jueves, 20 de junio de 2013

Plugins de Wordpress vulnerables

La empresa de seguridad Checkmarx ha publicado un informe donde tras varios análisis dictaminan que más el 18% de los 50 plugins más populares en la plataforma de blogs Wordpress son vulnerables a diferentes tipos de ataques y hacking, lo que supone alrededor de ocho millones de estos plugins descargados en diferentes blogs.


Además analizando el tipo de estos plugins han determinado que 10 de ellos están enfocados al comercio electrónico y son vulnerables a diferentes atanques, suponiendo estos una cifra de más de 1,7 millones de descargas actuales.

Las vulnerabilidades más comunes son:
  • SQL Injection (SQLi): Permite ejecución de código. 
  • Cross Site Scripting (XSS): Permite ejecutar scripts en el lado de cliente en los procesos de bypass. 
  • Cross Site Request Forgery (CSRF). Permite al atacante ejecutar una aplicación en nombre de la víctima. 
  • Remote/ Local File Inclusion (RFI/ LFI): Permite la subida de archivos maliciosos al servidor 
  • Path Traversal: Permite el rastreo de la páginas web. 

La procedencia del fallo de seguridad está clara para Checmarx: los administradores no comprueban la fiabilidad y seguridad estos plugins a la hora de implantarlos, no siendo sólo un error y responsabilidad del desarrollador.

Recuerda pues que si usas Wordpress ya sea del servicio web o del servicio disponible en tus NAS debes tener cautela con el uso de widgets y plugins de terceros, que estén disponibles no indican que sean seguros.

0 comentarios:

Publicar un comentario

Share

Twitter Delicious Facebook Digg Stumbleupon Favorites More