Nada que ver en las audaces aventuras de desarrollar un proyecto de código abierto popular

Vuelve un poco de tranquilidad a la parte de mi que se estresa cuando tiene asuntos pendientes. Patchstack marcó como corregida la vulnerabilidad en List Category Posts en la versión 0.92.0 del plugin 🥳

Wordfence todavía no actualizó su sitio y sigue teniendo mensajes alarmantes para las pobres personas que decidan instalar este plugin. Pero allá ellos (Actualizado unos días después: ya marcan la vulnerabilidad como parcheada en 0.92.0).

Desde hace un buen tiempo nos han venido reportando "vulnerabilidades" en el código. Pero siempre con un detalle: un usuario malicioso tiene que tener acceso al escritorio de WordPress para poder editar las entradas. O sea, si tu sistema está comprometido, se puede hacer daño usando el plugin. Pero obviamente se puede hacer mucho más daño por otro lado.

Supongo que esta gente le paga bounties a quienes encuentran fallos de seguridad en software de uso amplio. Y debe haber algún tipo de negocio por detrás, de repente de asustar a la gente para que "necesite" de los servicios de seguridad que otros venden. No sé, ¡pero qué molesto!

Nada que ver acá, por favor dispérsense

Sigo pensando que el "fallo" en nuestro plugin nunca debió haber hecho el ruido que hizo. Ayer alguien publicó en el foro de WordPress que Wordfence le asustó muerto con la advertencia. ¡Un poco exagerado! Igual no sé qué tan alarmante sea la advertencia de Wordfence, pero de nuevo, la falla sólo podía explotarse en un sistema ya comprometido. Nunca fue un problema crítico. Es como decir que WordPress es "vulnerable" porque si alguien aprende las credenciales de un usuario administrador por ingeniería social, podría inyectar código malicoso en el sistema.

Espero podamos dejar atrás este tema. Debí haberle dedicado tiempo a corregirlo antes, simplemente para evitar tanto usuario alarmado. Siempre les contestamos con paciencia y explicando que el riesgo era prácticamente nulo. Pero tuvimos que enfrentar a unos pocos que necesitaban un sopapo a mano abierta atrás de la oreja. Actualizar el código significó volver a usar Vagrant y escribir un poco de PHP. Por suerte no tuve que tocar Subversion porque tenemos una automatización que publica las versiones nuevas al crear un tag nuevo en git. Sirvió para no perder la práctica con todo esto...

En fin, ojalá ya para próximas versiones de plugins agreguemos cosas nuevas y arreglemos bugs y no tenga que andar escribiendo más sobre CVEs que son un dolor de gónadas.