Riesgo de Seguridad en formularios de búsqueda de Themes WordPress

Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos “triviales” como la seguridad de la plantilla que utiliza.

Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …

puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …

o mejor aún, como nos han apuntado en los comentarios varios lectores, sustituir la cadena completa por esta otra …

Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!

Vía

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (Ninguna valoración todavía)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This
Ir al contenido