Navigator Internet Solutions, Inc | Community  

Go Back   Navigator Internet Solutions, Inc | Community > Foros en Español > Ofertas Especiales y Soporte Técnico
Plugins INSEGUROS para Wordpress - EVITA HACKEOS Plugins INSEGUROS para Wordpress - EVITA HACKEOS
Register FAQ Members List Calendar Search Today's Posts Mark Forums Read

Welcome to the Navigator Internet Solutions, Inc | Community forums.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so please, join our community today!

If you have any problems with the registration process or your account login, please contact us.

Ofertas Especiales y Soporte Técnico En estos foros postearemos las nuevas ofertas en tu idioma, el español. Este es el lugar correcto para realizar preguntas de pre-venta y recibir soporte.

Reply
 
LinkBack Thread Tools Display Modes
  #1 (permalink)  
Old 04-17-2007, 12:20 PM
NIS-Francisco's Avatar
NIS-Francisco NIS-Francisco is offline
Administrator
  
Join Date: Dec 2003
Posts: 528
Send a message via ICQ to NIS-Francisco Send a message via AIM to NIS-Francisco Send a message via MSN to NIS-Francisco Send a message via Yahoo to NIS-Francisco
Default Plugins INSEGUROS para Wordpress - EVITA HACKEOS
Agradecimiento a Maty por el Link.

A continuación muestro una pequeña lista de plugins para Wordpress que tienen problemas de seguridad o rendimiento y por lo tanto, no deberían ser utilizados tal cual son descargados; si tienen instalado alguno de éstos, pueden desactivarlos, ponerse en contacto con el autor o solucionar los problemas por sus propios medios - corregí algunos plugins que menciono, pero muchos de los cambios que hago, son específicos para este blog
  • Acronym Replacer Revisited: Además de los problemas de rendimiento anteriormente descritos, es vulnerable a ataques XSS y CSRF, gracias a este último es posible insertar y ejecutar código PHP arbitrario.
  • Spam Karma 2: Me recomendaron este plugin hace poco y a pesar de lo bueno que parece ser, finalmente lo descarté porque es vulnerable a ataques XSS, CSRF y SQL Injection - ya se imaginarán lo que puede pasar con los datos de sus blogs.
  • Adsense-Deluxe: No realiza ninguna protección contra ataques CSRF, usando este último es posible persistir HTML arbitrario (¿XSS o HTML Injection?).
  • Google Analytics: Falla al intentar protegerse contra ataques CSRF (no es suficiente usar la función check_admin_referer) y cae en el mismo problema que Adsense-Deluxe.
  • catcloud: Ídem al problema que tiene Adsense-Deluxe.
  • Google (XML) Sitemaps: Ídem al problema que tiene Adsense-Deluxe.
  • Related Posts: Ídem al problema que tiene Adsense-Deluxe. Si se usa la versión que incluye el soporte para páginas no encontradas (404), entonces es posible hacer SQL Injection en los blogs que lo usen.
  • Audio player: Ídem al problema que tiene Adsense-Deluxe.
  • wp-cache 2.1: En realidad pongo esta versión del plugin porque Dreamhost todavía sigue instalando la versión vulnerable de wp-cache, que tiene un problema similar a Adsense-Deluxe. Pueden actualizar manualmente a la versión 2.1.1 para corregir este fallo.
  • Pagebar: Es vulnerable a ataques XSS en versiones recientes de Wordpress
Imagino que esta lista puede crecer indefinidamente pero los que muestro aquí, son aquellos con los que tuve/tengo contacto en este blog y en otros que ayudé a poner a punto.
Nota: Por obvias razones, no voy a publicar detalles o pruebas de concepto de los problemas de seguridad. Por otro lado, por falta de tiempo, sólo me puse en contacto con algunos autores.
A excepción de wp-cache, los problemas mencionados están presentes en las últimas versiones de los plugins.
__________________
Best Regards,
Francisco Mazzeo
Navigator Internet Solutions, Inc
Resource-Shack
Reply With Quote
Reply

« Segundo dominio en mi Hosting | dirección bbdd mysql »


Currently Active Users Viewing This Thread: 1 (0 members and 1 guests)
 
Thread Tools
Display Modes
Linear Mode Linear Mode

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are On

Similar Threads
Thread Thread Starter Forum Replies Last Post
Actualización para Joomla!: 1.0.11 lbarriocanal Ofertas Especiales y Soporte Técnico 0 09-01-2006 04:26 AM
Implementacion de un Cluster DNS para proveer un mejor servicio NIS-Francisco Noticias 0 08-22-2006 12:13 AM
Lista oficial de extensiones para Joomla inseguras lbarriocanal Ofertas Especiales y Soporte Técnico 1 08-13-2006 06:45 PM
Mantenimiento de Emergecia debido a Hackeos en Sitios Joomla NIS-Francisco Noticias 0 07-18-2006 06:03 PM
Referente a Wordpress en tu sitio web :: Advertencia de Seguridad NIS-Francisco Noticias 6 08-20-2005 08:16 AM


All times are GMT -4. The time now is 06:07 AM.

Contact Us - Navigator Internet Solutions, Inc - Archive - Privacy Statement - Top

Powered by: vBulletin
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Search Engine Friendly URLs by vBSEO 3.0.0 RC6
Copyright © 2003-2005 Navigator Internet Solutions, Inc (NIS - NavigatorIS). All Rights Reserved.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106