Planeta WordPress

Hace unas horas se ha liberado la versión 2.0.4 de WordPress. Actualizarse ya que esta versión corrige más de 50 bugs.

Me lo advierte Armonth a través del correo, WordPress vuelve a estar bajo sospecha de fallo de seguridad. En principio, me parece algo muy similar a la alerta de meses pasados en torno al registro libre de usuarios, pero el post de SigT y las prisas por lanzar la versión 2.0.4 me llevan a pensar que algo huele a podrido en Dinamarca, una vez más. El bug que no cesa. ¿Qué sería de mi inestabilidad psicológica sin este estupendo CMS?

Tags: wordpress, bug, seguridad, registro, usuarios

Dr. Dave, conocido por su spamkarma, anunció el día de ayer un nuevo bug crítico en todas las versiones de wordpress. Aunque no ha dado al detalle del bug, hasta no estar seguro que haya un parche oficial (ojala muchos hicieran eso), si dá la solución momentanea para evitar el bug hasta que salga un nuevo parche de wordpress para actualizar.

Según Dr. Dave, dejar la opción de que cualquier invitado pueda registarse o que ya se hayan registrado puede ser de alto riesgo.
ir a options(opciones) y donde diga Anyone can register (cualquiera puede registrarse) desactivarlo
Y borrar los usuarios que no conozcas

Ignacio Marcos afirma que la vulnerabilidad se aprovecha de inyectar un código malicioso en la carpeta cache/userlogins, permitiendo al atacante ejecutar cualquier comando en el servidor (como usuario webserver).
Otra solución alternativa para quienes tengan usuarios de los que no saben si confiar es de restringir, via .htaccess, wp-content/cache/userlogins/ y wp-content/cache/users/.

Saludos
The Ghost

Tags: bug, vulnerabilidad, wordpress

ProBlogger se despacha hace menos de una hora con una entrada títulada “Possible WordPress Security Problem” donde Dr Dave hace un anuncio (en mi opinión quizá algo alarmista) llamado “Critical Announcement affecting ALL WordPress users”:

Parece ser que un “invitado” registrado mediante la opción “Anyone can Register” puede hacer algún que otro destrozo. Esto en principio no es nuevo, hace meses ya hubo en la versión 2.0.2 un grave problema de seguridad con el mismo asunto: Inyección de código aprovechándose de estar registrado.

Lo que sí que hay es mucha incertidumbre sobre lo que puede o no puede hacerse actualmente Sobretodo es inquietante lo que dice Matt:

“He’s not aware of the issue and can’t tell by the post if it’s something worth being worried about or not – but he’s going to contact Dr Dave to see. He also mentioned that 2.0.4 will be out shortly and it could be something that is resolved in that upgrade”

Resumiéndolo: Que no esta al tanto del problema y por tanto no sabe si es motivo de preocupación o no, que hablara con Dr Dave y que la versión 2.0.4 saldrá en breve (lo cual ya se podía leer en la lista de discusión de WP-Testers).

Mi recomendación es la misma que se ha hecho en las entradas citadas:

1. Desactivar la opción “Anyone can register” (Cualquiera puede registrarse) (está en “Opciones”).
2. Comprobar que efectivamente nadie puede registrarse (entrar en tublog/wp-register.php y que te de un error).
3. Borrar todo usuario/invitado que no sea de fiar.
4. Si no puedes estar sin está opción, desactivara y espera a la 2.0.4 para volver a reactivarla.

Y ya de paso pediría que se hiciera el máximo de eco posible ya que he visto alguna que otra cosa rara y no me extrañaría que fuera un 0day. Más vale prevenir que curar…

seguridad, webdev, wordpress

Se ha lanzado una versión reducida de WordPress, WordPress para móviles.

Esta versión es la que se usa en el gadget de WordPress.com para Windows Live.

Esta versión no contiene hojas de estilo complejas [por decirlo así], está maquetado con tablas y usan una pequeña hoja de estilos para el texto y los bordes. Les convenía usar hojas de estilo para maquetar el contenido, digo, hay que levantar el espíritu de la web 2.0.

Hoy Cristian nos ha sorprendido con la liberación de su primer theme para wordpress, realmente es genial. Muy a su estilo, minimalista y elegante. Lo recomiendo.

Características

• Soporte de los estándares: XHTML 1.0 y CSS.
• Inserción de comentarios de los posts mediante Ajax.
• Soporte para utilizar mini-enlaces o asides.
• Panel de configuración para los asides y estilos.
• Diseño sencillo y bastante ligero en una columna.

[Demo][Download]

Leer más en aNieto2k

Hoy he decidido publicar Swavus, un theme para WordPress basado en el diseño que vengo utilizando desde hace un mes en este blog. Swavus, es un theme sencillo, en español, de diseño simple y a una columna. Algunas características de Swavus:

• Soporte de los estándares: XHTML 1.0 y CSS.
• Inserción de comentarios de los posts mediante Ajax.
• Soporte para utilizar mini-enlaces o asides.
• Panel de configuración para los asides y estilos.
• Diseño sencillo y bastante ligero en una columna.

Demo en linea: Swavus theme.

Descarga | Download: Swavus v1.0.
(Licencia Creative Commons)

Si encuentran problemas, fallos, tienen alguna duda o sugerencias, agradecería mucho me lo hicieran saber .

WP-phpMyAdmin: su nombre lo dice todo. Un plugin para acceder desde la administración de WordPress al phpMyAdmin. Vía cinéfilo.

El sábado, Matt Mullenweg publicó en su blog un enlace a una conversación en los foros de WordPress.com en la que se invita a quien desee crear un logo de “I ♥ WordPress” (como el típico “I ♥ NY”).

La cuestión es que quise retomar el espíritu de quien planteó la idea en primer lugar e hice algunas imágenes para quienes deseen demostrar su cariño por WordPress y las puse en una página que hasta ahora está solamente en inglés. Ahora las publico también acá para quien desee usarlas en su blog.

Junto a ellas publico también el código CSS necesario para insertarlas utilizando una técnica de reemplazo de imágenes —aunque por supuesto si quieres utilizarlas no es totalmente necesario que lo hagas de esta forma.

Estas imágenes están protegidas por una <a href=”licencia Creative Commons Atribución 2.0 Chile: eres libre de utilizarla para cualquier fin o crear modificaciones, siempre y cuando menciones de dónde la has sacado (un simple link bastará). Por supuesto, si deseas utilizar alguna de ellas, por favor no la enlaces directamente a este sitio: cópiala a tu propio servidor/Flickr/ImageShack/otro-servicio-de-alojamiento-de-imágenes.

Puedes utilizar este código XHTML para ocuparlas junto a su respectivo CSS:

<div><a id="i-heart-wp" title="I ♥ WordPress" href="http://www.wordpress.org">I ♥ WordPress</a></div>

Imágenes para fondos claros (white matte)

Imagen	CSS
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:120px; height:120px; background:url('i-heart-wp-whitematte.png') top left no-repeat; }
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:100px; height:100px; background:url('i-heart-wp-corner-whitematte.png') top left no-repeat; position:absolute; right:0; top:0; }
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:120px; height:77px; background:url('i-heart-wp-band-whitematte.png') top left no-repeat; position:absolute; right:0; top:0; }

Imágenes para fondos oscuros (black matte)

Imagen	CSS
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:120px; height:120px; background:url('i-heart-wp-blackmatte.png') top left no-repeat; }
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:100px; height:100px; background:url('i-heart-wp-corner-blackmatte.png') top left no-repeat; position:absolute; right:0; top:0; }
	a#i-heart-wp { display:block; text-indent:-9999em; text-decoration:none; width:120px; height:77px; background:url('i-heart-wp-band-blackmatte.png') top left no-repeat; position:absolute; right:0; top:0; }

Si deseas crear una versión especial, puedes bajar estos archivos PSD (Photoshop)

Desde que la facilidad de hacer themes ha llegado a nuestros PC’s están saliendo como churros y además muy buenos. Un ejemplo de esto es Bosco 1.0, un theme muy elegante que integra el uso de Widgets.

[Descargar][Demo] 

Leer más en aNieto2k