data:newerPageTitle data:olderPageTitle data:homeMsg

lunes, 22 de septiembre de 2008
10:37:00

Por cada comentario que haces, Dios salva un gatito

Riesgo de Seguridad en formularios de búsqueda de Themes WordPress


condon-wordpress Hay un posible riesgo de seguridad que, aunque bastante documentado, no suele estar accesible al usuario casual de un blog WordPress o el que, simplemente, se concentra en usar WordPress y no se preocupa de asuntos "triviales" como la seguridad de la plantilla que utiliza.

Es un error bastante común, pero no por ello menos peligroso pues podría permitir que un cracker se infiltrara en tu sitio usando este fallo del theme WordPress.

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

Si te encuentras que el formulario de búsqueda incluido en tu plantilla contiene algo similar a esto …

  1. form id="searchform" method="get" action=

  2. "<?php echo $_SERVER['PHP_SELF']" ?>"

puedes solucionar este error, y evitar que alguien utilice esta debilidad para introducirse sin permiso en tu servidor, cambiándolo por esto otro …

  1. form id="searchform" method="get" action=

  2. "<?php echo htmlspecialchars($_SERVER['PHP_SELF'])" ?>"

Lo mas habitual es que te encuentres este tipo de código en los ficheros header.php, searchform.php, search.php o incluso 404.php. ¡Revísalos!

Vía

____________________________
Fuente : Riesgo de Seguridad en formularios de búsqueda de Themes WordPress
Autor : Fernando Tellado
Web : Ayuda WordPress


*****

0 comentarios:

Haznos saber tu opinión

Todo comentario es bien recibido. Pero debes de tener en consideración los siguientes puntos:
1. No se permitirán insultos.
2. No se permitirá comentarios únicamente con publicidad. En todo caso te sugiero enviar un mensaje privado para ver el tema.
3. No se permitirá ningún tipo de ataque, agresión ni apologías de ningún tipo que inciten a la violencia o reacciones violentas. Se puede criticar y entablar debate sin necesidad de agredir a nadie.
4. No se permitirá ningún tipo de discriminación, segregación ni racismo.

Todos los comentarios serán sujetos a moderación, así que por favor les pido un poco de paciencia. Muchas gracias por comentar en este blog.



Coméntalo en Facebook

data:newerPageTitle data:olderPageTitle data:homeMsg

Publicados en esta categoría...

Suscribete a De Copy and Paste