CMSTECNO

La plataforma para gestión de contenidos propiedad de Automatic  fue parte en las últimas semanas de un ataque a gran escala, dejando como primeros damnificados a sitios que se encontraban hospedados en el servicio de hosting DreamHost.

Además los sitios afectados estaban basados en PHP, para liuego pasar directamente a los sitios gestionados por Wordpress y operados por servicios como GoDaddy, Bluehost, Media Temple, entre otros.

El ataque se habría efectuado con la implementación de un script que además de instalar malware en cada uno de los equipos involucrados, evita que navegadores web que implementan la API de Google emitan alertas o notificaciones de las páginas vulneradas.

Tags: Wordpress

Esta inyección de código malicioso afecta principalmente a sitios web administrados y desarrollados en lenguaje PHP  y que además comparten servidores.

Por consiguiente se excluyen todos los sitios que se alojen en servidores dedicados , esto debido principalmente a que el atacante busca infiltrarse en servidores que alojan múltiples sitios, que poseen vulnerabilidades en plugins mal diseñados y que además cuentan con una mala configuración del CMS a nivel general.

El video adjunto en esta entrada explica en teoría de que forma el código malicioso es inyectado a cada uno de los sitos, sin la necesidad de sustraer contraseñas y nombre de usuarios de administración.

Tags: Wordpress

Actualmente es posible encontrar varias extensiones Joomla con vulnerabilidades XSS que pueden ser explotadas. En efecto en este artículo se esgrime de manera superficial como los administradores de sitios que funcionen bajo este gestor pueden defenderse contra ellos.

Incluso para los usuarios avanzados esta vulnerabilidad puede ser difícil de resolver, puesto que la podemos encontrar en diferentes formas, tales como bugs mediante URl, a través de este, las solicitudes de paginas pueden ser modificadas a la hora de validación. Esto es posible puesto que a través de envío de enlaces fraudulentos, el incauto usuario cae en ellos como si estos fueran los reales, utilizando XSS de forma continuada y persistente.

Lo recomendable es realizar un chequeo completo, con el fin de encontrar dichas vulnerabilidades y resolverlas de la forma más rápida y eficiente posible.

Tags: Joomla, vulnerabilidad, XSS

En la  última actualización del gestor de contenido Wordpress, fueron muchas la novedades y funciones extras integradas, no obstante, esto no es sinónimo de que se hayan incluido todas las mejoras y optimizaciones que todos sugerían, querían y esperaban.

Algunas de las ausencias de la versión 2.8 corresponden a las siguientes:

• Modificación de jerarquías con MPTT
• Soporte para oEmbed, con la implementación de shortcodes
• Interfaz de usuario más detallada para la revisión de los contenidos generados con explicación de los cambios realizados entre una versión y otra.
• Documentación enlazada para funciones activas en plantillas editadas.
• Editor de menús más completo y especifico.
• Opción de Geodata para post, comentarios, documentos adjuntos y otros.
• Optimización de importadores más detallada.
• Posibilidad de shortcodes establecidos por defecto, por ejemplo los 10 más utilizados de Wordpress.com.
• Función por defecto de Sitemaps.
• Tags establecidas para etiquetas “More” y “Nextpage”.

Tags: Baker, funciones, Gestión de Contenidos, mejoras, Wordpress 2.8

Se encuentran disponibles ya las versiones de Drupal 6.5 y Drupal 5,1, las cuales solo corrigen vulnerabilidades de seguridad y otros errores que se han cometido. Aunque son fallos menores, es recomendable actualizar en cuanto sea posible.

Las nuevas características estarán siendo añadidas a la próxima liberación de Drupal 7.0, por lo que todas las próximas actualizaciones de la serie 6 serán solo de mantenimiento.

Todos los detalles de estas nuevas versiones pueden ser encontrados en drupal.org

Fuente: drupal.org

Tags: 1, CMS open source, Drupal 5, Drupal 6.5