El miércoles un hacker entró a WordPress.com

(Por el Microsaurio) Si tenés un blog, tal vez el tema te interese. Si tenés un blog hosteado en WordPress.com, más te vale leer. Si pagás por un blog hosteado en WordPress VIP, espero que te hayan informado algo más de lo que leerás aquí. Chismosos/as, pónganse cómodos.

Vamos por partes, como decía Jack el Destripador. El miércoles de esta semana el co-fundador y principal desarrollador de WordPress.com, Matt Mullenweg, posteó en el blog de la compañía un mensaje que más o menos resumido indicaba:

• que un hacker había ingresado en los servidores de Automattic, la empresa a cargo del hosting de los blogs de WordPress;
• que había logrado hacerse administrador (root, eso es todo-todo, ¿estamos?)
• que se suponía que el código fuente de WordPress había quedado expuesto, así como el código fuente de los “socios” (guardaban código fuente de empresas afiliadas, compradas y asociadas);
• que si alguien copió los password, su uso indebido sería muy difícil, porque se guardaban criptografiados;
• que no se copiaron números de tarjeta de crédito.

El breve mensaje terminaba sugiriendo a sus usuarios que usen password fuertes, diferentes contraseñas para diferentes cuentas, y que si tenían alguna consulta, se contactaran con soporte (los que lo pagan, claro).

Así que me puse a investigar un poco. En la noche del jueves el contador de sitios alojados en WordPress.com llegó a 19.204.897. Allí están incluidos los blogs gratis, y los del servicio VIP. Porque la empresa de Matt, Automattic (lo de la doble “t” es por Matt, claro) brinda hosting a clientes muy importantes (Dow Jones, Red Hat, Time…) a través de un servicio que cuesta entre 17.000 y 250.000 dólares al año. Y con una frases de bienvenida que incluyen (traducción verdadera) “…usted será un buen candidato para hosting VIP si, por ejemplo, tiene más de 1 millón de pageviews por mes en su blog (…) nuestros precios se basan en una tarifa que arranca en 2500 U$S mensuales por hasta 5 blogs, y 500 U$S mensuales por cada blog adicional, con un pago inicial de setup de 1500 U$S por blog (…) sólo podemos aceptar a una selecta cantidad de blogs, así que no podemos aceptar a cualquiera que se inscriba; dicho esto, no sea tímido; estamos siempre interesados en conocer gente nueva e interesante…” Por supuesto que ofrecen un hosting a prueba de ataques. La frase correspondiente es “Los mejores entre los mejores blogs necesitan un hosting a prueba de balas; nosotros podemos hacerlo”.

Uno de los clientes VIP, la publicación online de tecnología TechCrunch, averiguó un poco más, y sugirió que quien se metió en varios de los servers de WordPress se pudo haber llevado claves de las API de WordPress y contraseñas de Twitter y Facebook. Leí en varios foros tanto frases de apoyo a WordPress como críticas por el tono empleado en el mensaje de Matt, que no era el de un ejecutivo al cual se le metieron en tres servidores, donde el intruso consiguió permisos de administrador y pudo hacer lo que se le diese la gana. También se quejaron de que el CEO de la compañía, Toni Schneider (un ex vicepresidente de Yahoo) no hubiese abierto la boca sobre el tema.

En fin, hasta ahí lo sucedido y los comentarios de las primeras 48 horas. Si tenés un blog alojado en WordPress.com cambiá tu contraseña y además pegale una revisada, pasando el peine fino. Tal vez te sirvan las indicaciones que están en esta FAQ de seguridad de la empresa. Te recomiendo que leas despacio los puntos 4, 5 y 6. Y si querés ponerte de mal humor, leé el punto 1 donde claramente dice “Your blog being ‘hacked’ is _not_ a security issue”.
Afortunadamente dice luego: “el incidente de seguridad incluye saber cómo el atacante entró y cómo hackeó al blog”.
Bueno, Matt: cuando lo averigües, espero que digas cómo hackearon tus datacenters, qué le hicieron a ¿cuántos? de los 19 millones de blogs, y qué se llevaron. Por la plata que cobran por el hosting, no cabe otra.