Son vulnerable las cookies de WordPress.com

Un pequeño y urgente aviso a los usuarios de WordPress.com, si te conectas a tu web desde una WiFi abierta, aunque lo hagas mediante la identificación de dos paso, cualquier hacker novato puede secuestrar tu sitio alojado en WordPress.com

Esto ha sido posible debido a que los servidores de WordPress.com envían al navegador la cookie de las contraseñas en texto plano, sin encriptar, como seria deseable.

La cookie, denominada como wordpress_logged_in, se define cuando un usuario introduce un nombre y contraseña validos en WordPress.com, y es un pase permanente a tu sitio ya que cualquiera que capture la cookie podrá acceder a tu cuenta de WordPress y hacer lo que desee.

Zomby Cookie

Yan Zhu, una experta en tecnología de la Electronic Frontier Foundation, capturo de una red abierta su propia cookie y la pego en otro navegador, al acceder desde este navegador a WordPress.com descubrió que había accedido directamente, pudiendo gestionar la cuenta de WordPress.com sin restricción alguna, cambiando el correo electrónico y hasta la configuración de seguridad.

Lo que implica esto es que un hacker malintencionado podría fácilmente capturar una cookie y tomar control de la cuenta de WordPress.com y de cualquier usuario, aunque este usando la identificación de dos pasos.

Para empeorar  las cosas resulta que la cookie dura nada menos que 3 años.

El problema, es que una cookie de este estilo debería ser exclusiva para la combinación de usuario y navegador, y por supuesto no durar hasta 3 años.

Así que si utilizas WordPress.com tu cuenta es vulnerable hasta que no se solucione el problema con la fastidiosa cookie, deberás acceder siempre desde una conexión confiable y mediante HTTPS.

Por el contrario, si usas WordPress alojado en tu servidor, eres menos vulnerable pues la cookie es mas segura, se ha tomado nota y en la próxima actualización se solucionara el problema.

Advertisements

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.