Vulnerabilidades WordPress en Temas y Plugins muy extendidos
Para todos los que nos dedicamos al desarrollo de páginas web y usamos WordPress, noticia reciente, y es que desde securi.net nos avisan porque han detectado una vulnerabilidad XSS por un mal uso de las funciones add_query_arg() y remove_query_arg(). Esto no sería nada nuevo, ya que os hablé de ello hace un montón de meses, mucho antes de iniciar mi andadura profesional como autónomo, de no ser porque hay un montón de plugins y temas super comunes que se ven afectados por estas vulnerabilidades wordpress.
El origen del problema
La historia es que la documentación oficial de WordPress era contradictoria en cuanto al uso específico para estas funciones, que se usan para agregar cadenas para el manejo de URLs internas del propio WordPress, y muchos desarrolladores asumieron que podían usarlo sin tomar precauciones adicionales pensando en que los usuarios no podrían usarlas directamente; ahora, muchos de los plugins más extendidos resultan ser inseguros por este pequeño pero peligroso detalle.
Algunos plugins que se saben inseguros:
- Jetpack
- WordPress SEO
- Google Analytics by Yoast
- All In one SEO
- Gravity Forms
- Multiples Plugins de Easy Digital Downloads
- UpdraftPlus
- WP-E-Commerce
- WPTouch
- Download Monitor
- Related Posts for WordPress
- My Calendar
- P3 Profiler
- Give
- Multiples iThemes
- Broken-Link-Checker
- Ninja Forms
¿Qué hacer ahora?
Entrar al WP-Admin y actualizar todo tu sitio, el tema y los plugins (Como siempre para evitar vulnerabilidades wordpress). Pero lo más importante es que te replantees tu sitio web, la información que contiene, las políticas de seguridad que tienes preparadas para cualquier contingencia, el tiempo que tardarías en volver a ponerlo en marcha si algo malo pasase… Y si al final te compensa WordPress para tu sitio.
De hecho, hace ya tiempo que tuve conversaciones en esta línea con otros colegas de profesión, y especialemente por este tipo de cosas hay que estar siempre atento y no confiarnos; porque la seguridad es relativa y todo puede cambiar de un día para otro.
También cuidadito porque en Themeforest y Codecanyon reconocen que hay un buen puñado de cosas suyas afectadas por esta nueva vulnerabilidad.
Yo tengo claro que para muchos propósitos es suficiente, pero si de verdad quieres algo robusto, específico y adaptado a tus necesidades, necesitas una web a medida que no se base en plataformas genéricas.
Además, me refuerza en mi convicción de seguir desarrollando mi propio script de páginas web, con la sana intención de hacer un poco más seguros nuestros sitios en internet.
