Hace unos días, se dieron a conocer los resultados de un concurso organizado por WeblogsToolsCollection, el cual consistía en desarollar el mejor plugin para WordPress. Todo perfecto hasta que en Buayacorp comentan que todos los plugins ganadores son vulnerables.
En esta lista se presentan los problemas de seguridad de los plugins ganadores:
WordPress Automatic Upgrade: Permite a cualquier usuario no autenticado:
- Generar y descargar los archivos de WordPress (incluye wp-config.php).
- Activar/Desactivar todos los plugins.
- Actualizar la versión de WordPress.
Generar y descargar una copia de seguridad de la base de datos donde está instalado el plugin.
OneClick: Al ser vulnerable a CSRF, permite descargar plugins — o código malicioso — desde cualquier URL.
Who Sees Ads: Es vulnerable a CSRF y XSS.
MyDashboard: Es vulnerable a CSRF y XSS.
Es una lástima, pues al ser los plugins ganadores ya muchos usuarios de WordPress deben haberlos instalado. WordPress Automatic Upgrade, ya ha corregido tales problemas de seguridad, por lo que si utilizas la primera versión es recomendable instalar la nueva.
(vía: carrero)
