Archivos maliciosos en WordPress
¿Archivos maliciosos en WordPress? Revisa tu instalación, por que a mi me ha pasado en un blog. Como todo webmaster que se precie, echando horas a mis páginas como si no hubiera un mañana, de vez en cuando entro en ellas a través de dispositivos móviles, ya sea mi móvil o mi tablet y cual no sería mi sorpresa cuando entrando en una de ellas me redirige a una página de contenido solo para adultos.
Mi sorpresa fue mayúscula por que a lo mejor hay webs en las que después de un tiempo sin tocarlas, o por estar poco actualizadas, te puede sorprender menos, pero es que era en uno de mis buques insignia, Evita la Crisis. Tras revisar por todos los lados no veía la solución, máxime cuando estaba fuera de casa. El problema es que al llegar a casa veo que todo va normal, por lo que pensé que posiblemente mi hosting hubiera detectado el problema y lo hubiera solucionado, pero no era así. Resulta que este archivo afectaba solo a mi web desde dispositivos móviles, como descubrí la siguiente vez que traté de acceder a dicha web por dichos medios, por lo que si eres webmaster y no accedes a tu/s web/s desde este tipo de dispositivos, puede que lo tengas y no lo sepas. Continua leyendo “Archivos maliciosos en WordPress” »
Como mezclar dos foros SMF usando MySQL
Como he tenido mil y un problemas para poder traspasar mi antiguo foro de PHP Nuke ET a un nuevo foro SMF 2.0.1 mucho mas potente, he tenido que hacer cosas y buscar información que no conocía para llevar todo a buen puerto. Lo primero que hice fue adaptar un conversor sacado del propio foro de Simple Machines, para poder migrar el antiguo PHP Nuke ET a una nueva instalación de SMF 2.0.1. He incluido en las descargas de la web el conversor adaptado ya que no lo he visto en ningún otro lado, lo podéis encontrar aquí.
Una vez hecho esto, y teniendo en cuenta que como no había nada para hacerlo ya tenía otro foro SMF 2.0.1 funcionando tenia que fusionarlos, y por mas que he mirado por Internet no había forma de poderlo hacer. Nadie daba solución ni forma de hacerlo y mire en todos los idiomas. Finalmente en el foro de Simple Machines, Joker™ me dijo que podía haber una solución en un post, y así fue, así que me puse manos a la obra y tras algunos traspiés al final lo logré como podéis ver en la web de Urgencias y Emergenciasque es donde lo apliqué. Como esa solución no me ha sido fácil encontrarla y además solo esta en inglés recopilada por jkdove he creído interesante publicarosla aquí en la lengua de Cervantes para todo el que lo pueda necesitar, además he corregido y cambiado algunas cosas ya que sino a mi me daba algún error.
Como juntar dos Foros SMF usando MySQL
Lo primero tenemos que diferenciar ambos foros para hablar de ellos, los vamos a llamar antiguo y principal, donde el antiguo es la Base de datos antigua desde la que queremos recuperar los datos, y principal es la Base de Datos actual, a la que queremos exportar esos datos, es decir, el foro en funcionamiento.
Os puedo asegurar que funciona, y la prueba la tenéis mas arriba, pero tienes que seguir las instrucciones exactamente y al pie de la letra. Yo lo he usado una vez sin problemas y en su post jkdove dice haberlo realizado tres veces ya sin problemas. Como apunte deciros que los dos foros que uní eran dos smf 2.0.1. Vamos a ponernos el mono de trabajo, y manos a la obra. Continua leyendo “Como mezclar dos foros SMF usando MySQL” »
Instalación y configuración del plugin de foros bbPress RC3 en tu WordPress
Tenía instalado este plugin en algunos de mis foros, pero poco mas habia hecho pues aun estaba migrando el contenido de la plataforma anterior. Resulta que ayer me puse a pasar los post de los foros de uno y me encontré con algunas pegas como que la url de los foros daba error 404 y que mi theme no estaba adaptado para bbPress.
En este post trataré de solucionaros estos problemas y de ayudaros a instalar y configurar bbPress además de que en sencillos pasos, adapteis vuestro theme a bbPress.
Dev4press publicó un video describiendo la instalación de bbPress en su versión plugin que lo que hace es traer la funcionalidad de foro a tu sitio sin que tengas que instalarlo de forma separada y adaptarlo como pasaba antes con la versión 1.0.
Continua leyendo “Instalación y configuración del plugin de foros bbPress RC3 en tu WordPress” »
Grave Vulneravilidad del PhP- Nuke (noticia de la Web antigua)
Ayer por la mañana, Desarrollonuke.org ha amanecido “hackeada”, el autor de la “gracia” dejó un mensaje de saludo y recomendándoles que mejoraran su seguridad.
El atacante con IP: 200.106.28.61, Internet Explorer 6.0 y Windows NT 5.1 accedía a las claves encriptadas de los administradores mediante SQL injection en el módulo Downloads, seguido a esto accedía a la administración del sitio usando una pasarela dbase64 para introducir valores numéricos en el admin, y así poder acceder con la contraseña en md5.
Esta grave vulnerabilidad viene acarreando el 70% de los ataques al sistema PHP-Nuke, lo más grave es que las páginas testeadas son vulnerables desde las versiones 5.6 hasta las últimas conocidas, en cambio las páginas oficial PhpNuke.org y Nukecops.org están misteriosamente parcheadas, ¿que pasa aquí?
Solución:
Para solucionar estos bugs hay que cambiar principalmente dos archivos, el primero es el index.php del módulo Downloads
se debe buscar la función viewdownload y colocar en la 1º línea lo siguiente:
$cid = $cid*1;
quedando de esta manera:
function viewdownload($cid, $min, $orderby, $show) {
$cid = $cid*1;
global $prefix, $dbi, $admin, $perpage, $module_name;
Y lo que sigue…
De esta manera el valor de cid será siempre numérico y no dejará acceder al atacante a los valores de md.
El 2º cambio hay que realizarlo en el mainfile.php del PhpNuke, aquí haremos que el admin.php no acepte un logueo de un presunto administrador sin coger la información directamente desde la cookie:
después, de por ejemplo la línea ob_start(“ob_gzhandler”); incluir seguidamente este código:
// Fix falso login del admin por Miguel de la Hoz
if (isset($_COOKIE['admin'])) {
$admin = $_COOKIE['admin'];
} else {
$admin = "";
}
Este bug ha sido encontrado y resuelto por el equipo de Desarrollonuke.org principalmente por Navegante – Miguel de la Hoz de Ibernuke.org y Spacebom – David Martín de Desarrollonuke.org
Vulnerabilidad en Pagetitle de PHPNUKE
Se ha descubierto una nueva vulnerabilidad en la entrada que pasa el parámetro pagetitle en el header.php, no siendo filtrada apropiadamente antes de mostrárselo de nuevo a el usuario (Janek Vind descubridor de la vulnerabilidad).
Esta vulnerabilidad permite que se introduzca código externo y pueda ejecutarse código html o scripts en la vista de los usuarios, en el entorno del sitio afectado.
La vulnerabilidad ha sido confirmada en phpnuke 7.8 pero pueda que afecta a versiones anteriores
Esta considera CRÍTICA.
No afecta a NUKE ET
Afecta a pesar de tener NukeSentinel.
No afecta a versiones con parche chanserv (error que sale en estas versiones The html tags you attempted to use are not allowed).
Nuke ET v 3.3, fixes y más
Pues sí, no se trata de ninguna broma, durante el desarrollo del dédalus pensaron desde Truzone que todos merecíamos una nueva versión del NukeET y si a eso le sumamos que ya había una gran cantidad de fixes para la 3.2 pues ¡qué mejor que sacar la 3.3!.
El NukeET v3.3 debe tomarse como una continuación de lo logrado con la 3.2 y como novedad para todos los que usan ya la 3.2 (actualizada con todos los fixes) hemos creado un fix especial para actualizar la ET 3.2 a la 3.3 sin necesidad de subir todos los archivos En leer más teneis las novedades y los enlaces.
Si hay algún problema existe un hilo donde deben exponerse los problemas, para entrar en el hilo clic aquí
Otra galería de imagenes para PHP-Nuke
Las galerías de imágenes están resurgiendo en PHP-Nuke y precisamente esta interesante Ems Gallery 0.1.0 que aún es una versión beta puede posicionarse muy bien ya que incluye muchas alternativas útiles.
Descargar Ems Gallery 0.1.0beta.
Continua leyendo “Otra galería de imagenes para PHP-Nuke” »
Xoops 2.2.2 y 2.0.13.1 realizados
Recientemente se detectó que algunos archivos de Xoops podían revelar la ruta física del servidor ingresando la url del archivo directamente en el navegador.
El problema abarca tanto a la versión 2.0.13 (y anteriores) como a la reciente 2.2.1. Por ese motivo se lanzaron las correspondientes actualizaciones de aplicación inmediata.
Simplemente deben subir los archivos incluídos en las actualizaciones y todo estará parcheado.
En algunos módulos antiguos puede que este problema este presente y para corregirlo bastará con utilizar este código en el inicio de los archivos que correspondan:
if (!defined(“XOOPS_ROOT_PATH”)) {
die(“XOOPS root path not defined”);
}
die(“XOOPS root path not defined”);
}
Xoops 2.2.1
Se acaba de anunciar el lanzamiento de Xoops 2.2.1 con numerosos cambios respecto de su versión anterior. Con una mejor compatibilidad con otros módulos y muchas correcciones. No hay actualizador desde versiones anteriores a la 2.2.
Esta es una actualización crítica ya que corrige muchos errores de la primera realización de la serie 2.2. Recordemos que la misma fue una reescritura de muchas partes del código y por eso es lógico que durante un tiempo sigan apareciendo este tipo de realizaciones críticas.
Esta realización no incluye actualizadores desde versiones anteriores a la 2.2 así que es necesario pasar por esta obligatoriamente. Continua leyendo “Xoops 2.2.1” »
Hotfix para Xoops 2.2
Una vulnerabilidad que permite ver el usuario y password de la base de datos fue corregida en la recientemente lanzada versión de Xoops 2.2.
También se corrigen algunas definiciones del idioma para el módulo del sistema.
El parche es de apenas 8kb y hay que aplicarlo de forma urgente. Como siempre en las Descargas.
Comentarios recientes