Según leo en el magnÃfico blog La Comunidad DragonJAR existe un bug en la última versión del CMS WordPress, es decir, 2.5.1 que fue publicada hace tan sólo unos dÃas. Este bug consiste en que se podrÃa resetear el password de administrador de un blog editado mediante WordPress con la consiguiente pérdida de la gestión del blog.
La forma de reseteo es, obviamente, mediante el acceso a las tablas de la base de datos del blog y se puede hacer, según leo en el blog de Ryan McCue’s de dos formas: vÃa phpMyAdmin y vÃa consulta SQL. De modo general y para que no hay algún listo que se aproveche, serÃa accediendo a la tabla wp_users de la base de datos y editando la información del password de administrador.
La forma de solucionarlo, según La Comunidad DragonJAR y que yo ya he probado y comprobado que funciona, es la siguiente:
Buscamos en el archivo wp-includes/pluggable.php en la lÃnea 1171 el siguiente código:
function wp_generate_password($length = 12) {
$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%^&*()";
debemos reemplazarlo por:
function wp_generate_password($length = 12, $special_chars = true) {
$chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
if ( $special_chars ) $chars .= '!@#$%^&*()';
Para el archivo wp-login.php en la lÃnea 96 buscamos el siguiente código:
$key = wp_generate_password();
debemos reemplazarlo por:
$key = wp_generate_password(20, false);
Por cierto, una de las formas de evitar este acceso a las tablas de la base de datos de WordPress es cambiar el prefijo de las tablas que viene por defecto (’wp_‘) por otro aleatorio. La forma de hacerlo la expliqué en su dÃa aquÃ.
