Wordpress: Lista de plugins no recomendados
Por: alex | 17 Abril 2007 | Ver comentarios |
A continuación muestro una pequeña lista de plugins para Wordpress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser utilizados tal cual son descargados; si tienen instalado alguno de éstos, pueden desactivarlos, ponerse en contacto con el autor o solucionar los problemas por sus propios medios - corregí algunos plugins que menciono, pero muchos de los cambios que hago, son específicos para este blog 
- Acronym Replacer Revisited: Además de los problemas de rendimiento anteriormente descritos, es vulnerable a ataques XSS y CSRF, gracias a este último es posible insertar y ejecutar código PHP arbitrario.
- Spam Karma 2: Me recomendaron este plugin hace poco y a pesar de lo bueno que parece ser, finalmente lo descarté porque es vulnerable a ataques XSS, CSRF y SQL Injection - ya se imaginarán lo que puede pasar con los datos de sus blogs.
- Adsense-Deluxe: No realiza ninguna protección contra ataques CSRF, usando este último es posible persistir HTML arbitrario (¿XSS o HTML Injection?).
- Google Analytics: Falla al intentar protegerse contra ataques CSRF (no es suficiente usar la función
check_admin_referer) y cae en el mismo problema que Adsense-Deluxe. - catcloud: Ídem al problema que tiene Adsense-Deluxe.
- Google (XML) Sitemaps: Ídem al problema que tiene Adsense-Deluxe.
- Related Posts: Ídem al problema que tiene Adsense-Deluxe. Si se usa la versión que incluye el soporte para páginas no encontradas (404), entonces es posible hacer SQL Injection en los blogs que lo usen.
- Audio player: Ídem al problema que tiene Adsense-Deluxe.
- wp-cache 2.1: En realidad pongo esta versión del plugin porque Dreamhost todavía sigue instalando la versión vulnerable de wp-cache, que tiene un problema similar a Adsense-Deluxe. Pueden actualizar manualmente a la versión 2.1.1 para corregir este fallo.
- Pagebar: Es vulnerable a ataques XSS en versiones recientes de Wordpress
Imagino que esta lista puede crecer indefinidamente 
pero los que muestro aquí, son aquellos con los que tuve/tengo contacto en este blog y en otros que ayudé a poner a punto.
Nota: Por obvias razones, no voy a publicar detalles o pruebas de concepto de los problemas de seguridad. Por otro lado, por falta de tiempo, sólo me puse en contacto con algunos autores.
A excepción de wp-cache, los problemas mencionados están presentes en las últimas versiones de los plugins.
Dave
17 de Abril de 2007, 08:13:55 am
(Sorry for posting in English, but I’m too ashamed of my Spanish to subject you to my very poor command of the language. Feel free to reply in Spanish, though)
It is the very first time ever that I hear anything about any sort of exploit involving SK2. SQL, XSS or otherwise. I think, you might be confused with some other program.
If you know of any such exploit, please do contact me with any detail you have, so I can look into it.
Thanks.
alex
17 de Abril de 2007, 09:10:38 am
Dave, I’m not confused about SK2 security problems
, I’ve already sent you a mail with some proof of concepts.
maty
17 de Abril de 2007, 09:31:17 am
Justo iba a pedirte que avisaras al autor del Spam Karma 2, Dave. Acabo de deshabilitarlo en la bitácora de Quiñonero.
También ayer instalé el del sitemap para Google, que ahora liquido.
A lo que iba, he vuelto a implementar Comment Quicktags 1.9 (ya no tiene soporte, usa javascript) para incorporar botones para la edición enriquecida de los comentarios, que he traducido y modificado. Estoy a la espera de saber si provoca un exceso de consumo de CPU como antaño para anotar al respecto y compartirlo con los demás.
Pues eso, te agradecería muy mucho que echaras un vistazo al plugin. Por correo te envío el original y el modificado/traducido.
Nota: años ha, David F. Madrid en la extinta Nautopía era quien se encargaba de buscar tales fallos de seguridad, reportando unos cuantos XSS de gran gravedad.
maty
17 de Abril de 2007, 09:44:09 am
Alex, necesito tu cuenta de correo para enviarte el zip. He localizado la de Braulio.
Mis datos:
Cuenta de correo: cuenta-correo-maty.png
Claves Públicas: http://nauscopio.nireblog.com/cat/contacto
alex
17 de Abril de 2007, 09:54:50 am
@maty: Mis datos están en la página de contacto, pero para ahorrarte unos cuantos clics puedes escribirme a [alex at buayacorp dot com]
maty
17 de Abril de 2007, 10:35:58 am
Enviado el correo (firmado digitalmente, como es mi costumbre).
Zak Greant
17 de Abril de 2007, 11:03:13 am
Greetings Alex,
Unfortunately, I only speak English - for the benefit of your Spanish-only readers, Google’s translation of this message can be found below.
Thanks for the report of a CSRF in my catcloud plugin. Would you be able to send me any more information.
Also, I note that you are using the catcloud plugin on this site. Does this mean that you have a corrected version of the plugin?
Cheers!
–zak
Saludos Alex, Agradece por el informe de un CSRF en mi catcloud plugin. Podrías enviarme más información. También, observo que estás utilizando el catcloud plugin en este sitio. ¿Este medio que tienes una versión corregida del plugin?
¡Aclamaciones! –zak
(via http://www.google.com/translate_t)
Dave
17 de Abril de 2007, 11:46:49 am
Alex,
I haven’t received any notice about security exploits in SK2. Your message may have somehow gotten lost on the way: can you please re-send it?
alex
17 de Abril de 2007, 01:52:15 pm
@Zak: I’m using a modified version of your plugin, btw, please check your inbox to know more details about the vulnerability.
@Dave: I’ve sent you again the mail, please check your spam folder if it doesn’t appear.
Dave
18 de Abril de 2007, 03:18:22 am
Alex,
I checked everywhere and I have only one mail from you (Alexander C.) but it is on an entirely unrelated topic (the wp-plugins.net website). Can you please make sure you use the email address I am commenting with. Or alternatively, you can use the contact form on my website, as I know it works.
Thanks.
Calinsoft.net
18 de Abril de 2007, 02:18:19 pm
quien te entiende hablas de
http://www.buayacorp.com/wp-content/plugins/adsense-deluxe.php
http://www.buayacorp.com/wp-content/plugins/sitemap.php
http://www.buayacorp.com/wp-content/plugins/related-posts.php
http://www.buayacorp.com/wp-content/plugins/pagebar.php
y si los has arreglado por que no enseñas como lo as hecho, eh tomado foto a esto para que despues no lo quites como siempre lo haces cuando te dicen la verdad
alex
18 de Abril de 2007, 03:58:17 pm
#12, lee atentamente el primer párrafo y luego intentas hacer de troll…
Por cierto, ¿puedes recordarme cuándo quité algo?
Troll
18 de Abril de 2007, 10:20:39 pm
Ese master rcdsvidita
shezzo
19 de Abril de 2007, 02:08:24 am
Gran trabajo Alex, felicitaciones.
Angelfire
30 de Mayo de 2007, 11:08:28 am
Alex, podrias ofrecer alguna opción diferente para el plugin Google (XML) sitemaps?, a decir verdad no he visto alguno parecido.
alex
30 de Mayo de 2007, 08:05:07 pm
@Angelfire: Lo siento, no sé si exista algún plugin similar a Google sitemaps.
Saludos
Milton!
27 de Agosto de 2007, 11:06:46 pm
Guau! Es bueno saber cosas como ésta…
No quiero pecar de “pedigüeño”, pero se me ocurre como “agregado” para un próximo post similar, que estaría bueno que digas si encontraste algún plugin con funcionalidad similar y sin tantas fallas… Lo digo porque personalmente no tengo idea de éstas cosas y uso varios de los plugins mencionados…
Muy bueno el post, ahora veré que hago con eso!
Saludos!
juanma
30 de Diciembre de 2007, 12:41:48 pm
es todo verso, no tienen problema de seguridad ninguno de los mencionados anteriormente salvo el ARR
alex
30 de Diciembre de 2007, 07:54:54 pm
juanma: tienes razón, es todo verso luego que esta entrada se haya escrito hace más de 9 meses.
Nebula
8 de Noviembre de 2008, 02:35:46 pm
Hola Alex, yo probe el plugin de Related Post y lo tuve que desinstalar, al poco tiempo encontre el plugin Add Post Footer y la verdad estoy mas que satisfecho.
alex
9 de Noviembre de 2008, 12:13:03 pm
Hola Nebula, le daré una mirada, aunque con las modificaciones que le hice a la versión que tengo también estoy satisfecho.