Categories
JavaScript Quiz Seguridad Web WordPress XSS

Filtro de datos – Solución

El código mostrado en el último quiz, en realidad es una función de WordPress que era vulnerable a XSS. Pongo la solución en una nueva entrada porque intentaré describir algunos de los errores que cometí al intentar explotar el bug mencionado en una entrada anterior.

Categories
CSRF WordPress XSS

Cross Site Scripting (XSS) en WordPress

Nota: Este post ha sido escrito luego de reportar los fallos al equipo de desarrollo de WordPress.

Hoy acabo de reportar dos fallos de seguridad en WordPress que permiten realizar XSS a sitios que utilizen WordPress como plataforma para sus blogs.

El primer bug, que necesita la intervención de un usuario o administrador del blog, consiste en enviar una URL -especialmente preparada para evadir los filtros- a través del formulario de comentarios.

El segundo bug tiene que ver con los plugins, si bien es cierto que éstos pueden hacer prácticamente cualquier cosa una vez activados, existe la posibilidad de que un plugin -no activado- con una simple modificación de su metadata (nombre, autor, url, etc) pueda insertar HTML o javascript en la página destinada a listar/activar/desactivar los plugins.

El segundo bug, fue corregido en la versión de desarrollo.

Si bien es cierto que estos bugs no son muy graves y dependen más que todo del cuidado que tengamos nosotros, no está de más corregir estos errores en el código de WordPress para evitar problemas posteriores.

Nota 1: Si todavía no han parchado el bug que hace unos días comentaba Armonth, háganlo cuanto antes que ya se liberó un exploit que utiliza CSRF para hacer efectivo el ataque.

Categories
PHP Utilidades WordPress

Plugin para eliminar partes del contenido de una entrada en los feeds

Preparé un pequeño plugin que elimina partes del contenido de una entrada en los feeds. Esta característica es útil cuando WordPress está configurado para mostrar las entradas completas y por alguna extraña razón se necesita ocultar parte del contenido a los lectores que siguen el blog a través de RSS o Atom.

Categories
Spam Varios WordPress

Los comentarios temporalmente entran en moderación

Hoy este -pequeño- blog recibió una cantidad considerable de spam en tan solo unas cuantas horas, lo peor de todo esto es que todos los comentarios pasaron como "buenos" sin que Akismet pueda hacer algo al respecto*.

Esta es una pequeña muestra del "ataque" de hoy:

Spam referer

Debido a que últimamente ando algo ocupado, he tomado la decisión de moderar los comentarios -al menos hasta que encuentre una solución, puesto que me resulta más fácil hacer eso que estar borrando manualmente el spam.

¿Alguien conoce o ha desarrollado algún plugin para evitar los spam floods?

*: Akismet se basa en los aportes que hacen diferentes bloggers al marcar un comentario como spam, pero si tienes la mala suerte de que nadie haya hecho ese trabajo sobre un comentario X, pues estás en problemas.

Categories
CSRF Fresqui PHP Utilidades WordPress

Tus Visitantes + Fresqui + WordPress = Posible IPod

Desde que Fresqui -un servicio parecido a Digg o Menéame- anunció que iba a pagar a los usuarios que envíen contenidos de calidad y colaboren con la comunidad de Fresqui, seguramente muchos de los usuarios de ésta se han puesto "las pilas" para participar más.