Logo

Plugins y la seguridad en WordPress

Weblog Tools Collection publicó la lista de ganadores de concurso de plugins para WordPress. La lista es la siguiente:

OneClick: instalación automática de plugins.
MyDashboard: personalización del dashboard de WP
WordPress Automatic Upgrade: para actualizar WordPress automáticamente
Who Sees Ads.

Todo bonito, más plugins que nos hacen más fácil la vida. Pero que hay de la seguridad y la performance?

Alex de hizo las pruebas de seguridad respectivas a estos plugins y ninguno pasó el test, el cual tampoco menciona en que consistió. En este asunto me fiaré de su análisis, dado que soy un neófito en PHP. A quien creerle si se aromó una polémica.

El resultado de su análisis es el siguiente, ordenado según peligrosidad

WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado:
- Generar y descargar los archivos de WordPress (incluye wp-config.php).
- Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin.
- Activar/Desactivar todos los plugins.
- Actualizar la versión de WordPress.
OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.
Who Sees Ads: Es vulnerable a CSRF y XSS.
MyDashboard: Es vulnerable a CSRF y XSS.

Realizar comentario