Muchos usuarios de WordPress (2.3.1 incluida) se están encontrando con comentarios y entradas que tienen iframes insertados.
Lo comenta Andrés Nieto y el ticket correspondiente es el 5313.
Normalmente en los comentarios no se pueden insertar iframes y en las
entradas para hacerlo hay que tener permisos (concretamente el
unfiltered_html). Pero sin embargo muchos usuarios se están
encontrando spam y otras cosas en forma de iframes. Todavía no se sabe
la causa: ni siquiera si es un bug de WordPress que permite insertarlo o
si se ha robado la contraseña de administrador de los blogs afectados y
con ella se ha hecho el desaguisado.
Por lo tanto lo poco que se puede hacer es revisar que no haya
entradas/comentarios con iframes, hacer copias de
seguridad
y restringir con mod_security.
Para lo primero, Andrés ya nos da una manera: consultas SQL;
// Para los comentarios: SELECT * FROM 'wp_comments' WHERE 'comment_content' LIKE '%<iframe%'; // Para las entradas: SELECT * FROM 'wp_posts' WHERE 'post_content' LIKE '%<iframe%';
Para estar "limpios" ambas sentencias no deberían devolver resultados a no ser que hayamos insertado manualmente un iframe nosotros por algún otro motivo.
El uso de mod_security escapa un poco a mis conocimientos pero en
gotroot
hay un script que impide la carga de iframes, el problema es que
habría que adaptarlo para permitir Google Adsense u otros sistemas que
usamos y usan iframes.
También podemos de forma temporalmente añadir una contraseña
extra
vía htaccess / htpasswd para que en caso de que finalmente sea
mediante vulnerabilidad y posterior robo de contraseñas, lo tengan un
poco más difícil.
Comentarios