Actualización de seguridad – WordPress 3.0.4

Empiezo a escribir para TodoWordPress, con un pequeño artículo informandolos acerca de algo que descubrí el día de ayer, una nueva actualización de WordPress la 3.0.4, como las anteriores esta es de seguridad y es sobre el KSES la librería usada para sanear y “manosear” el html que escribimos en los artículos y paginas.

Cuando descubrí que WordPress “manoseaba” saneaba el html que escribimos no me pareció correcto y una perdida de tiempo de procesamiento, sin embargo en proyectos compartidos de multiples usuarios es importante definir ciertas reglas sobre lo que se puede escribir claro en términos de html, por seguridad buena parte del html para los autores esta restringido, cosas como los iframes y demás, pero de la librería KSES podre hablar en algún otro artículo.

¿Pero cual fue la falla de seguridad?

parece que esta le permite a un atacante insertar código del lado del cliente, es un ataque de tipo XSS claro que el atacante tiene que ser un usuario de tipo autor cuando menos, los detalles del código que ha sido actualizado puede verse en el trac de WordPress.

¿Qué hacer si mi sitio hae sido víctima de un ataque XSS?

Si ya te han atacado actualizar wordpress no servirá de mayor cosa que no sea evitar más ataques, por que el daño ya se hizo a la base de datos, lo correcto es sanearla artículo por artículo.

Espero que este artículo les sirva para entender un poco más esta actualización de WordPress.

Comentarios
  1. Muy interesante, ah ponerlo en marcha.

    Escrito el07/04/2011
  2. Madre mía, como tengas que arreglar artículo por artículo te puede dar algo como sea un blog muy rodado…

    Escrito el07/07/2011
  3. Late. .Great story..

    Escrito el11/07/2011
  4. Excelente…

    Escrito el28/10/2011

DEJA TU COMENTARIO