Leyendo un retroenlace de Buayacorp me encuentro una interesante reflexión sobre la seguridad de los plugins para WordPress, esta vez de la seguridad en los Plugins de la competición organizada por WeblogsToolsColletion.
Ninguno de los plugins ganadores tiene en cuenta la seguridad para los usuarios, y nos presenta una lista ordenada en grado de peligrosidad (de mayor a menor):
- WordPress Automatic Upgrade: Parece permitir la utilización a cualquier usuario no autenticado:
- Generar y descargar los archivos de WordPress (incluido el
wp-config.phpcon tus datos de base de datos). - Generar y descargar copias de seguridad de tu base de datos con lo que esto representa.
- Activar y Desactivar todos los plugins.
- Actualizar la versión de WordPress sin tu autorización.
- Generar y descargar los archivos de WordPress (incluido el
- OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.
- Who Sees Ads: Es vulnerable a CSRF y XSS.
- MyDashboard: Es vulnerable a CSRF y XSS.
Sin duda ante estos graves problemas de seguridad es recomendable desactivarlos inmediatamente, ya que al estar recibiendo muchísima publicidad mucha gente los está instalado, con el riesgo que esto conlleva.
Sería recomendable que Alex de Buayacorp escriba a cada autor e incluso a los organizadores para informar de los errores y que puedan tenerse en cuenta para solucionar los problemas y cuidar de la seguridad.
Actualización: WordPress Automatic Upgrade ha corregido los problemas de seguridad, según parece por la nueva versión lanzada.