El redireccionamiento abierto (también denominado redireccionamientos y reenvíos no validados) suponen una vulnerabilidad de redireccionamiento de URLs. Un atacante puede redireccionar a los usuarios de un sitio web de confianza a uno potencialmente malicioso perteneciente a terceros y posteriormente robar sus credenciales mediante ataques de phishing. Para protegerse frente a esta vulnerabilidad, le recomendamos configurar Plesk para restringir el redireccionamiento de URLs.

La vulnerabilidad es posible mediante los parámetros success_redirect_url y failure_redirect_url, que se usan cuando configura el acceso automático a Plesk. El parámetro success_redirect_url contiene uno o más nombres de host a los que se redirecciona un usuario tras un inicio de sesión correcto, mientras que failure_redirect_url—cuando se produce un error en el inicio de sesión o un cierre de sesión.

La vulnerabilidad puede afectar a todos los servidores Plesk, tanto si se ha configurado el inicio de sesión automático como si no. Para protegerse de ella deberá añadir una entrada al archivo panel.ini. La entrada variará en función de si se ha configurado el inicio de sesión automático o no.

Para impedir posibles redireccionamientos abiertos en Plesk si no ha configurado el inicio de sesión automático, haga lo siguiente:

Añada las siguientes líneas al archivo panel.ini:

[security]
trustedRedirectHosts =

La línea trustedRedirectHosts está vacía y no se ha indicado ningún nombre de host. De esta forma, usted prohíbe a Plesk redireccionar ningún nombre de host que use los parámetros success_redirect_url y failure_redirect_url.

Para impedir posibles redireccionamientos abiertos en Plesk si ha configurado el inicio de sesión automático, haga lo siguiente:

Añada una entrada al archivo panel.ini conforme al siguiente patrón:

[security]
trustedRedirectHosts = hostname

Cuando hostname es un nombre de host de confianza al que permite el redireccionamiento de URL mediante los parámetros success_redirect_url y failure_redirect_url.

El parámetro trustedRedirectHosts acepta uno o más nombres de host separados por comas y especificados en el formato que se muestra a continuación:

  • Un nombre de dominio, como por ejemplo example.com
  • Una dirección IP, por ejemplo 192.0.2.1
  • Subdominios wildcard, como por ejemplo *.example.com

Nota: Cuando especifique nombres de host en trustedRedirectHosts, use únicamente asteriscos tal y como puede ver en el ejemplo anterior (*.example.com). De no hacerlo, su servidor puede verse afectado por esta vulnerabilidad. Por ejemplo, los nombres de host example.* o 192.0.2.* no son seguros, puesto que pueden coincidir con example.maliciouswebsite.com y 192.0.2.maliciouswebsite.com, respectivamente.

A continuación puede ver un ejemplo válido del parámetro trustedRedirectHosts en el archivo panel.ini:

[security]
trustedRedirectHosts = example.com,192.0.2.1,*.example.com

Donde example.com, 192.0.2.1 y *.example.com son nombres de host usados en los parámetros success_redirect_url y failure_redirect_url.

Nota: cuando especifique más de un nombre de host en trustedRedirectHosts, no añada espacios en blanco antes o después de la coma que separa los nombres de host. De hacerlo, el nombre de host no se gestionará correctamente y no se podrá efectuar el redireccionamiento de URL.