Publicado List Category Posts v0.92.0 con mejoras en "seguridad"

Desde mayo venimos luchando con Wordfence y Patchstak, que reportaron un problema de seguridad en el plugin de WordPress List Category Posts. Con Klemens, el otro "mantenedor" que ha venido aportando mucho al código del plugin, venimos conversando del tema por correo electrónico.

El "fallo de seguridad" o la "vulnerabilidad" que reportan es que un usuario con acceso al sistema de archivos y permisos de al menos editar un post o página, puede incluir PHP malicioso.

Ahora, un usuario que tiene acceso al sistema de archivos y a editar contenido, puede hacer mucho más daño por otros lados que con este plugin. El problema principal es que hay un usuario con malas intenciones que adquirió estos accesos, no que el plugin tiene una falla de seguridad y permite hacer cosas malas.

Incluso en el reporte de Patchstack (que me imagino es de donde levanta Wordfence la información), dice: 

This security issue has a low severity impact and is unlikely to be exploited. (Este problema de seguridad tiene un impacto de baja gravedad y es poco probable que sea explotado).

La "falla" es una característica del plugin. Cuenta con un sistema de plantillas php con código relevante al plugin. Esto permite formatear con mucho más detalle la forma en que se van a mostrar los posts listados por el plugin. El tema es que necesita incluir archivos php, cosa que sean portables, reutilizables y porque es una característica para gente que sepa php. Y si se incluye un archivo con código malicioso, puede hacer daño al sistema. De nuevo: hay que tener acceso al sistema de archivos del servidor para subir/escribir el código malicioso.

La mayoría de los usuarios de WordPress son gente no-técnica. Así que es entendible que se alarmen al ver una advertencia de seguridad del plugin en sus Escritorios de WordPress. Lo que veo como un poco de falta de responsabilidad es de Wordfence y demás sistemas. Informan de forma bastante exagerada y alarmante que este plugin tiene una falla de seguridad. La mayoría de la gente no se va a tomar el tiempo de leer de qué se trata. Va a ver la advertencia y se va a preocupar.

Lo primero sería aclarar que es de riesgo bajo, que no es algo que un usuario externo al blog pueda "explotar" y que se necesita tener un usuario con privilegios comprometido en el sistema.

Desde que pasó todo esto, hemos tenido que lidiar con usuarios de todos lados reclamando y escribiéndonos en el foro de WordPress, GitHub y por correo electrónico. Una persona estuvo muy cerca de agotar mi paciencia y hacer que respondiera con algo casi ofensivo:

"¿Pueden por favor arreglarlo para que no tengamos que seguir intentando responder a las preguntas de nuestros clientes?"

Respondí que el plugin ha sido escrito como un esfuerzo voluntario en el espítiru del software libre. Quería decir "no respondemos a tus clientes", pero fui más diplomático con "entiendo que otros han hecho sus negocios en base a este software libre (podría haber agregado sin aportar nada a cambio pero 🤐) pero no es un negocio para nosotros". Ya bastante se ha escrito de las expectativas de gente que explota el software libre sin entender su ecosistema, pero acá un ejemplo muy claro. No es igual en todos los casos, pero para nosotros este plugin es un esfuerzo voluntario que no tiene un negocio por atrás para sustentarlo.

Agregué que obviamente cualquiera es libre de dejar de usar el plugin si no está feliz con las explicaciones respecto a la "vulnerabilidad".

Otra persona escribió que "había pasado el código por un sistema de inteligencia artificial y parece haber varios problemas de seguridad severos". Tuve que borrar el comentario porque no aportaba nada a la discusión, pero además no pude responderlo sin entrar en descalificaciones personales. Su comentario era el equivalente a "sacrifiqué una cabra al dios de la guerra y sus entrañas me decían que en el código parece haber varios problemas de seguridad". Estas herramientas que vienen vendiendo como "inteligencia artificial" estos tecnofascistas encocainados no están generando mucha inteligencia en la población...

En GitHub alguien anunció que no estaba conforme con las explicaciones y que iba a buscar una alternativa. Estuve a punto de responder simplemente con este gif:

Pero éstas son las cosas que sólo pensamos, no actuamos sobre ellas. Y después las posteamos en nuestros blogs personales para que no queden frustradas haciendo mal en nuestra cabeza 😄

Espero que con esta nueva versión al menos nos digan que está resuelto el tema. Sino, Klemens tiene otra idea para agregar al código que potencialmente resolvería el problema si es que no están conformes los expertos en seguridad con este último arreglo. Veremos qué pasa. Mientras tanto, seguimos experimentando las audaces aventuras de desarrollar un proyecto de código abierto popular. 

List Category Posts es un plugin para WordPress, es software libre publicado bajo la GPLv2. El código fuente está disponible en Codeberg, en GitHub y en WordPress.org (SVN). Se puede descargar desde el sitio de plugins de WordPress.