WordPress: Lista de plugins no recomendados

A continuación muestro una pequeña lista de plugins para WordPress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser utilizados tal cual son descargados; si tienen instalado alguno de éstos, pueden desactivarlos, ponerse en contacto con el autor o solucionar los problemas por sus propios medios - corregí algunos plugins que menciono, pero muchos de los cambios que hago, son específicos para este blog :(

  • Acronym Replacer Revisited: Además de los problemas de rendimiento anteriormente descritos, es vulnerable a ataques XSS y CSRF, gracias a este último es posible insertar y ejecutar código PHP arbitrario.
  • Spam Karma 2: Me recomendaron este plugin hace poco y a pesar de lo bueno que parece ser, finalmente lo descarté porque es vulnerable a ataques XSS, CSRF y SQL Injection - ya se imaginarán lo que puede pasar con los datos de sus blogs.
  • Adsense-Deluxe: No realiza ninguna protección contra ataques CSRF, usando este último es posible persistir HTML arbitrario (¿XSS o HTML Injection?).
  • Google Analytics: Falla al intentar protegerse contra ataques CSRF (no es suficiente usar la función check_admin_referer) y cae en el mismo problema que Adsense-Deluxe.
  • catcloud: Ídem al problema que tiene Adsense-Deluxe.
  • Google (XML) Sitemaps: Ídem al problema que tiene Adsense-Deluxe.
  • Related Posts: Ídem al problema que tiene Adsense-Deluxe. Si se usa la versión que incluye el soporte para páginas no encontradas (404), entonces es posible hacer SQL Injection en los blogs que lo usen.
  • Audio player: Ídem al problema que tiene Adsense-Deluxe.
  • wp-cache 2.1: En realidad pongo esta versión del plugin porque Dreamhost todavía sigue instalando la versión vulnerable de wp-cache, que tiene un problema similar a Adsense-Deluxe. Pueden actualizar manualmente a la versión 2.1.1 para corregir este fallo.
  • Pagebar: Es vulnerable a ataques XSS en versiones recientes de WordPress

Imagino que esta lista puede crecer indefinidamente :) pero los que muestro aquí, son aquellos con los que tuve/tengo contacto en este blog y en otros que ayudé a poner a punto.

Nota: Por obvias razones, no voy a publicar detalles o pruebas de concepto de los problemas de seguridad. Por otro lado, por falta de tiempo, sólo me puse en contacto con algunos autores.

A excepción de wp-cache, los problemas mencionados están presentes en las últimas versiones de los plugins.

30 thoughts on “WordPress: Lista de plugins no recomendados”

  1. (Sorry for posting in English, but I'm too ashamed of my Spanish to subject you to my very poor command of the language. Feel free to reply in Spanish, though)

    It is the very first time ever that I hear anything about any sort of exploit involving SK2. SQL, XSS or otherwise. I think, you might be confused with some other program.
    If you know of any such exploit, please do contact me with any detail you have, so I can look into it.

    Thanks.

  2. Justo iba a pedirte que avisaras al autor del Spam Karma 2, Dave. Acabo de deshabilitarlo en la bitácora de Quiñonero.

    También ayer instalé el del sitemap para Google, que ahora liquido.

    Mucho me temo que la mayoría de plugins sufren esos males, sobre todo los que utilizan el peligroso javascript para su funcionamiento.

    A lo que iba, he vuelto a implementar Comment Quicktags 1.9 (ya no tiene soporte, usa javascript) para incorporar botones para la edición enriquecida de los comentarios, que he traducido y modificado. Estoy a la espera de saber si provoca un exceso de consumo de CPU como antaño para anotar al respecto y compartirlo con los demás.

    Pues eso, te agradecería muy mucho que echaras un vistazo al plugin. Por correo te envío el original y el modificado/traducido.

    Nota: años ha, David F. Madrid en la extinta Nautopía era quien se encargaba de buscar tales fallos de seguridad, reportando unos cuantos XSS de gran gravedad.

  3. Greetings Alex,

    Unfortunately, I only speak English - for the benefit of your Spanish-only readers, Google's translation of this message can be found below.

    Thanks for the report of a CSRF in my catcloud plugin. Would you be able to send me any more information.

    Also, I note that you are using the catcloud plugin on this site. Does this mean that you have a corrected version of the plugin? :)

    Cheers!
    --zak

    Saludos Alex, Agradece por el informe de un CSRF en mi catcloud plugin. Podrías enviarme más información. También, observo que estás utilizando el catcloud plugin en este sitio. ¿Este medio que tienes una versión corregida del plugin? :) ¡Aclamaciones! --zak

    (via http://www.google.com/translate_t)

  4. Alex,

    I haven't received any notice about security exploits in SK2. Your message may have somehow gotten lost on the way: can you please re-send it?

  5. @Zak: I'm using a modified version of your plugin, btw, please check your inbox to know more details about the vulnerability.

    @Dave: I've sent you again the mail, please check your spam folder if it doesn't appear.

  6. Alex,

    I checked everywhere and I have only one mail from you (Alexander C.) but it is on an entirely unrelated topic (the wp-plugins.net website). Can you please make sure you use the email address I am commenting with. Or alternatively, you can use the contact form on my website, as I know it works.

    Thanks.

  7. #12, lee atentamente el primer párrafo y luego intentas hacer de troll...

    Por cierto, ¿puedes recordarme cuándo quité algo?

  8. Pingback: SigT
  9. Guau! Es bueno saber cosas como ésta...

    No quiero pecar de "pedigüeño", pero se me ocurre como "agregado" para un próximo post similar, que estaría bueno que digas si encontraste algún plugin con funcionalidad similar y sin tantas fallas... Lo digo porque personalmente no tengo idea de éstas cosas y uso varios de los plugins mencionados...

    Muy bueno el post, ahora veré que hago con eso!

    Saludos!

  10. Hola Alex, yo probe el plugin de Related Post y lo tuve que desinstalar, al poco tiempo encontre el plugin Add Post Footer y la verdad estoy mas que satisfecho.

Comments are closed.