Leyendo un [retroenlace de Buayacorp](http://www.buayacorp.com/archivos/wordpress-lista-de-plugins-no-recomendados-parte-2/) me encuentro una interesante reflexión sobre la seguridad de los plugins para WordPress, esta vez de la seguridad en [los Plugins de la competición organizada por WeblogsToolsColletion](/ganadores-de-la-competicion-de-plugin-para-wordpress/1032). **Ninguno de los plugins ganadores tiene en cuenta la seguridad para los usuarios**, y nos presenta una lista ordenada en grado de peligrosidad (de mayor a menor):

1.  **WordPress Automatic Upgrade**: Parece permitir la utilización a **cualquier usuario no autenticado**:
    -   Generar y descargar los archivos de WordPress (incluido el `wp-config.php` con tus datos de base de datos).
    -   Generar y descargar copias de seguridad de tu base de datos con lo que esto representa.
    -   Activar y Desactivar todos los plugins.
    -   Actualizar la versión de WordPress sin tu autorización.
2.  **OneClick**: Al ser vulnerable a CSRF, permite descargar _plugins_ — o código malicioso — desde cualquier URL.
3.  **Who Sees Ads**: Es vulnerable a CSRF y XSS.
4.  **MyDashboard**: Es vulnerable a CSRF y XSS.

Sin duda ante estos **graves problemas de seguridad es recomendable desactivarlos inmediatamente**, ya que al estar recibiendo muchísima publicidad mucha gente los está instalado, con el riesgo que esto conlleva. Sería recomendable que [Alex de Buayacorp](http://www.buayacorp.com/archivos/wordpress-lista-de-plugins-no-recomendados-parte-2/) escriba a cada autor e incluso a los organizadores para informar de los errores y que puedan tenerse en cuenta para solucionar los problemas y cuidar de la seguridad. **Actualización**: WordPress Automatic Upgrade ha corregido los problemas de seguridad, según parece por la nueva versión lanzada.