« La penalización de la posición 6
El spam del “January 1 tcp/ip” »

Cualquiera puede ver los borradores de tu blog

Otra prueba más de que cualquier cosa que esté en internet puede ser violada, mancillada, secuestrada y observada. Solo es cuestión de tiempo….

En este caso es el maravilloso Wordpress el que tiene un bonito agujero en su programación que hace que cualquiera con un navegador pueda ver todos los posts que tienes en tus borradores.

Basta con poner:
http://dominiocualquiera.com/?x=wp-admin/&paged=xxx

ej. http://telendro.com.es/?x=wp-admin/&paged=101

Y listo. Las xxx del final es un número de paginación. Los borradores están al final, con fecha del 1999, así que simplemente vas tanteando y no hay mucho problema para llegar a los borradores.

No afecta a todos los blogs, pero creo que si a todas las versiones de Wordpress. Si quieres evitar que miren tus borradores puedes borrarlos como hice yo o también puedes intentar activar la opción de urls amigables para buscadores (que no se en que versión aparece y que parece evitar el bug).

No seais malos y no andeis mirando los “secretitos” de todos los bloggers ;)

vía teketen

Actualización:
Wordpress ha sacado una actualización urgente (2.3.2). El problema es que muy poca gente actualizará rápidamente….

Entrada envíada el 29 de Diciembre, 2007 a las 4:11 pm y archivada bajo Blogs.

17 Comentarios en “Cualquiera puede ver los borradores de tu blog”

  1. Bonhamled dice:
    29 de Diciembre, 2007 a las 4:46 pm


    Que sorprendente, el próximo artículo del telendro lo publicaré yo en primicia.

    Saludos

    Bonhamled

  2. El Telendro dice:
    29 de Diciembre, 2007 a las 4:51 pm


    Bonhamled, los míos ya no, pero ahora mismo puedes ver los borradores de millones de blogs ;)

    Los splogs y los ladronzuelos se pueden poner las botas. De todos modos, lo más preocupante son los posts privados, que no se quisieron publicar por alguna razón y las frases o notas privadas que la gente añade en su “privado” rincón.

  3. cristian sepúlveda dice:
    29 de Diciembre, 2007 a las 4:51 pm


    no solo ahi hay un problema con wordpress. también los borradores se cuelan en las RSS, varias veces he visto artículos en mi lector RSS, pero que aun no han sido “publicados” por el autor.

  4. cyberfrancis dice:
    29 de Diciembre, 2007 a las 5:15 pm


    Pues estamos listos :)

  5. carlos dice:
    29 de Diciembre, 2007 a las 5:26 pm


    Es una faena, pero pudiéndose arreglar poniendo la opción de urls amigables no hay mayor problema, la solución además de solventar el fallo, te lo deja todo más bonito ;-)

  6. Salamanca dice:
    29 de Diciembre, 2007 a las 7:03 pm


    Lo que no es normal es que lleve años.

    Por lo demás todos los sitemas tienen agujeros.

  7. hernan dice:
    29 de Diciembre, 2007 a las 11:04 pm


    Ademas se ven las entradas programadas…

    Tiene algun efecto en la seguridad, igo con esta info se peude hacer algo o solo ver los post?

    Salu2.

  8. El Telendro dice:
    29 de Diciembre, 2007 a las 11:07 pm


    Pues creo que únicamente verlos, que no es poco. Como decía antes, uno piensa que es un espacio privado y más de uno (incluido yo) mete cosas que no debería…
    He visto en algunos blogs notas comprometidas, conversaciones privadas, algún teléfono…

  9. aniol dice:
    30 de Diciembre, 2007 a las 12:36 pm


    Pues en mi blog no veo que funcione. Y mira que la versión que hay en el servidor no es tampoco la última que han sacado.

  10. El Telendro dice:
    30 de Diciembre, 2007 a las 12:49 pm


    Aniol, yo veo cuatro borradores en tu blog ;)

  11. aniol dice:
    30 de Diciembre, 2007 a las 1:01 pm


    Pues sí, he encontrado un blog donde cuentan como usar este bug:
    http://www.opcionweb.com/?p=394
    No me preocupa demasiado ya que de los 4, 3 son memes. XD
    Gracias por avisarme de que sí afecta también a mi blog. Voy a avisar a los del portal que actualicen ya.

  12. Raquel dice:
    30 de Diciembre, 2007 a las 3:27 pm


    Otra cosa nueva que aprendo, lo tendré en cuenta cuando tenga mi dominio propio…gracias

  13. aniol dice:
    30 de Diciembre, 2007 a las 4:27 pm


    También salen las entrada programadas para “días futuros”.

  14. Jorge dice:
    31 de Diciembre, 2007 a las 12:20 am


    Cada día me alegro más de usar Textpattern en lugar de Wordpress. WP está muy bien, pero siempre anda con fallos de seguridad por todos lados y eso no me gusta nada, la verdad.

  15. laaguja dice:
    3 de Enero, 2008 a las 1:01 am


    Sigo usando WP 1.5.2. No veo que ese agujero afecte a esta versión. Suelo tener como borrador el próximo artículo a publicar para irlo “puliendo”. Ahora mismo tengo uno que debería ser la página 171. Pero no aparece.

    A veces las cosas antiguas funcionan mejor, jeje. Claro, que no descarto que tendré otros muchos agujeros. Saludos

  16. Belinda dice:
    4 de Enero, 2008 a las 8:22 am


    no veo al bug tan peligroso, muxos no usan borradores :P

  17. Tronico dice:
    7 de Enero, 2008 a las 9:08 pm


    Es lo que suele pasar cuando se usa “algo” tan popular.

Deja tu comentario

nota: si es la primera vez que comentas, tu comentario será enviado a moderación. Una vez aprobado, en adelante podrás comentar directamente.
Si no haces spam o no faltas al respeto a nadie no tendrás problemas para publicar lo que plazcas

  1. :