Aspectos de seguridad en WordPress (4/4)

Este capítulo trata sobre la revelación de la ruta de instalación de WordPress y a evitar los Script Injections (conocido también como XSS).

Revelación de la ruta de instalación de WordPress 

Esta es otra vulnerabilidad aun no solucionada en la ultima versión (3.3) la cual permite  obtener la ruta completa de instalación (path disclosure) en el servidor mediante un mensaje de error que generan los scripts en PHP. Es posible obtener dónde se encuentra instalado WordPress dentro de la estructura de directorios llamando directamente al script “wp-settings.php”. Por ejemplo tipeamos lo siguiente en la barra de dirección del explorador,

http://www.nombre_blog.algo/wp-settings.php/

El mensaje  obtenido se puede ver en la siguiente imagen en donde se muestran las rutas dentro del file system del servidor.

Para evistar esta vulnerabilidad hay dos formas:

Read the Rest