Como un proyecto de investigación interesante echó un vistazo a los plugins abandonados en el repositorio de WordPress. Su trabajo enumera los plugins más antiguos abandonados en el repositorio de plugins de WordPress.

Un plugin abandonado es uno que no ha sido actualizado desde hace varios años. Hay varios plugins que tienen una gran número de instalaciones que no se han actualizado desde hace algún tiempo:

“Exec-PHP plugin Sören Weber tiene más de 100.000 instalaciones activas a pesar de que no ha sido actualizado desde junio de 2009. Categoy Order por Wessley Roche cuenta con más de 90.000 activa instala a pesar de que se actualizó por última vez en Mayo de 2008. Ultimate Google Analytics Wilfred van der Deijl tiene más de 80.000 instalaciones y la última actualización fue hace más de nueve años “.

Damos un vistazo al repositorio de plugins y descubrimos lo siguiente:

  • Actualmente hay un total de 37.300 plugins disponibles en el repositorio the WordPress.org
  • 17.383 de esos plugins no se han actualizado en los últimos 2 años.
  • 13.655 plugins tienen una etiqueta de compatibilidad de 3.x. WordPress 4.0 fue lanzado en septiembre de 2014.
  • 3.990 plugins no se han actualizado desde 2010, que es de hace más de 7 años.
  • Hay 29,892 plugins de WordPress adicionales en el repositorio de código fuente del plugin que no figuran en WordPress.org en el directorio de plugins.

Los plugins sin mantenimiento con vulnerabilidades

Durante el análisis, se han encontrado 18 plugins abandonados que se encuentran actualmente disponibles para la instalación desde el repositorio de plugins de WordPress que parecen tener vulnerabilidades que no han sido solucionadas. En cada caso, el plugin no se ha actualizado durante 2 años o más. Algunos de ellos tienen miles de instalaciones activas.

También encontramos 4 plugins (marcados con asteriscos en la tabla de abajo) que han fijado una vulnerabilidad, pero su solución fue liberada de tal manera que los usuarios existentes no se actualizan a la versión más reciente resuelta. En cada caso, el autor realizó una solución al plugin, pero no ha actualizado el número de versión y etiquetado correctamente en el repositorio de plugins, por lo que sus usuarios siguen siendo vulnerables.

La siguiente tabla muestra los plugins que nos encontramos, junto con el número de instalaciones activas y los detalles sobre cada vulnerabilidad. Varios plugins se enumeran varias veces, ya que han tenido múltiples vulnerabilidades

Ten en cuenta que todas las vulnerabilidades publicadas aquí son conocidadas desde hace 2 a 3 años . Estas son todas las viejas vulnerabilidades que han sido dadas a conocer públicamente y no han sido solucionadas por el autor del plugin.

Qué hacer si se utiliza uno de los plugins más arriba

Si el plugin no está marcado con un asterisco, sugerimos deshabilitar el plugin y lo boraralo de su web. Ponerse en contacto con el autor del plugin y pedir aclaraciones sobre si el plug-in tiene una vulnerabilidad o no.

Si el plugin está marcado con un asterisco, lo puede desactivar y eliminar. A continuación, vuelva a instalarlo y usted debe tener una versión más reciente. No hemos auditado los plugins individuales para la seguridad por lo que no podemos verificar si una vulnerabilidad ha sido ampliamente fijo.

Nombre Plugin Plugin URL
WP PHP widget* https://wordpress.org/plugins/wp-php-widget/
WP Post to PDF https://wordpress.org/plugins/wp-post-to-pdf/
Spreadsheet https://wordpress.org/plugins/dhtmlxspreadsheet/
Bookmarkify https://wordpress.org/plugins/bookmarkify/
Xorbin Digital Flash Clock https://wordpress.org/plugins/xorbin-digital-flash-clock/
Image Metadata Cruncher https://wordpress.org/plugins/image-metadata-cruncher/
FAQs Manager https://wordpress.org/plugins/faqs-manager/
Easy Banners https://wordpress.org/plugins/easy-banners/
The Crawl Rate Tracker https://wordpress.org/plugins/crawlrate-tracker/
ThinkIT WP Contact Form https://wordpress.org/plugins/thinkit-wp-contact-form/
WordSpew* https://wordpress.org/plugins/wordspew/
bib2html* https://wordpress.org/plugins/bib2html/
Dynamic Font Replacement DFR4WP EN https://wordpress.org/plugins/dynamic-font-replacement-4wp/
Floating Tweets https://wordpress.org/plugins/floating-tweets/
A to Z Category Listing https://wordpress.org/plugins/a-to-z-category-listing/
Spicy Blogroll https://wordpress.org/plugins/spicy-blogroll/
stripShow* https://wordpress.org/plugins/stripshow/
Page Showcaser Boxes https://wordpress.org/plugins/page-showcaser-boxes/
Monetize https://wordpress.org/plugins/monetize/
Starbox Voting https://wordpress.org/plugins/starbox-voting/
Blogstand Banner https://wordpress.org/plugins/blogstand-smart-banner/

Si eres webmaster de un sitio de WordPress, es importante que evalúes cada plugin cuidadosamente antes de instalarlo. Comprueba cuánto tiempo ha pasado desde la última actualización. Si han pasado más de 2 años, debea pensar dos veces antes de instalar el plugin. Debes considerar poder llegar al autor o publicar en el foro de soporte para obtener más información.

El repositorio de plugins es uno de los mayores activos de WordPress, ya que proporciona una gran cantidad de código y un gran número de aplicaciones que se extienden para WordPress. También es completamente abierto y cualquiera puede contribuir. No hay proceso de auditoría de código fuente o el análisis formal de seguridad realizado en un plugin cuando se presentó.

Un gran número de actualizaciones del plugin se someten al repositorio de WordPress todos los días. Por esta razón, es importante que adquieraa al menos una comprensión básica de quién está detrás de un plugin en particular antes de instalarlo. Aquí hay algunos pasos que puedea tomar para evaluar si debe usar un plugin:

  • Controlar el valor promedio plugin.
  • Comprobar cuándo se actualizó por última vez.
  • Comprueba que es compatible con la versión actual de WordPress.
  • Comprueba el número de instalaciones activa el plugin tiene. Algunos plugins fiables y útiles se instala según los números, pero se debe examinar cuidadosamente si un plugin que tiene una base instalada bajo (por debajo de 1.000 instalaciones activas). No se puede mantener.

Puedes encontrar toda esta información cuando se agrega el plugin en WordPress. Simplemente haz clic en el título del plugin y encontrarás lo siguiente. Hemos destacado la sección se debe prestar atención a continuación:

plugin informacion

Conclusión

Los plugins pueden hacer añadir funcionalidad a tu sitio web muy fácilmente y es algo relevante del que por qué WordPress es una plataforma tan popular. El repositorio de plugins de WordPress.org es un recurso increíble, pero como hemos demostrado anteriormente que contiene ambos plugins y que tienen vulnerabilidades conocidas abandonados. Cada plugin que agrega a su sitio aumenta su riesgo de seguridad, y debes evaluar cada uno para asegurarse de que se mantiene adecuadamente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *