Habilitar la subida de archivos SVG al gestor de medios de WordPress es tan fácil como añadir cinco líneas de código al theme o plugin que se esté desarrollando. Sin embargo, verificar que el SVG que se está subiendo es seguro es algo más complicado: hay que analizar el código XML que conforma el archivo SVG en busca de código malicioso que una vez en el servidor podría crear una vulnerabilidad. Por esta razón es una buena idea usar el plugin Safe SVG, desarrollado y mantenido por la empresa 10up, que comprueba los archivos antes de añadirlos al gestor de medios usando la biblioteca SVG-sanitizer. Este plugin además optimiza los archivo SVG usando la biblioteca svgo.
Habilitar el formato SVG sin plugin
Se puede usar el filtro upload_mimes para habilitar el formato SVG:
function enable_svg_upload( $upload_mimes ) {
$upload_mimes['svg'] = 'image/svg+xml';
$upload_mimes['svgz'] = 'image/svg+xml';
return $upload_mimes;
}
add_filter( 'upload_mimes', 'prefix_enable_svg_upload', 10, 1 );
Este código no comprueba los archivos SVG al añadirlos.
Es posible usar esta herramienta web para comprobar los archivos manualmente, y limpiarlos en caso de contener potenciales vulnerabilidades, antes de añadirlos.
Para integrar la comprobación y la limpieza de archivos en el proceso de subida de archivos SVG, se podría usar la biblioteca SVG-sanitizar, la misma que usa el plugin Safe SVG.