Google Hack: Buscando Logs en el Plugins File Manager de #WordPress

¿Como podemos evitar exponer más información de la que realmente necesitamos mostrar en un proyecto web? Esta tarea es sin duda un trabajo muy fino que deberíamos aplicar a cada sitio y la verdad que no es para nada simple.

Figura 1: Buscando Logs en el Plugin File Manager de #WordPress

El mínimo punto de exposición, es uno de los principios del Hardening para mejorar la seguridad de cualquier aplicación, y es el punto de inicio de ese proceso.

Hoy les quería mostrar un pequeño Google Hack que encontré hace un par de días y que ya se encuentra publicado en Exploit-db, en donde el Plugin File Manager de WordPress exponer un archivo Log bastante interesante.

inurl:"wp-content/uploads/file-manager/log.txt"

Figura 2: Google Hack

Pese a que esta búsqueda en Google es bastante general y es posible encontrar casi 500 posibles webs expuesta, la plataforma de Plugins de WordPress indica que existen más de 50.000 instancias activas y que potencialmente podrían ser comprometidas.

Figura 3: Resultado de log.txt

Ya sea en un plugin de WordPress, Joomla! o cualquier CMS. No olviden que antes de exponer un sistema o una web a Internet, tomen el tiempo de realizar un análisis exhaustivo de todos y cada uno de los componentes que incorporan y seguir los procesos de auditorías.

Saludos!