Riesgo de Seguridad en formularios de búsqueda de Themes WordPress

Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos “triviales” como la seguridad de la plantilla que utiliza.

Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …

< ?php echo $_SERVER['PHP_SELF']" ?>

puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …

< ?php echo htmlspecialchars($_SERVER['PHP_SELF'])" ?>

o mejor aún, como nos han apuntado en los comentarios varios lectores, sustituir la cadena completa por esta otra …

< ?php bloginfo('url'); ?>

Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!

Vía

Para saber más:

http://www.darkpassenger.com.ar/ Skavenger

El problema sería con este pedacito de código, ¿no?:

$_SERVER['PHP_SELF']

No lo tengo asi que no me preocupo =P
http://mundoblog.es/ Mundoblog

Fernando me da que hay un fallo en el código “bueno” que has indicado, tenía algunos blogs con plantillas que tenían el “malo” y al sustituirlo da error. Yo diría que el fallo está en que sobran unas comillas detrás del último paréntesis de la línea 2.

Un saludo.
Pingback: Riesgo de seguridad en las búsquedas de algunas plantillas/themes de Wordpress | Mundoblog.es
Pingback: Riesgo de seguridad en las búsquedas de algunas plantillas/themes de Wordpress | Plantillas Wordpress
http://fernandotellado.com/ Fernando Tellado

Simplemente hay que añadir el htmlspecialchars
http://mundoblog.es/ Mundoblog

Ok Fernando también es verdad, lo siento si he creado una confusión innecesaria, con añadir el htmlspecialchars y los paréntesis ya está. Si lo he comentado es porque en varias plantillas me salía el código diferente a como está en vuestro post, por si alguien se confunde.
http://ayudawordpress.com Anonimos

Es mas recomendado
<?php bloginfo('url'); ?>/
Que la opcion que brindas…

Saludos
http://www.anieto2k.com aNieto2k

Como dice Anonimos, la opción más acertada es usar bloginfo().

Esta función no interactua para nada con el usuario, por lo que evitamos problemas XSS así como problemas con las “nice url”.

Saludos
http://fernandotellado.com/ Fernando Tellado

Si que es lo mas utilizado, además. Lo apunto en el post y gracias por la aportación
noshadow

Como dice Anonimos, la opción más acertada es usar bloginfo().

…que es lo que trae la plantilla por defecto del wp junto a the_search_query() ¿Ande ha salido el $_SERVER['PHP_SELF'] ese?
http://mundoblog.es/ Mundoblog

noshadow, pues yo también me lo pregunto, pero al revisar varias plantillas de las que he traducido he visto que usaban ese código “maléfico”. Sin embargo la gran mayoría por lo que he visto usan el bueno.
http://www.buscarperros.com/ venta de cachorros

me pondre arevisar la plantilla del blog cuanto antes esto ma ha alarmado bastante, gracias
http://fernandotellado.com/ Fernando Tellado

@venta de cachorros: Lo mas seguro es que no tengas problema si la plantilla es relativamente reciente. Y sino siempre la puedes cambiar rápido
http://www.soyelnacho.com ignacio aguirre

no tenia idea, que bueno saberlo.
Saben de algún sitio que tenga información sobre seguridad en las plantillas?

Saludos!
Pingback: Riesgo de seguridad en las búsquedas de algunas plantillas/themes de Wordpress | Esgeek