Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos «triviales» como la seguridad de la plantilla que utiliza.
Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.
Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.
Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …
< ?php echo $_SERVER['PHP_SELF']" ?>
puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …
< ?php echo htmlspecialchars($_SERVER['PHP_SELF'])" ?>
o mejor aún, como nos han apuntado en los comentarios varios lectores, sustituir la cadena completa por esta otra …
< ?php bloginfo('url'); ?>Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!
Vía
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
El problema sería con este pedacito de código, ¿no?:
$_SERVER[‘PHP_SELF’]
No lo tengo asi que no me preocupo =P
Fernando me da que hay un fallo en el código «bueno» que has indicado, tenía algunos blogs con plantillas que tenían el «malo» y al sustituirlo da error. Yo diría que el fallo está en que sobran unas comillas detrás del último paréntesis de la línea 2.
Un saludo.
Simplemente hay que añadir el htmlspecialchars
Ok Fernando también es verdad, lo siento si he creado una confusión innecesaria, con añadir el htmlspecialchars y los paréntesis ya está. Si lo he comentado es porque en varias plantillas me salía el código diferente a como está en vuestro post, por si alguien se confunde.
Es mas recomendado
<?php bloginfo('url'); ?>/
Que la opcion que brindas…
Saludos
Como dice Anonimos, la opción más acertada es usar
bloginfo().Esta función no interactua para nada con el usuario, por lo que evitamos problemas XSS así como problemas con las «nice url».
Saludos
Si que es lo mas utilizado, además. Lo apunto en el post y gracias por la aportación 🙂
Como dice Anonimos, la opción más acertada es usar bloginfo().
…que es lo que trae la plantilla por defecto del wp junto a the_search_query() ¿Ande ha salido el $_SERVER[‘PHP_SELF’] ese?
noshadow, pues yo también me lo pregunto, pero al revisar varias plantillas de las que he traducido he visto que usaban ese código «maléfico». Sin embargo la gran mayoría por lo que he visto usan el bueno.
me pondre arevisar la plantilla del blog cuanto antes esto ma ha alarmado bastante, gracias
@venta de cachorros: Lo mas seguro es que no tengas problema si la plantilla es relativamente reciente. Y sino siempre la puedes cambiar rápido 😉
no tenia idea, que bueno saberlo.
Saben de algún sitio que tenga información sobre seguridad en las plantillas?
Saludos!