¿Es demasiado inseguro dejar activar plugins en wp mu?

luisgzafra · #1 (**permalink**) 22/07/2012, 09:53

Buenas, tengo una red de blogs en www.bz6.org con wordpress MU. Tengo activado el menú de plugins, para que cada uno instale el que quiera.

¿Es esto demasiado inseguro? Ya me dijeron varios, por eso pregunto...

Saludos!

Nekko · #2 (**permalink**) 22/07/2012, 13:26

Si, la verdad es que es inseguro. La mayoría de los plugins son bastante inofensivos, pero supongamos que un vivo se instala este plugin: http://wordpress.org/extend/plugins/wp-php-widget/, puede escribir el código php y javascript que quiera para ejecutarse en su blog, cierto? Me parece un poco riesgoso...

EDIT: En este momento tu sitio está caído, como si hubieses cambiado la password de la DB por una incorrecta en tu wp-config

luisgzafra · #3 (**permalink**) 22/07/2012, 13:47

Cita:

Iniciado por Nekko

Si, la verdad es que es inseguro. La mayoría de los plugins son bastante inofensivos, pero supongamos que un vivo se instala este plugin: http://wordpress.org/extend/plugins/wp-php-widget/, puede escribir el código php y javascript que quiera para ejecutarse en su blog, cierto? Me parece un poco riesgoso...

EDIT: En este momento tu sitio está caído, como si hubieses cambiado la password de la DB por una incorrecta en tu wp-config

Ya vuelve a estar, se paró mi servidor mysql. En los logs aparece (una pequeña cita del gran log...):

Cita:

Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [Warning] Checking table: './blog/wp_995_commentmeta'
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [ERROR] /usr/sbin/mysqld: Table './blog/wp_995_comments' is marked as crashed and should be repaired
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [Warning] Checking table: './blog/wp_995_comments'
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [ERROR] /usr/sbin/mysqld: Table './blog/wp_995_options' is marked as crashed and should be repaired
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [Warning] Checking table: './blog/wp_995_options'
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [ERROR] /usr/sbin/mysqld: Table './blog/wp_99_options' is marked as crashed and should be repaired
Jul 22 21:35:22 ks28535 mysqld: 120722 21:35:22 [Warning] Checking table: './blog/wp_99_options'

Ya se me colaron una vez con shell hack, así que tendré que ponerme a ver de los 126 plugins instalados, cual puede estar siendo inseguro.

Saludos, gracias

luisgzafra · #4 (**permalink**) 22/07/2012, 14:04

@Nekko, en http://fiddle.jshell.net/hAW4d/show/light/ está la lista de plugins que tengo de momento activos, ¿Alguno puede estar dando fallos?

Quiero quitar rápido el bug que sea, no me gusta que anden metiendose "hackers" en mi servidor... :S

Nekko · #5 (**permalink**) 22/07/2012, 14:37

Hola Luis! La verdad es que no tengo experiencia en redes de blog "abiertas" al público, pero mi "instinto" me dice que hay que reducir al mínimo los plugins por cuestiones de seguridad y rendimiento!

Todos los plugins que te permitan subir cosas al servidor (mas allá de un jpg, png, gif, pdf o esas extensiones convencionales) ya de por si me ponen los pelos de punta, y veo que tenés algunos plugins que son para subir jueguitos flash.

No sé bien que decirte... yo desactivaría todos los plugins y despacio iría activando de a uno en uno (y sólo los muy convencionales y necesarios, tipo formularios de contacto, iconos sociales y cosas no-riesgosas).

luisgzafra · #6 (**permalink**) 23/07/2012, 02:03

Nekko, los plugins de Wordpress MU, creo, solo pueden subir a la librería multimedia de wp, cada blog tan solo tiene 200Mb por lo que pocos juegos podrá subir y los archivos permitidos se limitan a: jpg jpeg png gif mp3 mov avi wmv pdf xml flv swf (Creo que no son peligrosos...)

Creo que te haré caso y eliminaré la mayoría de plugins, pondré un form para el que no encuentre el plugin, que lo pida y así ir poniéndolos poco a poco y asegurándome de que no son un riesgo

Saludos y gracias!