Riesgo de Seguridad en formularios de búsqueda de Themes WordPress
Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos "triviales" como la seguridad de la plantilla que utiliza.
Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.
Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.
Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …
puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …
o mejor aún, como nos han apuntado en los comentarios varios lectores, sustituir la cadena completa por esta otra …
Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!
También te puede interesar:
Bitacoras
14 comentarios | Escribe un comentario
Sitios que enlazan a esta entrada
- Riesgo de seguridad en las búsquedas de algunas plantillas/themes de Wordpress | Mundoblog.es
- Riesgo de seguridad en las búsquedas de algunas plantillas/themes de Wordpress | Plantillas Wordpress
RSS
Blog EntreBlogs
Ayuda WordPress
Bocabit
Buscando Libertad
CiberPrensa
Comparativa de Bancos
Verdadera Seducción
Soy Plastic
El problema sería con este pedacito de código, ¿no?:
$_SERVER['PHP_SELF']
No lo tengo asi que no me preocupo =P
Fernando me da que hay un fallo en el código “bueno” que has indicado, tenía algunos blogs con plantillas que tenían el “malo” y al sustituirlo da error. Yo diría que el fallo está en que sobran unas comillas detrás del último paréntesis de la línea 2.
Un saludo.
Simplemente hay que añadir el htmlspecialchars
Ok Fernando también es verdad, lo siento si he creado una confusión innecesaria, con añadir el htmlspecialchars y los paréntesis ya está. Si lo he comentado es porque en varias plantillas me salía el código diferente a como está en vuestro post, por si alguien se confunde.
Es mas recomendado
<?php bloginfo('url'); ?>/
Que la opcion que brindas…
Saludos
Como dice Anonimos, la opción más acertada es usar
bloginfo().Esta función no interactua para nada con el usuario, por lo que evitamos problemas XSS así como problemas con las “nice url”.
Saludos
Si que es lo mas utilizado, además. Lo apunto en el post y gracias por la aportación
Como dice Anonimos, la opción más acertada es usar bloginfo().
…que es lo que trae la plantilla por defecto del wp junto a the_search_query() ¿Ande ha salido el $_SERVER['PHP_SELF'] ese?
noshadow, pues yo también me lo pregunto, pero al revisar varias plantillas de las que he traducido he visto que usaban ese código “maléfico”. Sin embargo la gran mayoría por lo que he visto usan el bueno.
me pondre arevisar la plantilla del blog cuanto antes esto ma ha alarmado bastante, gracias
@venta de cachorros: Lo mas seguro es que no tengas problema si la plantilla es relativamente reciente. Y sino siempre la puedes cambiar rápido
no tenia idea, que bueno saberlo.
Saben de algún sitio que tenga información sobre seguridad en las plantillas?
Saludos!