Darío Ferrer - Blog

“Un servidor web configurado correctamente no permitirá usuarios acceder a los archivos de otros, independientemente de los permisos de archivos”. Así respondió Matt Mullenweg ante las falsas acusaciones que emitió la directiva de Network Solutions en la mañana del 12 de abril, toda vez que la semana pasada hubiesen experimentado un ataque masivo en su sistema, el cual culminó en la destrucción de muchos sitios web propiedad de sus clientes. La conclusión de sus investigaciones fue que “una vulnerabilidad de WordPress” constituyó la causa del problema. Aquí está el texto completo que posteriormente sería modificado por el mismo administrador:

Beginning last week a WordPress vulnerability has been the target of attacks on multiple WordPress websites on hosting platforms around the web. We have a blog post with additional details about the vulnerability and how to secure your WordPress site.

http://blog.networksolutions.com/2010/alert-wordpress-blog-network-solutions/

At this time we have implemented a fix that has removed the offending code, updated database credentials, and set a more secure permission for the WordPress config file.

If you have followed all of the above instructions/tips and are still having an issue with getting WordPress to work correctly due to this vulnerability please contact customer service at 1.888.391.4357

Notemos que dicho señalamiento incluye además una calumnia, al declarar que dicha “vulnerabilidad” afectó a “muchos sitios basados en WordPress a lo largo de la web”. Tal afirmación constituye una fuerte sugerencia de que el problema viene de WordPress, en lugar de reconocer que los supuestos sitios se encontraban alojados en servidores mal configurados propiedad de esta empresa. Tal calumnia también permanece en el texto corregido. Matt les extiende una sugerencia simple:

Tal como toda aplicación web, WordPress debe almacenar en texto plano la información de conexión con la base de datos. No sirve de nada encriptar las credenciales porque las claves deben estar guardadas donde el servidor pueda leerlas, de manera que pueda desencriptar los datos. Si un usuario malicioso obtiene acceso al sistema de archivos -cosa que parece haber ocurrido en este caso- es fácil obtener las claves y desencriptar la información. Si dejas las llaves de la puerta pegadas en la cerradura ¿sirve de algo cerrar la puerta?.

Y continúa con el más lógico de los silogismos:

Si como proveedor de hosting cambias un artículo que habla de permisos de archivos por un artículo sobre WordPress, es que algo estás haciendo mal.

Hasta el momento, Network Solutions no ha reconocido que la falla efectivamente provino de un error interno (quizás por temor a enfrentarse al montón de demandas por parte de sus clientes) y al evadir dicha responsabilidad 1) provocó que su círculo de usuarios injustamente colocasen en tela de juicio a WordPress como software de dudosa seguridad, 2) al transmitir la falsa matriz de información de forma pública, hace definitivos intentos por descalificar a un software que nada tiene que ver con los sucesos cometidos y 3) obligó al personal de WordPress a molestarse en ofrecer explicaciones técnicas sobre hechos que no necesitan actos de justificación. Tal como afirma Dexter Morgan y mi abuela: “así es la maldad, destroza todo lo que toca”.

Por mi parte le ofrezco a la gente de Network Solutions una amable recomendación y una asignación: la recomendación es que se vayan a la mierda y -una vez allá- cumplan con la asignación de descifrar este vocablo: é-ti-ca… Al menos hasta comprender parte de su significado.

Actualizaciones

14/04/2010 22:49 – Shashi Bellamkonda a última hora: WordPress no fue el problema