Utilizando wp-scanner en BlogSecurity han analizado 1000 blogs creados con WordPress para descubrir las plantillas que son vulnerables a ataques XSS.
El resultado sin duda llama la atención ya que se han encontrado 115 blogs (un 11.5% del total de la muestra) con plantillas vulnerables y llama poderosamente la atención el tercer puesto (K2) por su popularidad junto al quinto que es la plantilla por defecto.
Nunca me han acabado de gustar las plantillas prefabricadas, sobretodo las que son del estilo K2: hacen muchísimas cosas. Tantas que me sobran demasiadas. Entiendo que se hace para poder personalizar al máximo las necesidades de la gente pero algunas plantillas en vez de ser para mostrar información parece que tienen más código de programación que el propio CMS.
La cosa no queda así: de la muestra elegida (el 11.5%) son sólo aquellos que tienen el nombre de la plantilla por defecto por lo que permiten generar un top 10 de plantillas usadas más vulnerables pero de las 1000 probadas la cantidad asciende a 220: el 22%. Eso le debe doler a más de uno.
Algún día tengo que escribir de la realidad de WordPress frente a la seguridad, los esfuerzos que se están realizando para asegurarlo, etcétera. De momento esta muestra viene a afirmar algo: no vale con actualizar el blog y los plugins, también hay que actualizar las plantillas.
Comentarios