.
Así que gente, estén atentos que seguro esta noche sale la versión 2.8.5 de WordPress corrigiendo éste problemita.
