domingo, 8 de julio de 2012

Uploadify, nueva amenaza de seguridad incluido en plugins y temas WordPress

Uploadify, nueva amenaza de seguridad incluido en plugins y temas WordPress:

Si ya avisé sobre el peligro de Timthumb, utilizado como sistema de gestión de miniaturas por muchos temas WordPress, es ahora otro script, este para facilitar la carga de archivos, y utilizado tanto por temas como por plugins WordPress, el que amenaza la integridad de cualquier instalación de WordPress inconsciente de su peligro.

Según varios informes de la web especializada en seguridad informática Sucuri, Uploadify, un script que permite que usuarios no registrados, sin credenciales en WordPress, suban archivos al servidor, es una amenaza potencial de seguridad, pues se puede usar para abrir puertas traseras, insertar troyanos o lo que sea.
Bien es cierto que es muy útil, y facilita acciones como que usuarios anónimos participen en una comunidad creada con WordPress mediante la carga de imágenes o similares, pero esta misma facilidad es su peligro.
Temas tan populares como los de Woothemes, o plugins tan utilizados como Uploader, WP Symposium o 1 Flash Gallery, usan este script para este cometido, por lo que serían susceptibles puertas abiertas a inyecciones de código no deseadas.
Si quieres saber si tu tema WordPress o algún plugin utiliza este script busca en todo el directorio “/wp-content/” y sus subdirectorios alguna carpeta denominada “uploadify” o el archivo “uploadify.php“, y si no tienes claro su uso o puedes prescindir de el, desactívalo inmediatamente, y busca otro tipo de solución para tus visitantes.
También puedes hacer una comprobación mediante un script que ha creado Sucuri. Descarga este archivo (sucuri_wp_check.txt), lo renombras cambiando la extensión txt a php y lo subes al directorio raíz de tu instalación de WordPress y lo ejecutas así:
http://tudominio.com/sucuri_wp_check.php
El script te informa tanto de posibles vulnerabilidades de Timthumb como de Uploadify.

No hay comentarios:

Publicar un comentario