En Oxygen -> Settings -> Security puedes elegir evitar que Oxygen ejecute sus shortcodes si carecen de una firma válida seleccionando "Comprobar la firma válida de los shortcodes de Oxygen antes de ejecutarlos". A partir de la versión 3.2 de Oxygen, la advertencia de firma no válida sólo se mostrará en el área de administración de WordPress y no en el front-end del sitio.
Para reforzar Oxygen contra posibles ataques, es muy recomendable activar esta opción. Está activada por defecto para las nuevas instalaciones de Oxygen 2.1 y superiores.
Si quieres mostrar la advertencia de firma inválida en el front-end del sitio, puedes habilitar "Show invalid shortcode signature warnings on the front-end" via Oxygen -> Settings -> Security.
Oxygen almacena los elementos de su página como shortcodes de WordPress. En tiempo de ejecución, esos shortcodes se compilan en PHP, HTML, CSS y JavaScript.
Si otro plugin en tu sitio tiene un agujero de seguridad que permite a usuarios no autorizados ejecutar shortcodes, podrían ejecutar los shortcodes de Oxygen. Dado que los shortcodes de Oxygen permiten la ejecución de PHP, podrían ejecutar cualquier código PHP arbitrario que quieran en su sitio - en otras palabras, cambiar su contraseña de administrador, robar todos los datos de su usuario, o hacer literalmente cualquier otra cosa.
Por supuesto, este ataque requeriría la presencia de otro plugin en su sitio con un fallo de seguridad que permita a los usuarios no autorizados ejecutar shortcodes. Pero como es probable que muchos de estos plugins estén flotando por ahí, es muy recomendable que habilites esta opción.
La única manera de generar una firma válida es tener acceso a las claves de firma, que son únicas y generadas aleatoriamente al instalar Oxygen. Éstas se almacenan en la tabla wp_options, por lo que sólo un administrador del sitio o un atacante que pudiera leer datos de la base de datos podría obtener las claves y firmar un shortcode.
Mas info: http://www.pritect.net/blog/wordpress-shortcode-injection-attack-vector
Al dar a los usuarios de una red multisitio acceso a Oxygen, les estás dando la posibilidad de escribir código PHP desde Oxygen usando elementos como Code Block o Easy Posts.
Obviamente, esto significa que podrían ejecutar cualquier código PHP arbitrario - al igual que si les dieras el privilegio de instalar plugins o editar archivos PHP del tema.
Última modificación: 15 de junio de 2020
