2008
01.20

Recientemente he recibido un correo electrónico pidiéndome que corrija ciertas vulnerabilidades del plugin Captcha! que permitirían a un spammer meter comentarios basura (spam) de forma automática saltándose el Captcha!. Dichas supuestas vulnerabilidades se publicaron en un blog ucraniano ruso.

Mosqueado por esto, decidí comprobar esas entradas. Una de ellas afirmaba que Captcha! es vulnerable a ataques CSRF (en inglés, aquí una explicación en Español).

Básicamente, CSRF significa que visitas una web maliciosa mientras estás autenticado en tu blog WordPress. Entonces, si el sitio está preparado específicamente para tí (esto es, que el hacker sabe que tí vas a visitarlo mientras estás autenticado en xxyyzz.com y eres el admin de xxyyzz.com) entonces podría crear una página malitencionada que cambie cofiguraciones en tu WP (incluído Captcha!), esperando que la visites.

Usando esta (más bien improbable y realmente enrevesada) técnica, si visitas una página de un hacker preparada para tí, te pueden cambiar la longitud del código. Cambiar la longitud del código de Captcha! a 0 lo deshabilita: Captcha! no hará comprobaciones de códigos de “0 caracteres”.

Protegiéndose contra CSRF

Esto se ha corregido en la versión 2.6 (ya disponible para descargar).

Para las versiones anteriores, y en general, la mejor protección contra CSRF es cerrar la sesión de tu blog WP mientras visitas un sitio de poca confianza. Si tiendes a marcar la opción “Recordarme” a la hora de hacer login en WordPress, no la uses.

También puedes utilizar un navegador como Firefox con la extensión NoScript!. Esta extensión te avisará de esta clase de ataques, incluso si olviste cerrar la sesión de tu blog.

¿Cómo me afecta?

Puedes estar tranquilo. No hay nada peligroso que corregir, y Captcha! es seguro. Simplemente, actualízate a la última versión.

Share
  1. Visitas a web…

    Gracias por la información. Lo cierto es que sin tráfico o entradas a tu web, dejan de tener sentido las webs. Las visitas son lo que le da vida y más si existe un feedback con los usuarios. También se puede aprender mucho de ellos….

    Like or Dislike: Thumb up 0 Thumb down 0

  2. Hi, I just got hooked to ur captcha module and it worked wonderful till I enable Google analytics plugin of wordpress, Ultimate Google Analytics.
    Any idea why UGA is spoiling captcha module?

    Thanks for ur time..

    Like or Dislike: Thumb up 0 Thumb down 0

  3. R_de_Rumba:

    Siento lo que te ha pasado. He visto el “defacing”, pero he tenido que
    ir a clases de doctorado.
    Acabo de llegar a casa. Veo que tu blog ya está restaurado.

    Es probable que hayas sido víctima de un “SQL injection”, que había en
    WP 2.3.1, o puede que te hayan hecho lo del ataque XSS, pero lo veo
    improbable.

    Así que no creo que sea cosa tuya ni de Captcha! Supongo que ya lo
    habrán corregido los administradores de tu hosting. Si eres tú quien
    instala tu propio WP, ponte siempre que puedas la última versión, y
    estate atendo al DashBoard (Tablón de Anuncios del panel de
    administración) pues anuncian los parches y actualizaciones que van
    saliendo.

    Like or Dislike: Thumb up 0 Thumb down 0

  4. Buenas, estaba buscando solucion a un hackeo que me han hecho a mi blog y me gustaria saber si podrias ayudarme un poco con esta movida.

    Ha sido hackeado por un gilipollas y me gustaria saber que hacer para arreglarlo ya que ha cambiado la cuenta de administrador.

    Si lo deseas, puedes responderme por mail.

    Eternamente agradecido.

    Like or Dislike: Thumb up 0 Thumb down 0

  5. Hello Boriel.

    It’s good that you fixed these holes. Always attend to security of all of yours web sites and web applications.

    And my site is Ukrainian blog ;-).

    Like or Dislike: Thumb up 0 Thumb down 0