Uploadify, nueva amenaza de seguridad incluido en plugins y temas WordPress

Si ya avisé sobre el peligro de Timthumb, utilizado como sistema de gestión de miniaturas por muchos temas WordPress, es ahora otro script, este para facilitar la carga de archivos, y utilizado tanto por temas como por plugins WordPress, el que amenaza la integridad de cualquier instalación de WordPress inconsciente de su peligro.

Según varios informes de la web especializada en seguridad informática Sucuri, Uploadify, un script que permite que usuarios no registrados, sin credenciales en WordPress, suban archivos al servidor, es una amenaza potencial de seguridad, pues se puede usar para abrir puertas traseras, insertar troyanos o lo que sea.

Bien es cierto que es muy útil, y facilita acciones como que usuarios anónimos participen en una comunidad creada con WordPress mediante la carga de imágenes o similares, pero esta misma facilidad es su peligro.

Temas tan populares como los de Woothemes, o plugins tan utilizados como Uploader, WP Symposium o 1 Flash Gallery, usan este script para este cometido, por lo que serían susceptibles puertas abiertas a inyecciones de código no deseadas.

Si quieres saber si tu tema WordPress o algún plugin utiliza este script busca en todo el directorio “/wp-content/” y sus subdirectorios alguna carpeta denominada “uploadify” o el archivo “uploadify.php“, y si no tienes claro su uso o puedes prescindir de el, desactívalo inmediatamente, y busca otro tipo de solución para tus visitantes.

También puedes hacer una comprobación mediante un script que ha creado Sucuri. Descarga este archivo (sucuri_wp_check.txt), lo renombras cambiando la extensión txt a php y lo subes al directorio raíz de tu instalación de WordPress y lo ejecutas así:

El script te informa tanto de posibles vulnerabilidades de Timthumb como de Uploadify.

AVISO: esta publicación es de hace dos años o más. Si es un código o un plugin podría no funcionar en las últimas versiones de WordPress, y si es una noticia podría estar ya obsoleta. Luego no digas que no te hemos avisado.

VALORA ESTE ARTÍCULO PARA MEJORAR LA CALIDAD DEL BLOG…
FlojitoNo está malEstá bienMe ha servidoFantástico (1 votos, promedio: 5,00 de 5)
Cargando…

Autor: Fernando Tellado

Fernando Tellado, apasionado de WordPress, profesor, consultor y ponente. Maquero cansino, padre de tres hijos y de una perrita Beagle, Bilbaíno de nacimiento, Español de corazón y ciudadano de donde me quieran. Autor del libro WordPress - La tela de la araña. Mi blog personal es Navegando con red, donde he crecido como escritor en la red y ofrezco mis visiones acerca de la Web 2.0 y la blogosfera.

Comparte esta entrada en
468 ad

Pin It on Pinterest

Share This
Ir al contenido