Es común que en el diseño gráfico de los blogs hechos en WordPress, sea código modificado de la instalación original del WordPress que se va a trabajar. Es lo habitual para poder trabajar la imagen gráfica del sitio web, pero tiene muchas más implicaciones de las que se conocen comúnmente.
En este artículo nos vamos a enfocar en el tema de la seguridad. WordPress es muy personalizable, ya que la modularidad de su código le permite mover a gusto bloques de texto, imágenes, esquematizando la información que se va a mostrar. Muchas veces instalamos plugins que si bien añaden funcionalidad extra al sitio web, también podrían poner en riesgo la seguridad e imagen del mismo.
Cuando modificamos el código de un sitio web, debemos tener precauciones de no dejar agujeros de seguridad de los cuales los atacantes se puedan aprovechar. Sucede mucho que si desarrollamos nuestro propio módulo de comentarios, y no validamos el texto introducido, podemos ser víctimas de ataques XSS o Inyecciones SQL. Lo peligroso de un XSS es que se puede robar la ‘cookie’ del administrador y por lo tanto, tomar control del contenido del portal. Muchos ataques son de carácter difamatorio, ya que introducen texto que insultan el manejo de la seguridad por parte del administrador.
Es indispensable que aquellos diseñadores gráficos o programadores que los asistan, se informen en técnicas de programación segura, para mitigar estos ataques. Una buena fuente de información es Open Web Application Security Project (OWASP), ya que ellos documentan no sólo las estadísticas de los ataques, sino que también tienen manuales teórico-prácticos que te ayudan como programador (a nivel de código), proteger la integridad de sitio web.
Fuente: Ivan Montilla (@indigoccs)