Total Donations 2.0.5

Los plugins abandonados son quizá uno de los mayores problemas que tiene WordPress hoy en día, y el ejemplo está en Total Donations.

Este plugin ya eliminado, permitía leer y escribir prácticamente cualquier dato en la base de datos de WordPress sin una dificultad extrema mediante las llamadas AJAX.

function miglaA_update_me() {
  $key = $_POST['key'];
  $value = $_POST['value'];
  update_option( $key , $value);
  die();
}

Pero no es todo porque además permitía recuperar y modificar la información de los planes de pago de Stripe con el que te podrías conectar.

$plan = MStripe_Plan::create(
  array(
    "amount" => $_POST['amount'],
    "interval" => $_POST['interval'],
    "interval_count" => $_count,
    "name" => $_POST['name'],
    "currency" => get_option('migla_default_currency'),
    "id" => $_POST['id']
  )
);

El análisis, muy extenso, realizado por el equipo de Wordfence da mucho a pensar en la responsabilidad que tienen los desarrolladores sobre la seguridad de los sitios, y si WordPress debería disponer de algún sistema de alertas integrado que avise de plugins obsoletos.

Deja un comentario