Índice
- ¿Qué pasa al abrir el archivo SVG?
- ¿Por qué se utilizan tanto los archivos SVG en WordPress?
- ¿Por qué son tan vulnerables los archivos SVG en WordPress?
- Conclusión del archivo SVG
El motivo es… por seguridad.
Aunque son los archivos más utilizados en iconos y logos, WordPress no permite subir este tipo de archivo por ser extremadamente inseguros.
Este formato es un documento de código XML y por lo tanto es susceptible de sufrir inyecciones de código.
Los archivos SVG permiten introducir JavaScript que puede ser ejecutado por tu navegador.
Veámoslo en un ejemplo:
Tenemos un archivo que sirve para mostrar un círculo rojo.
<svg xmlns=»http://www.w3.org/2000/svg» xmlns:xlink=»http://www.w3.org/1999/xlink»>
<circle cx=»50″ cy=»18.4″ r=»18.4″ fill=»#f00″ />
</svg>
Le pegamos este código que lleva JavaScript: alert ( ‘ Uy, qué susto! ‘) ; y lo guardamos bajo el nombre que queramos.
<svg xmlns=»http://www.w3.org/2000/svg» xmlns:xlink=»http://www.w3.org/1999/xlink»>
<circle cx=»50″ cy=»18.4″ r=»18.4″ fill=»#f00″ />
<script>
alert( ‘¡Uy, qué susto!’ );
</script>
</svg>
¿Qué pasa al abrir el archivo SVG?
El navegador nos mostrará la sorpresa alert ( ‘ Uy, qué susto! ‘); Es decir, el JavaScrip incluso antes de mostrarnos el principal círculo rojo.
Esto significa que todos los archivos SVG son altamente vulnerables a las alteraciones de código.
En el caso de nuestro ejemplo, ha sido una alteración graciosa, pero podrían inyectar código en un ataque XSS y robar información delicada.
¿Por qué se utilizan tanto los archivos SVG en WordPress?
Últimamente se han popularizado mucho en la red y no por ser lo más novedoso de Internet sino por:
- Son los iconos más utilizados en los temas avanzados para webs de venta y conversión.
- Tienen un tamaño muy pequeño en comparación con otros de fondo transparente y los PNG.
- Se pueden escalar sin perder calidad, con facilidad.
En resumen, la optimización de carga es muy importante. Para que sea buena es necesario utilizar archivos pequeños, que pesen poco y que den mucha calidad. Es decir, es muy útil recurrir a los archivos SVG.
¿Por qué son tan vulnerables los archivos SVG en WordPress?
Porque los archivos SVG se basan en XML, esto conlleva una serie de problemas de vulnerabilidad y de ataques.
La inseguridad de los archivos SVG no es nada nuevo ni desconocido. Existen 8.000 conocidas vulnerabilidades de seguridad de los SVG.
Algunos expertos determinan que los archivos SVG están diseñados para ser inseguros.
Los documentos XML vulnerables, se encuentran dentro de bonitos y pequeños iconos de tu página web sin código y sin ningún método de saneamiento que pueden estallar en el momento menos preciso
WordPress ocupa casi el 30% de la web. Si esta plataforma permitiese archivos SVG el potencial de inseguridad en la red sería inmenso.
Si todavía quieres usar este tipo de archivos aun sabiendo sus peligros, deberás copiar este código en:
- El plugin de personalizaciones
- Pegarlo al archivo: php del tema que tengas activo en ese momento en WordPress
- Añadirlo en el archivo: .htaccess
- Instalando el plugin SVG Support
*IMPORTANTE: Instala el plugin Safe SVG, será el plugin que te permita subir archivos saneados con la extensión .svg en WordPress basándose en DOMPurify.
Conclusión del archivo SVG:
De ninguna manera es seguro usar archivos SVG en WordPress, ni utilizando estas opciones anteriores.