Categories
Seguridad WordPress

WordPress, tres años después

WordpressAunque nunca haya sido un gran colaborador de WordPress, recuerdo que desde los primeros tickets que abrí relacionados a su seguridad, llegué a conocer relativamente bien el código que formaba parte de las versiones 2.0.x a 2.3.x. Solía seguir de manera regular los cambios que se iban haciendo y reporté unas cuantas fallas de seguridad.

Por esos azares de la vida, el 2008 tuve que abandonar todo. Incluyendo familia, amigos, ciudad, país y obviamente las actividades que solía hacer. Seguramente podría haber continuado, pero lamentablemente nunca se dieron las condiciones. En la segunda mitad del 2009, me contactaron para auditar el código de WordPress y una lista de los plugins más usados --- no recuerdo exactamente que versión era. Llegué a enviar en privado unos cuantos fallos, uno que permitía subir archivos php y otros típicos XSS o CSRF. Tuve que abandonar ese trabajo porque, aunque había compensación económica de por medio, requería demasiado tiempo y en ese entonces, eso era lo que más me faltaba.

Este año, concretamente desde hace menos de un mes, he estado viendo un poco de código. Por lo que he podido ver, los desarrolladores del núcleo suelen poner un poco más de énfasis en la seguridad. Si bien esto es un indicador bastante positivo, hay que ser consciente también que las nuevas funcionalidades implican la aparición de nuevos problemas, o principalmente de nuevas formas de aprovechar (¿alguna traducción mejor para exploit?) las fallas de seguridad. El código es más complejo que antes y un cambio inocuo en una parte del código, puede ser la causa de un problema serio en otro lado. Sin embargo, tampoco hay que desesperar. Al ser un proyecto con una comunidad bastante grande, siempre habrán ojos que descubran este tipo de fallos y que nos permitan gozar de un blog relativamente más seguro.

Estén atentos los días a venir, antes de la publicación de la versión 3.2, se viene una actualización menor que corregirá algunos problemas de seguridad, unos serios y otros algo más triviales.

One reply on “WordPress, tres años después”

Comments are closed.