Me he estado peleando con esta cuestión desde la última entrada de la sería acerca de la seguridad de plugins en Wordpress. Como soy consciente de que esta serie será utilizada como recurso por la enorme comunidad de Wordpress creo que es necesario abstraer estos artículos lo suficiente como para que los usuarios no-técnicos puedan comprenderlo, y eso no aísla una parte del resto sin dejarlas huérfanas.
¿Que es una combinación peligrosa?
Los plugins dependen de los permisos de usuario
Los plugins que conceden a los usuarios registrados la habilidad de hacer algo deberían ser escrutados. Con la llegada de la serie Wordpress 2.x muchos plugins que funcionaban sobre la base de la serie 1.5.x ya no funcionan como se esperaría. Esto es debido a que Wordpress 1.5 utilizaba Niveles de Usuario, un rango de números que van de 0 a 10 y que ofrecían a los individuos diversos niveles de acceso. En Wordpress 2.x los niveles de usuario cedieron a favor de los Roles y Capacidades, que ofrecen a los individuos roles de Administrador, Editor, Autor, Colaborador o Suscriptor.
Los plugins que se apoyaen en permisos de usuario pueden ofrecer incorrectamente accesos a funcionalidades que deberían dejarse a un administrador. Por ejemplo, un plugin puede colocar un submenú en el panel de administración en la página de Administrar o la de Opciones que podría permitir acceso a otras características de esas áreas. Por defecto, Wordpress restringe el acceso a estas páginas a usuarios con privilegios. Un plugin escrito pobremente podría echar esto a perder.
Uso descuidado del Gestor de Roles
Owen Winkler escribió un plugin muy popular llamado Role Manager, el cual, como potente y útil que es (y que yo utilizo en varios blogs) incrementa la oportunidad de abrir una puerta trasera a un usuario con malas intenciones. Me encanta este plugin ya que me permite la oportunidad de personalizar los accesos de usuario a las funcionalidades de Wordpress.. Incluso me permite crear nuevos roles de usuario, tales como «Diseñador», que podrían dar acceso a mi diseñador al menú de Presentación sin tener que darle privilegios de administración completos.
Sin embargo, si no soy precavido, podría personalizar permisos de tal modo que permitiera accesos inadecuados a áreas de mi blog. Puede que pienses que solo un blogger descuidado permitiría acceso a todos a un blog. Algunos blogs restringen legítimamente, por decir algo, los comentarios a los usuarios registrados, y si son usuarios registrados tienen acceso limitado al panel de administración (mas que nada para cambiar cambiar contraseñas y demás opciones del perfil de usuario). El uso del plugin Role Manager, en combinación con el elemento anterior, plugins que dependen de permisos, podría abrir tu blog a un mundo de horror.
Hay algunas combinaciones peligrosas. Hay mas y podría incluso ser mas específico. Puede que en un artículo posterior.
Lee otros artículos de la serie sobre Seguridad en plugins WordPress:
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
AVISO: Esta publicación es de hace 3 años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado. ¡Ah! ¿te funciona? pues entonces no he dicho nada :)
