jueves, 29 de mayo de 2014

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Cookies inseguras permiten hackear las cuentas de WordPress.com

Posted: 28 May 2014 11:00 PM PDT

cookies zomby

Aviso a navegantes: si te conectas a tu web desde una WiFi abierta, aunque lo hagas mediante la identificación en dos pasos, cualquier hacker novato puede secuestrar tu sitio alojado en WordPress.com.

Esto es posible debido a que los servidores de WordPress.com envían al navegador la cookie de las contraseñas en texto plano, sin encriptar, como sería deseable.

La cookie, denominada como “wordpress_logged_in“, se define cuando un usuario introduce un nombre y contraseña válidos en WordPress.com, y es un pase permanente a tu sitio ya que cualquiera que capture la cookie podrá acceder a tu cuenta de WordPress.com y hacer de todo.

Yan Zhu, una experta en tecnología de la Electronic Frontier Foundation, capturó de una red abierta su propia cookie y la pegó en otro navegador, al acceder desde este navegador a WordPress.com descubrió que había accedido directamente, pudiendo gestionar la cuenta de WordPress.com sin restricción alguna, cambiando el correo electrónico y hasta la configuración de seguridad.

Lo que implica esto es que un hacker malintencionado podría fácilmente capturar una cookie y tomar control de la cuenta de WordPress.com de cualquier usuario, aunque esté usando la identificación en dos pasos.

Para empeorar aún las cosas resulta que la dichosa cookie dura nada menos que 3 años, ahí es nada.

El problema, claramente, es que una cookie de este estilo debería ser exclusiva para la combinación de usuario y navegador, y por supuesto no durar hasta 3 años.

Así que si utilizas WordPress.com tu cuenta es vulnerable hasta que no se solucione el problema con la fastidiosa cookie y, entretanto, deberás acceder siempre mediante HTTPS.

Por el contrario, si usas WordPress alojado en tu servidor, el auténtico, eres menos vulnerable pues la cookie es más segura y además puedes habilitar la navegación HTTPS fácilmente. En cualquier caso ya se ha tomado nota y en la próxima actualización se solucionará el problema.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Seguidores

Archivo del blog