Un usuario preguntó 👇
Durante años ha sido posible incluir la identificación de usuario y el nombre de usuario de las cuentas de usuario creadas en una instalación nueva de WordPress.
Por lo general, soluciono el problema yo mismo en functions.php, pero hoy, mientras pensaba en la nueva versión de WP, no pude evitar preguntarme por qué este error todavía existe. Ha sido parte de Metasploit durante años, y toma como arreglar 5 LOC.
¿Hay alguna razón por la que WordPress sigue siendo vulnerable a esto? ¿Podría solucionarse pronto para que pueda dejar de remodelar mi tema cada vez que se actualice?
(@ otto42)
Administración de WordPress.org
Hace 2 años, 1 mes
La cuenta de usuario no se considera una vulnerabilidad de seguridad.
Lea más aquí: https://make.wordpress.org/core/handbook/testing/reporting-security-vulnerabilities/#why-are-disclosures-of-usernames-or-user-ids-not-a-security-issue
(@mmaunder)
Hace 2 años, 1 mes
Convenido. Para su información, nuestro equipo cambió nuestra posición al respecto hace un tiempo y todavía estamos trabajando para actualizar la documentación y el producto. Lo cito por temor a que cite nuestra investigación.
Es mejor dedicar energía a asegurar el proceso de autenticación mediante contraseñas seguras y autenticación de 2 factores.
Calificación.
(@honestrepairadmin)
Hace 2 años, 1 mes
Gracias por contactarme sobre este tema. Entiendo que los nombres de usuario se comparten y que las direcciones de correo electrónico generalmente no son confidenciales (de forma individual). Sin embargo, creo que sigue siendo un error que cualquier persona en Internet pueda obtener una red .csv de usuarios y una identificación de usuario para cualquier sitio web de WordPress.
Todavía estoy buscando la justificación del equipo WP a este respecto. Veo que no cree que esta sea una mala situación, pero no veo por qué. Dado que se necesitan menos de 10 líneas de código para arreglarlo, creo que «no creemos que sea necesario» es una pequeña solución.
Además, yo diría que estamos violando el RGPD con solo mostrar el nombre de usuario en una página web. Asumimos que opero un sitio web de entretenimiento para adultos. Cualquiera que incluya mi lista de usuarios recibirá información muy personal sobre mis usuarios (es decir, el hecho de que estén usando mi sitio web en primer lugar).
Está claro que los participantes son ligeramente diferentes, ya que serían conscientes de que esta información se comparte.
Pero, ¿qué pasaría si Google le diera .csv de todos los nombres de usuario de los contables porque eligió un poco? ¿No crees que eso sería una vulnerabilidad?
Además, se le proporcionan las herramientas que un pirata informático necesita para eliminar un ataque de fuerza bruta. Las contraseñas seguras son geniales, pero si tiene una lista de nombres de usuario a mano, un bruto está bien de todos modos. Existen cientos de listas de palabras. Si desactivamos los cálculos, un atacante ahora necesita medir no solo una contraseña, sino también un nombre de usuario.
El trabajo de escribir 10 LOC para fortalecer millones de sitios web es trivial. Entiendo muy bien por qué WP quiere invitar a tanto riesgo de cero recompensas y costos de desarrollo. ¿Quizás podrías dar más detalles?
(@mmaunder)
Hace 2 años, 1 mes
Probablemente tenga más de 10 líneas de código debido a la filosofía general de que está bien filtrar nombres de usuario. Por lo tanto, considere incluir más de 50,000 plugins y miles de temas que pueden tener filtraciones y deben repararse. Si la filosofía cambia, los investigadores pueden abrir CVE en toneladas de código porque ahora se considera «inseguro» en comparación con el núcleo.
(@honestrepairadmin)
Hace 2 años, 1 mes
Puedo observar que no rompí las aplicaciones existentes. Esa parece ser la única razón lógica para mí.
Pero si la seguridad es solo una «vista», ¿por qué el conteo de usuarios está desactivado en wordpress.org? Solo intenté contar sus usuarios pero fallé. Probablemente porque le agregaron un código similar al que agregué a mi WordPress.
Extraño. ¿Por qué no puedo incluir a sus usuarios? ¡Pensé que era una tarea simple, inocente e inocente que sirve para un buen propósito!
No importa lo que los usuarios o desarrolladores piensen que esta «característica» es algo bueno. Los piratas informáticos saben que esto es una debilidad y así es como se usa en la naturaleza. No importa si los desarrolladores de WordPress no creen que sea importante si los hackers en la naturaleza lo están usando. No importa si hay un CVE o no. Si pueden volcar una lista de usuarios con curl y bash, eso es lo que harán.
Cerraré esta solicitud elegantemente y seguiré modificando las funciones de my.php como siempre lo hago, pero tenga en cuenta que no estoy de acuerdo con que esto se documente como «funcionalidad».
si podría Ser 5 veces en la vida de un blog cuando un usuario utiliza esta función de la forma prevista para él. En contraste si garantizado ese blog será han sido afectados por algún script curl + bash o miles de malos actores de Kali + WPScan miles de veces. Para mí, no vale la pena correr el riesgo.
Esta respuesta fue modificada hace 2 años, hace un mes por. Esta respuesta fue modificada hace 2 años, hace un mes por. Esta respuesta fue modificada hace 2 años, hace un mes por.
(@ otto42)
Administración de WordPress.org
Hace 2 años, 1 mes
Pero si la seguridad es solo una «vista», ¿por qué el recuento de usuarios está desactivado en wordpress.org?
Porque tenemos más de 10 millones de cuentas en este sitio, y si se intenta recuperarlas, el sitio básicamente no funciona. Pero no estamos limitados en todas partes, solo en estos foros de soporte en particular.
Puede haber 5 ocasiones en la vida de un blog en las que un usuario utiliza esta función de la forma prevista para él.
El nuevo editor lo usa. Carga una lista de usuarios que le permite cambiar el autor de una publicación, a través de la API REST.
¿Solucionó tu problema??
0 / 0