Me avisa Sebastián Criado de la vulnerabilidad de la rama 2.8 de WordPress (la última) que permite saltearse el proceso de verificación de la clave de administrador, haciéndose eco de la noticia publicada en AltoSec Blog.
El fix es muy simple, está claramente explicado y se trata de cambiar una línea del wp-login.php.
Hay que reconocer la excelente herramienta que es WordPress y lo avanzado de su código y prestaciones, pero esta carrera de cerrar agujeros que tiene acostumbrados a todos sus usuarios cansa un poco. A veces me pregunto si no debería usar SSI en base a páginas html estáticas…. aunque por supuesto que es un razonamiento propio de una incomodidad momentánea; pues de última estoy muy agradecido que WordPress tenga un sistema de verificación y arreglo continuo de problemas (en contraposición del software comprometido con el marketing, que guarda en secreto los agujeros hasta el próximo parc
Rodolfo, interesante el comentario sobre SSI.
Con relación a WP ya han publicado el update oficial a 2.8.4.
http://wordpress.org
El enlace al artículo en AltoSec está roto, pueden seguir este otro.
Efectivamente Mauricio, gracias! (ya arreglé el enlace en el texto también)