Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos “triviales” como la seguridad de la plantilla que utiliza.
Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.
Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.
Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …
-
form id=“searchform” method=“get” action=
-
“<?php echo $_SERVER['PHP_SELF']“ ?>”
puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …
-
form id=“searchform” method=“get” action=
-
“<?php echo htmlspecialchars($_SERVER['PHP_SELF'])” ?>”
Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!
Contenido exclusivo para suscriptores al Feed
¡Gracias por seguirnos a diario!. Premiamos tu fidelidad ofreciéndote habitualmente contenidos exclusivos. Hoy puedes descargar:
Guía Windows Live Writer