twitterfacebookgoogledribbblepinterestmyspacetumblrvimeoyoutubebehancegithubflickrforrstrssmail
Ultimas Entradas
LuxePad: Teclado Portátil Bluetooth Ultrafino para iPad check it out →

Riesgo de seguridad en las búsquedas de algunas plantillas/themes de WordPress

Después de leer este artículo de Ayuda WordPress me he puesto a revisar todas las plantillas que hemos traducido y he podido comprobar que algunas están afectadas por este posible riesgo de seguridad.

Según leemos en Ayuda WordPress:

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

La solución que allí proponen tiene un fallo según parece, lo que debemos hacer es comprobar nuestra plantilla (normalmente los archivos header.php, search.php, searchform.php y por seguridad también 404.php) y buscar el siguiente código (si está):

<?php echo $_SERVER['PHP_SELF']; ?>

Y cambiarlo por el siguiente:

<?php echo htmlspecialchars($_SERVER['PHP_SELF']) ?>

Espero poder adecuar esta misma noche las plantillas que tenemos ahora mismo subidas para que incorporen este cambio. También incluiré una lista de las plantillas afectadas.

PD: otra solución que se apunta en los comentarios de Ayuda WordPress por parte por ejemplo de aNieto2k es cambiarlo por la siguiente función, la cual parece más adecuada que la anterior:

Dibujo

Visto que realmente creo que esta es la mejor opción (de hecho así es como está en las plantillas que no estaban afectadas por este riesgo de seguridad) recomiendo que hagáis esta implementación en vez de la anterior, y de hecho voy a reprogramar las plantillas y volverlas a subir con ella.

Written by wbaseweb

1 Comment

  1. Plaga · 28 agosto, 2008

    Mmm yo uso este plugin “TAC (Theme Authenticity Checker)” para chequear si no hay codigos raros en mis themes pero no se si tambien detecte esto que comentas.

    Último post en la web de Plaga..Fotos de una picadura de mosquito

Leave A Reply