WordPress: Lista de plugins no recomendados

Lista de plugins para Wordpress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser instalados o utilizados tal cual son descargados.

Post author By alex
Post date 17 abril 2007
30 Comments on WordPress: Lista de plugins no recomendados

A continuación muestro una pequeña lista de plugins para WordPress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser utilizados tal cual son descargados; si tienen instalado alguno de éstos, pueden desactivarlos, ponerse en contacto con el autor o solucionar los problemas por sus propios medios - corregí algunos plugins que menciono, pero muchos de los cambios que hago, son específicos para este blog 🙁

Acronym Replacer Revisited: Además de los problemas de rendimiento anteriormente descritos, es vulnerable a ataques XSS y CSRF, gracias a este último es posible insertar y ejecutar código PHP arbitrario.
Spam Karma 2: Me recomendaron este plugin hace poco y a pesar de lo bueno que parece ser, finalmente lo descarté porque es vulnerable a ataques XSS, CSRF y SQL Injection - ya se imaginarán lo que puede pasar con los datos de sus blogs.
Adsense-Deluxe: No realiza ninguna protección contra ataques CSRF, usando este último es posible persistir HTML arbitrario (¿XSS o HTML Injection?).
Google Analytics: Falla al intentar protegerse contra ataques CSRF (no es suficiente usar la función check_admin_referer) y cae en el mismo problema que Adsense-Deluxe.
catcloud: Ídem al problema que tiene Adsense-Deluxe.
Google (XML) Sitemaps: Ídem al problema que tiene Adsense-Deluxe.
Related Posts: Ídem al problema que tiene Adsense-Deluxe. Si se usa la versión que incluye el soporte para páginas no encontradas (404), entonces es posible hacer SQL Injection en los blogs que lo usen.
Audio player: Ídem al problema que tiene Adsense-Deluxe.
wp-cache 2.1: En realidad pongo esta versión del plugin porque Dreamhost todavía sigue instalando la versión vulnerable de wp-cache, que tiene un problema similar a Adsense-Deluxe. Pueden actualizar manualmente a la versión 2.1.1 para corregir este fallo.
Pagebar: Es vulnerable a ataques XSS en versiones recientes de WordPress

Imagino que esta lista puede crecer indefinidamente 🙂 pero los que muestro aquí, son aquellos con los que tuve/tengo contacto en este blog y en otros que ayudé a poner a punto.

Nota: Por obvias razones, no voy a publicar detalles o pruebas de concepto de los problemas de seguridad. Por otro lado, por falta de tiempo, sólo me puse en contacto con algunos autores.

A excepción de wp-cache, los problemas mencionados están presentes en las últimas versiones de los plugins.

30 replies on “WordPress: Lista de plugins no recomendados”

(Sorry for posting in English, but I'm too ashamed of my Spanish to subject you to my very poor command of the language. Feel free to reply in Spanish, though)

It is the very first time ever that I hear anything about any sort of exploit involving SK2. SQL, XSS or otherwise. I think, you might be confused with some other program.
If you know of any such exploit, please do contact me with any detail you have, so I can look into it.

Thanks.

Dave, I'm not confused about SK2 security problems 🙂 , I've already sent you a mail with some proof of concepts.

Justo iba a pedirte que avisaras al autor del Spam Karma 2, Dave. Acabo de deshabilitarlo en la bitácora de Quiñonero.

También ayer instalé el del sitemap para Google, que ahora liquido.

Mucho me temo que la mayoría de plugins sufren esos males, sobre todo los que utilizan el peligroso javascript para su funcionamiento.

A lo que iba, he vuelto a implementar Comment Quicktags 1.9 (ya no tiene soporte, usa javascript) para incorporar botones para la edición enriquecida de los comentarios, que he traducido y modificado. Estoy a la espera de saber si provoca un exceso de consumo de CPU como antaño para anotar al respecto y compartirlo con los demás.

Pues eso, te agradecería muy mucho que echaras un vistazo al plugin. Por correo te envío el original y el modificado/traducido.

Nota: años ha, David F. Madrid en la extinta Nautopía era quien se encargaba de buscar tales fallos de seguridad, reportando unos cuantos XSS de gran gravedad.

Alex, necesito tu cuenta de correo para enviarte el zip. He localizado la de Braulio.

Mis datos:

Cuenta de correo: cuenta-correo-maty.png
Claves Públicas: http://nauscopio.nireblog.com/cat/contacto

@maty: Mis datos están en la página de contacto, pero para ahorrarte unos cuantos clics puedes escribirme a [alex at buayacorp dot com]

Enviado el correo (firmado digitalmente, como es mi costumbre).

Greetings Alex,

Unfortunately, I only speak English - for the benefit of your Spanish-only readers, Google's translation of this message can be found below.

Thanks for the report of a CSRF in my catcloud plugin. Would you be able to send me any more information.

Also, I note that you are using the catcloud plugin on this site. Does this mean that you have a corrected version of the plugin? 🙂

Cheers!
--zak

Saludos Alex, Agradece por el informe de un CSRF en mi catcloud plugin. Podrías enviarme más información. También, observo que estás utilizando el catcloud plugin en este sitio. ¿Este medio que tienes una versión corregida del plugin? 🙂 ¡Aclamaciones! --zak

(via http://www.google.com/translate_t)

[...] over at http://www.buayacorp.com posits (in Spanish) that catcloud is vulnerable to cross-site request forgeries (CSRF) - he may well be right. I’ve asked him for more [...]

Alex,

I haven't received any notice about security exploits in SK2. Your message may have somehow gotten lost on the way: can you please re-send it?

@Zak: I'm using a modified version of your plugin, btw, please check your inbox to know more details about the vulnerability.

@Dave: I've sent you again the mail, please check your spam folder if it doesn't appear.

Alex,

I checked everywhere and I have only one mail from you (Alexander C.) but it is on an entirely unrelated topic (the wp-plugins.net website). Can you please make sure you use the email address I am commenting with. Or alternatively, you can use the contact form on my website, as I know it works.

Thanks.

quien te entiende hablas de
http://www.buayacorp.com/wp-content/plugins/adsense-deluxe.php

http://www.buayacorp.com/wp-content/plugins/sitemap.php

http://www.buayacorp.com/wp-content/plugins/related-posts.php

http://www.buayacorp.com/wp-content/plugins/pagebar.php

y si los has arreglado por que no enseñas como lo as hecho, eh tomado foto a esto para que despues no lo quites como siempre lo haces cuando te dicen la verdad

#12, lee atentamente el primer párrafo y luego intentas hacer de troll...

Por cierto, ¿puedes recordarme cuándo quité algo?

Ese master rcdsvidita 😛

Gran trabajo Alex, felicitaciones.

[...] a este tipo de ataques, por lo cual, si vuestro blog les importa, deben tener cuidado con los plugins y temas que instalan o [...]

[...] Incluso hay un blog, BuyaCorp que publica su lista de plugins no recomendados para wordpress [...]

[...] muchos hemos publicado artículos sobre problemas de seguridad tanto del core de WordPress como de algunos plugins, también se publicó material sobre como desarrollar plugins seguros y hasta dado consejos para [...]

[...] los AdSense en WordPress muy superior al famoso Adsense-Deluxe que por cierto forma parte de la lista de plugins que no debes instalar en wordpress creada por alex de [...]

Alex, podrias ofrecer alguna opción diferente para el plugin Google (XML) sitemaps?, a decir verdad no he visto alguno parecido.

@Angelfire: Lo siento, no sé si exista algún plugin similar a Google sitemaps.

Saludos

[...] SimpleTags - A WordPress Plugin for generating Technorati Tags Add-Meta-Tags WordPress Plugin WordPress: Lista de plugins no recomendados [...]

[...] - A WordPress Plugin for generating Technorati Tags Add-Meta-Tags WordPress Plugin WordPress: Lista de plugins no recomendados Catcloud Wordress Plugin Updated for WordPress 2.1 A Tagging Bookmarklet for WordPress and [...]

[...] problemas o vulnerabilidades a ataques de algunos payasos que pudieran tener estos componentes (en Buayacorp muestras algunos plugins vulnerables a ataques), pero si algo hay que admitir, es que quienes usamos un cms en wordpress, definitivamente andamos [...]

Seguridad y plugins de WordPress peligrosos...

Se han dado a conocer los resultados del concurso de la competición de hacer plugins para WordPress, lo cual ha originado una expectación importante…

El problema viene ahora que los plugins ganadores no son ningún alarde de seguridad siendo p...

Guau! Es bueno saber cosas como ésta...

No quiero pecar de "pedigüeño", pero se me ocurre como "agregado" para un próximo post similar, que estaría bueno que digas si encontraste algún plugin con funcionalidad similar y sin tantas fallas... Lo digo porque personalmente no tengo idea de éstas cosas y uso varios de los plugins mencionados...

Muy bueno el post, ahora veré que hago con eso!

Saludos!

es todo verso, no tienen problema de seguridad ninguno de los mencionados anteriormente salvo el ARR

juanma: tienes razón, es todo verso luego que esta entrada se haya escrito hace más de 9 meses. 🙂

Hola Alex, yo probe el plugin de Related Post y lo tuve que desinstalar, al poco tiempo encontre el plugin Add Post Footer y la verdad estoy mas que satisfecho.

Hola Nebula, le daré una mirada, aunque con las modificaciones que le hice a la versión que tengo también estoy satisfecho. 🙂

Comments are closed.