4 bits blog

Hoy he visto como a un blogger (aloisius, no pongo el enlace para no darle publicidad al tonto ese que te ha jodido el blog) al que suelo seguir le han conseguido robar su contraseña de Wodpress. Parece ser que todo era una broma, aunque lo que cuento de WordPress no es broma.

Y es que WordPress adolece de las siguientes debilidades:

1. Proporcionar demasiada información al fallar la identificación: Siempre se ha aconsejado que cuando una identificación falle, el mensaje de error sea ambiguo y nunca menciones que parte ha fallado (usuario o contraseña), en WordPress en cambio te dice claramente que parte ha fallado, gracias a esto se podría conseguir una lista de los usuarios registrados en el blog.
2. Número máximo de intentos de identificación: Para que la gente no te pueda realizar un ataque de fuerza bruta se suele limitar el número de intentos, o incluso poner un retardo cada vez mayor entre intentos. WordPress no hace ni lo uno ni lo otro.

Gracias a estos dos puntos, se puede conseguir realizar un ataque de fuerza bruta contra WordPress, ya que se pueden conseguir los usuarios (amén de que siempre existe uno llamado admin) para acto seguido atacar a cada uno de ellos con un script (los hay en abundancia) que se dedique a probar contraseñas, mientras nosotros esperamos (el tiempo que estaremos esperando dependerá de la complejidad de la contraseña) a que acierte.

Actualización: Para solventar el problema de los intentos (a mí juicio el más grave) he encontrado el complemento Login LockDown.