Planeta WordPress

Neo Security Team publica una alerta de seguridad que afecta a las últimas versiones de WordPress, incluida la 2.0.1. La vulnerabilidad ha sido definida como crítica y su incidencia es múltiple, con dos principales epígrafes: Múltiple XSS en ‘post comment y Full path disclosure & Directory listing (acceso a todo el directorio).

El bug XSS afecta al archivo ‘wp-comments-post.php’, mientras que el otro estyá presente en numerosos archivos de las carpetas ‘wp-admin’ y ‘wp-includes’. A la espera de un patch o una nueva versión que cierre estos agujeros, se nos dan las siguientes soluciones:

- Para el error en XSS:

Sustituir las líneas 21-24 de ‘wp-comments-post.php’ por:

$comment_author = htmlentities(trim($_POST[’author’]));
$comment_author_email = htmlentities(trim($_POST[’email’]));
$comment_author_url = htmlentities(trim($_POST[’url’]));
$comment_content = htmlentities(trim($_POST[’comment’]));

- Para el Full path disclosure:

Añadir al principio de cada archivo afectado la siguiente línea:

if (eregi(’name_of_the_file.php’, $_SERVER[’PHP_SELF’]))
die(’You are not allowed to see this page directly’);

En principio, los archivos afectados por el segundo de los bugs son:

/wp-includes/default-filters.php
/wp-includes/template-loader.php
/wp-admin/edit-form-advanced.php
wp-admin/edit-form-comment.php
/wp-includes/rss-functions.php
/wp-admin/admin-functions.php
/wp-admin/edit-link-form.php
/wp-admin/edit-page-form.php
/wp-admin/adm in-footer.php
/wp-admin/menu-header.php
/wp-includ es/locale.php
/wp-admin/edit-form.php
/wp-includes /wp-db.php
/wp-includes/kses.php
/wp-includes/vars .php
/wp-admin/menu.php
/wp-settings.php

Toda la información, en Neo Security Team.

Vía: Menéame

Tags: wordpress, bug, error, agujero, vulnerabilidad, seguridad, xss

Aprovechando que hace tiempo separé la lista de comentarios de la de trackbacks y le añadí un poquito de AJAX, solo faltaba buscar un sustituto a comment_number() como no me apetecia rebuscar donde estaba mi plugin para ‘estadisticas varias’ busque en Internet:

Smart Count de Marcos Sader es un plugin igual de simple que el mio solo que solo tiene dos funciones:

• mm_comts_count(); que te muestra el número de comentarios aprobados que no son trackbacks ni pingbacks y…
• mm_track_count(); que muestra el número de trackbacks/pingbacks aprobados…

wordpress

Hoy Javier Vallas, me preguntaba si había alguna forma de hacer que los comentarios se desplegarán automáticamente al entrar a ver una noticia entera. Y realmente es algo realmente sencillo, asi que he pensado que sería mejor hacer un post para explicarlo y asi quien quiera podrá implementarlo en su theme. Este hack es para AjaxRegulus, y AjaxContempt, cualquier otro theme no funcionará lo siguiente e incluso puede ocasionar algún resultado no esperado.

Editaremos el fichero comments.php de wp-content/themes/ajaxregulus/ y en la última línea del fichero añadimos lo siguiente.

<script type=”text/javascript”>

    comments(<?php echo $id; ?>);

</script>

De esta forma conseguiremos que los comentarios se depliegen automáticamente al visitar una noticia. Atención a las comillas en el proceso de copiar y pegar.

Technorati Tags: hack, ajaxregulus, javascript

Leído hace días en Blogpocket:

House of K2 es un site que recoge diferentes temas de WordPress desarrollados a partir del famoso K2.

Si juntamos 2 cosas que esten de moda, por ejemplo los blogs y ajax, ¿Que obtenemos? Logahead

Logahead, es un nuevo CMS con el cual podrás administrar un blog de forma completamente Ajaxiada. Personalmente no me parece nada del otro mundo, aunque tiene muchas cosas interesantes. Creo que vale la pena echarle un vistazo y decidir por uno mismo. Actualmente no es posible su descarga, pero el autor ha colgado una versión demo con la cual puedes probar algunas de las opciones.

Demo

• Username: demo
• Password: password

Actualizo

Ahora ya esta disponible la descarga, ahora a probarlo!!! (Gracias Cristian)

Technorati Tags: ajax, blog, logahead

Ok, como verán en el banner de la derecha hay un enlace a W.ordPress.com, notaron el ”.”?

Como dije antes, estoy organizando un poco las cosas y sacando del baúl algunos proyectos, hace ya un par de meses que tengo ese dominio parado, así que se me ocurrrió darle un buen uso, con suerte para el 1 de marzo lo pongo online.

Que se imaginan? Que les gustaría? Que harían ustedes?

Y para los curiosos, lean la historia de como terminé con ese dominio…

Un Poco de Historia

A finales del año pasado comencé a trabajar para un pequeño estudio de Buenos Aires de manera Freelance, mi tarea era muy simple, instalar un blog, hacer un par de modificaciones y simular que era un sitio web desarrollado a medida, así ellos lo cobraban como tal.

Al principio no me quejaba, luego empezaron a pedirme que remueva cualquier rastro de copyright que mencionara al cms, es decir WordPress. A lo que respondi, NO.

Por un tiempo no me llamaron mas, hasta que un día me llama uno de los dueños/socio-mayor pidiendome disculpas por el pedido y bla bla… a lo que terminó preguntando que tan dificil sería crear una especie de blogger gratuito, usando WordPress… mi respuesta inmediata fue wordpress.com.

Pero luego de hablarlo un rato, me comentó que ellos tenían convenio con X compañia y que quería brindar un servicio como para promover el uso de la herramienta (y así sacar el copyright sin culpa?).

Así que le dije mas o menos como era la mano, las opciones, costos, que se busque un buen equipo de IT porque gratis significa miles de cuentas basura ocupando espacio y demás detalles técnicos. Mas la necesidad de encontrar un nombre.

Evidentemente el tipo era un idiota, le quería poner tupress por lo que le sugerí que use algo un poco mas llamativo y/o ingenioso así que me pidio que le busque un nombre… me tomo 3 minutos ver que ordpress.com estaba libre, por lo que al mejor estilo del.icio.us tendríamos un W.ordpress.com.

Al tipo le pareció genial, empezamos empecé a armar el sistema, averiguar la forma mas conveniente de crear el sistema de registro y le pasé los presupuestos… su respuesta:

Marcos, no te preocupes tanto. Total en dos o tres meses lo vendemos y de ahí sacamos la ganancia.

Así fue como le madé saludos a su madre, y se terminó el proyecto. Afortunadamente, como dije antes el tipo era un imbécil y el dominio lo había registrado yo a mi nombre, así que quedo en buenas manos.

El código HTML de un enlace lleva el parámetro “title” para especificar una descripción del mismo, visible cuando se pasa el raton por encima de él. La pequeña ventana que se muestra por defecto puede adornarse de muchas formas. En WordPress hay varios plugins que lo hacen; uno de ellos es FancyTooltips.

Si no utilizan WordPress, en este post les contamos una forma de adornar los títulos de los enlaces. Pueden ver el resultado en el siguiente enlace:

enlace con título adornado con qTip

Para conseguir este efecto, sólamente tienen que seguir los tres pasos siguientes:

1. Descargar el archivo qTip.js y subirlo al servidor, en el directorio donde se encuentre la página con los enlaces.
2. Añadir la siguiente línea entre las etiquetas <head> y </head> de la página con los enlaces:
   <script language=”JavaScript” src=”qTip.js” type=”text/JavaScript”></script>
3. Añadir las siguientes líneas en el archivo con la hoja de estilo (CSS) de la página con los enlaces:
   div#qTip {
   padding: 3px;
   border: 1px solid #666;
   display: none;
   background: #999;
   color: #FFF;
   font: bold 14px Verdana, Arial, Helvetica, sans-serif;
   position: absolute;
   }

El parámero “font” sirve para indicar el tamaño y el tipo de letra. También se pueden cambiar tanto el color del texto como el del fondo (background).

Este y otros fantásticos trucos los pueden encontrar en Solar Dream Studios.

Recapitulando, los posts que hemos escrito en blogpocket dedicados a WordPress.com han sido los siguientes:

• Cómo crear una cuenta de usuario en WordPress.com
• Cómo se elige una plantilla para nuestro blog en Wordpress.com

Hoy veremos cómo podemos cambiar las opciones del blog.

Una de las pestañas del panel de administración es “Options” y pinchando en ella obtendremos la página con las opciones generales y otra serie de pestañas con todos los posibles parámetros que podemos modificar: “Writing”, “Reading”, “Discussion” y “Delete blog”.

Options: Opciones generales

Aquí se pueden cambiar el título del blog, decir si se quiere aparecer en motores de búsqueda como Technorati o Google y cambiar el formato de la fecha, entre otras posibilidades.

Writing: Opciones de escritura de posts

El tamaño en líneas de la caja del editor de anotaciones o cuál es la categoría por defecto son algunas de las opciones que se configuran en este apartado al que se llega pinchando en la pestaña “Writing”.

Reading: Opciones de lectura

“Show at most” es el número de posts que se muestran en la página principal del blog. En esta sección se configuran, además, los parámetros de sindicación, es decir, cuántos posts se guardarán en los archivos feed y si para cada post se almacenará el texto completo o sólamente un resumen. Por último, se puede cambiar la codificación de páginas y feeds. El formato recomendado es UTF-8.

Discussión: Opciones para los comentarios y trackbacks

Aquí se dice si los posts se pueden comentar o recibir trackbacks. También se especifica cuántos links debe llevar un comentario para pasar a moderarse, así como las palabras y direcciones IPs que formarán parte del filtro contra el spam.

Delete blog: Eliminar el weblog

Esta opción no es recomendable

[Todos los posts de CMS para principiantes]

Leyendo Blogging Pro me encuentro con un genial plugin. Se trata de inline ajax comments, este plugin nos permite expander los comentarios del post desde la portada.

This plugin allows for the ability to expand the comments of a post below the main post content using ajax. This ability is built-in to my tonus theme, but at the request of many users I have bundled the features into a separate plugin.

La adaptación es sencillisima, solo descarga el plugin, sube la carpeta a tu directorio de plugins y resta activarlo desde el panel. Ya solo tenés que añadir <?php ajax_comments_link(); ?> y <?php ajax_comments_div(); ?>, que es esta función la que hace mostrar los comentarios.

El javascript de WordPress, concretamente el de los botones de ayuda para formatear el texto interpreta incapaz de ejecutarse con el navegador Safari, pero en realidad Safari si puede (lo puede todo), pequeño truco para mostrar estas opciones, que Textile esta bien, pero cansa.

• Cierras por completo Safari
• Ejecuta una terminal, si no sabes donde esta pon en Spotlight terminal y punto.
• Escribe esta linea: defaults write com.apple.Safari IncludeDebugMenu 1
• Abre de nuevo Safari y en el menú saldrá la opción debug

• Selecciona dentro de User Agent la Opción Konqueror 3, con esto lo que haces es que el servidor ve que el navegador es Konqueror en vez de Safari.
• Ves a tu panel de control y verás los botones donde deben de estar.

Y con esto debe de bastar para poder usar los botones. Vía faq-mac.