Aspectos de seguridad en WordPress (3/4)

Continuando con esta seria de aspectos de seguridad en WordPress, hoy voy a comentarles sobre la detección y el uso de pluguins.

Como sabemos WordPress permite utilizar multitud de plugins para mejorar su aspecto y rendimiento o para añadir alguna funcionalidad no soportada. Estos pluguins también pueden resultar ser un punto de vulnerabilidad.

Por defecto una vez instalado WordPress este trae 2 pluguins, Askimet para controlar el spam en el sector de comentarios (también se puede usar un pluguin para colocar un captcha code) y Hello Dolly que solo muestra de forma aleatoria un fragmento de una canción con el mismo nombre (no sirve para nada y nos gasta recursos).

Para comprobar la existencia de un determinado plugin es suficiente con buscar el directorio con el nombre del plugin y se obtendrá un listado del mismo o un error 403 (Forbidden). Es decir, se puede disponer de un listado con aquellos plugins que presentan alguna vulnerabilidad y comprobar su existencia llamando al mismo desde la barra de navegación. Una vez detectado se puede intentar explotar alguna de las vulnerabilidades que tenga el mismo. Por ejemplo si queremos hacer con Askimet pondriamos

http://www.nombre_blog.algo/wp-content/plugins/akismet/

También es ideal deshabilitar los editores internos que trae WordPress, uno es el editor de plugins y el otro el editor de themes que no suelen utilizarse casi nunca. Lo recomendable es utilizar editores externos y deshabilitar estos por las dudas je. Es posible reactivarlos en caso de necesidad en cualquier momento. Para desactivar estos editores hay que añadir la siguiente línea en el archivo “wp-config.php” (no esta en el directorio del theme).

define('DISALLOW_FILE_EDIT',true);

  • Willigran

    Excente aporte!….Disculpa como se hace para que la gente no pueda copiar el contenido, tal y como lo tienes en esta web.