Some time ago I developed a simple plugin named Dashboard Fitness for my own use that simply makes one thing; remove the Automattic feeds from my WordPress dashboard.

I hate to have those feeds loading in my dashboard, because I have they already in my feed reader, so there is no need for me to make my dashboard wait to load the feeds everytime I access to my blog.

And now, with the release of WordPress 2.5 it gets even more annoying, not only showing developer blog and wordpress planet feeds but showing extend plugins too…

So I decided to upgrade my plugin and release it.

The plugin itself is very simple. Has no options to setup, simply upload to your plugins dir and activate it.

After that, in your dashboard page, you’ll only see your blog stats (the ones provided by the WP core) and the incoming links. So it removes:

In WP 2.3: Developer blog and WordPress planet feeds.

In WP 2.5: The same than above plus the Extend Plugins feed.
Continuar leyendo » Removing external feeds from your WordPress dashboard

Después del rumor que conocimos hace unos días de un posible fallo de seguridad, José Carlos Nieto ha reportado un fallo de seguridad que sólo afecta a WordPress 2.5 y sólo en determinadas circunstancias.

Este fallo ha sido anunciado en securityfocus con los detalles suficientes para poder comprobar que la amenaza es real, además de contrastado por Blogsecurity.net.

Básicamente el fallo consiste en que si hacemos una instalación de WordPress 2.5 y dejamos el valor de la clave secreta (variable SECRET_KEY del archivo wp-config.php) con su valor predeterminado o usamos una palabra conocida (cualquiera que se pueda encontrar en un diccionario de cualquier idioma), estaremos dejando una puerta abierta para que un atacante pueda mediante una cookie falsa hacerse con un acceso de administrador de nuestro blog.

Realmente, al menos en mi opinión, lo veo más como un fallo causa del descuido del usuario al instalar que como un fallo de la aplicación. Pero sea imputable al usuario o al diseño de la aplicación, la realidad es que si estás usando un WordPress 2.5, deberías comprobar qué valor tiene la variable SECRET_KEY de tu archivo wp-config.php y en todo caso darle un valor con caracteres aleatorios (por ejemplo generando una cadena de texto de al menos 12 caracteres con cualquier generador de contraseñas).
Continuar leyendo » Primer fallo de seguridad REAL en WordPress 2.5

Según comentan en BlogSecurity.net ayer recibieron un email con el rumor de que se ha encontrado una vulnerabilidad por inyección de SQL en la pantalla de inicio de sesión de WordPress 2.5.

No obstante, actualmente no hay evidencias que apoyen esta alegación, y tampoco se han recibido más detalles.

En BlogSecurity.net nos prometen que si el tiempo se lo permite van a investigar este tema más a fondo.

¿Has sido uno de los valientes que han actualizado a WordPress 2.5?, ¡permanece atento por si las moscas! ;)

PD. Tampoco hay que echarse las manos a la cabeza, de momento, puede que todo quede en un rumor mal intencionado…