Otra prueba más de que cualquier cosa que esté en internet puede ser violada, mancillada, secuestrada y observada. Solo es cuestión de tiempo….
En este caso es el maravilloso WordPress el que tiene un bonito agujero en su programación que hace que cualquiera con un navegador pueda ver todos los posts que tienes en tus borradores.
Basta con poner:
http://dominiocualquiera.com/?x=wp-admin/&paged=xxx
ej. https://telendro.es/?x=wp-admin/&paged=101
Y listo. Las xxx del final es un número de paginación. Los borradores están al final, con fecha del 1999, así que simplemente vas tanteando y no hay mucho problema para llegar a los borradores.
No afecta a todos los blogs, pero creo que si a todas las versiones de WordPress. Si quieres evitar que miren tus borradores puedes borrarlos como hice yo o también puedes intentar activar la opción de urls amigables para buscadores (que no se en que versión aparece y que parece evitar el bug).
No seais malos y no andeis mirando los «secretitos» de todos los bloggers 😉
vía teketen
Actualización:
Wordpress ha sacado una actualización urgente (2.3.2). El problema es que muy poca gente actualizará rápidamente….
Que sorprendente, el próximo artículo del telendro lo publicaré yo en primicia.
Saludos
Bonhamled
Bonhamled, los míos ya no, pero ahora mismo puedes ver los borradores de millones de blogs 😉
Los splogs y los ladronzuelos se pueden poner las botas. De todos modos, lo más preocupante son los posts privados, que no se quisieron publicar por alguna razón y las frases o notas privadas que la gente añade en su «privado» rincón.
no solo ahi hay un problema con wordpress. también los borradores se cuelan en las RSS, varias veces he visto artículos en mi lector RSS, pero que aun no han sido «publicados» por el autor.
Pues estamos listos 🙂
Es una faena, pero pudiéndose arreglar poniendo la opción de urls amigables no hay mayor problema, la solución además de solventar el fallo, te lo deja todo más bonito 😉
Lo que no es normal es que lleve años.
Por lo demás todos los sitemas tienen agujeros.
Ademas se ven las entradas programadas…
Tiene algun efecto en la seguridad, igo con esta info se peude hacer algo o solo ver los post?
Salu2.
Pues creo que únicamente verlos, que no es poco. Como decía antes, uno piensa que es un espacio privado y más de uno (incluido yo) mete cosas que no debería…
He visto en algunos blogs notas comprometidas, conversaciones privadas, algún teléfono…
Pues en mi blog no veo que funcione. Y mira que la versión que hay en el servidor no es tampoco la última que han sacado.
Aniol, yo veo cuatro borradores en tu blog 😉
Pues sí, he encontrado un blog donde cuentan como usar este bug:
http://www.opcionweb.com/?p=394
No me preocupa demasiado ya que de los 4, 3 son memes. XD
Gracias por avisarme de que sí afecta también a mi blog. Voy a avisar a los del portal que actualicen ya.
Otra cosa nueva que aprendo, lo tendré en cuenta cuando tenga mi dominio propio…gracias
También salen las entrada programadas para «días futuros».
Cada día me alegro más de usar Textpattern en lugar de WordPress. WP está muy bien, pero siempre anda con fallos de seguridad por todos lados y eso no me gusta nada, la verdad.
Sigo usando WP 1.5.2. No veo que ese agujero afecte a esta versión. Suelo tener como borrador el próximo artículo a publicar para irlo «puliendo». Ahora mismo tengo uno que debería ser la página 171. Pero no aparece.
A veces las cosas antiguas funcionan mejor, jeje. Claro, que no descarto que tendré otros muchos agujeros. Saludos
no veo al bug tan peligroso, muxos no usan borradores 😛
Es lo que suele pasar cuando se usa «algo» tan popular.
Lo peor ha sido el error en las categorías al actualizar el cms. He perdido la referencia de categorías de todos mis post y del blogroll, además el CMS no me deja crearlas sigo investigando a ver si lo soluciono.
Un saludo