Bueno, pues haciendo una revisión de todas las plantillas que hemos publicado, estas son las que presentan el riesgo de seguridad del que hablábamos en el post anterior:

• Soul Vision
• Ultimate Blogger
• Xhilaration
• AdSensation Blue

Después de leer sobre este fallo he modificado lo más rápido posible las 4 plantillas afectadas y las he vuelto a subir de manera que los que se las descarguen a partir de ahora ya no tienen ningún riesgo en este aspecto. Lo malo es que al usar Filedropper como sistema de almacenamiento se han perdido las estadísticas de descarga de los archivos anteriores, pero bueno prefiero eso mil veces antes que no arreglar este desaguisado inesperado.

Si habéis implementado alguna de ellas y habéis hecho algunas modificaciones a mano en los archivos, deciros que en todos los casos el fallo se encuentra en las últimas líneas del archivo header.php (al menos yo no lo he visto en ningún otro sitio). Sólo tenéis que hacer la sustitución que os comentaba en el anterior post y arreglado, es un cambio muy sencillo y rápido y de esta manera no tendréis que subir la plantilla entera otra vez y no perderéis los cambios realizados.

Después de leer este artículo de Ayuda Wordpress me he puesto a revisar todas las plantillas que hemos traducido y he podido comprobar que algunas están afectadas por este posible riesgo de seguridad.

Según leemos en Ayuda Wordpress:

Todo proviene de un código muy utilizado por los desarrolladores de themes que puede resultar en un ataque Cross Site Scripting (XSS), y es el uso de la variable PHP_SELF sin precederla de htmlspecialchars.

La solución que allí proponen tiene un fallo según parece, lo que debemos hacer es comprobar nuestra plantilla (normalmente los archivos header.php, search.php, searchform.php y por seguridad también 404.php) y buscar el siguiente código (si está):

<?php echo $_SERVER['PHP_SELF']; ?>

Y cambiarlo por el siguiente:

<?php echo htmlspecialchars($_SERVER['PHP_SELF']) ?>

Espero poder adecuar esta misma noche las plantillas que tenemos ahora mismo subidas para que incorporen este cambio. También incluiré una lista de las plantillas afectadas.

PD: otra solución que se apunta en los comentarios de Ayuda Wordpress por parte por ejemplo de aNieto2k es cambiarlo por la siguiente función, la cual parece más adecuada que la anterior:

Visto que realmente creo que esta es la mejor opción (de hecho así es como está en las plantillas que no estaban afectadas por este riesgo de seguridad) recomiendo que hagáis esta implementación en vez de la anterior, y de hecho voy a reprogramar las plantillas y volverlas a subir con ella.