Vía el Planet Webdev acabo de leer a Alex que comenta dos noticias relacionadas a la seguridad en WordPress. Un tema candente. Copio (corrigiendo un “propuesta” de más) los dos puntos de la entrada de Alex:
- Existe una propuesta para cambiar la forma en que se interactúa con la base de datos, esto es, utilizar una especie de consultas parametrizadas basadas en
sprintfpara evitar el gran número de problemas de SQL Injection que existe con el esquema actual (que en realidad hace lo mismo que[magic_quotes](http://php.net/magic_quotes).- Entrevista a Steffan Esser sobre el estado de la seguridad de Wordpress.
El primer enlace es un punto importante y es cambiar la forma de realizar consultas SQL que actualmente es:
- Coger datos pasados a una función.
- ¿¿¿???.
- Hacer la llamada SQL.
Y cambiarlo a:
- Coger datos pasados a una función.
- Escaparlos (filtrarlos).
- Hacer la llamada SQL.
Con esto los fallos de inyección SQL serian más fáciles de descubrir y al mismo tiempo hará que sean más difíciles de explotar.
Por otro lado, en la entrevista Steffan dice algunos puntos muy interesantes:
Cree que WordPress es el mejor software/CMS para “blogging” actualmente pero que han cometido malas decisiones de diseño.
Por ejemplo considera que bastantes funcionalidades son “peligrosas” como por ejemplo el sistema de editar plantillas que obliga a dar permisos de escritura. Si un usuario consigue permisos para editar plantillas (por ejemplo en un descuido del administrador) puede editar las plantillas para ejecutar cualquier código PHP en el servidor.
Crítica la forma de anunciar los fallos de seguridad. Cuando corriges un fallo de seguridad explotable remotamente que permite ejecutar código y hay información pública de cómo hacerlo no puedes esperar a sacar una versión corregida.
Además es totalmente inaceptable que se escuden en “es un fallo sólo explotable con
register_globalsen ON cuando la mayoría de hostings todavía lo tienen activo (¡¡!!) sin ir más lejos el propio wordpress.org (¡¡!! x2).Cree que WordPress deberia invertir dinero en auditar el software.
¿Alternativas? Serendipity/S9Y el cual opina que tiene un código de mayor calidad pero que no es “user-friendly”.
Por último da dos recomendaciones (en realidad dos cosas que cambiaría de WordPress pero puede ser perfectamente dos cambios que uno mismo puede realizar):
Desactivar los mensajes de error SQL debido a que ofrecen demasiada información a potenciales atacantes.
Asegurarse de no usar el prefijo de las tablas SQL por defecto (
wp_) durante la instalación.
“Cuando estos dos cambios sean implementados (quizá ya lo han sido desde la última vez que probe WordPress), entonces las inyecciones SQL en WordPress serán mucho más difíciles de explotar”.
Ahora la pregunta que yo hago es ¿seriamos capaces de vivir sin plugins?, quien más quien menos tiene media docena como mínimo, yo al menos intento evitar el abuso de ellos pero dudo mucho que se pueda.
- Relacionada: Cinco consejos de seguridad en WordPress.
Oficialmente soy fan de The Killers… con este nuevo sencillo me ganaron.
For Reasons Unknown - The Killers
http://blip.tv/file/get/Juanmanuel-PorRazonesDesconozidas957.flv
Ver Letra
I pack my case.
I check my face.
I look a little bit older.
I look a little bit colder.
With one deep breath,
and one big step,
I move a little bit closer.
I move a little bit closer.
For reasons unknown.
I caught my stride.
I [...]
El fanatismo de Twitter se encuentra en todas partes, y ahora hasta han creado un theme para Wordpress basado en el diseño de Twitter. Me sorprendería ver a alguien usándolo, ya que el diseño de Twitter no es muy bonito que digamos, pero cada quien tiene sus gustos 
Puedes descargalo o ver el theme
Vía - Anieto2k
---
Posts relacionados de Alex Seo:
- Actualizamos a dKret 2.5 (Wordpress Theme)
- Mejora tu Wordpress Theme para darle mejor posicionamiento web
- Blog Oficial de PlayStation usa Wordpress
Si eres uno de los amantes de Twitter, hasta el punto de contarle más cosas de lo que haces que a tus padres, además de tener un problema :D, tienes la posibilidad de hacer que tu blog sea como los padres que nunca tuviste 
Sobran las palabras 
Hoy leo en AlejandoSena.com un interesante artículo sobre como hacer que nuestro blog sea más legible para el usuario y nos explica 5 técnicas con las que podremos conseguir que nuestro blog (esto es aplicable a cualquier aplicación web) sea agradable a la vista e incite a leer.
- El contraste con el fondo
- El tamaño de la tipografía
- El espacio entre letras, palabras, líneas y parrafos.
- El uso correcto de ayudas visuales como subrayado, negrita y colores.
- La relación entre texto y su entorno.
Hoy he recibido una invitación para probar un nuevo plugin para WordPress. Sí, aunque suene extraño, parece que sólo se puede probar por invitación.
Se trata de un producto de Wizag llamado Auto-Tagging and Discovery Plugin, y lo que hace es insertar al final de cada post una serie de tags igual que lo hacen otros plugins como por ejemplo Simple Tagging.
Pero la diferencia es que haciendo clic en cualquiera de esos tags se nos abrirá una ventanita donde encontraremos enlaces relacionados en otros blogs y en el nuestro propio.
Imagino que dichos enlaces provienen de otros blogs que tengan instalado el plugin Auto-tagging de Wizag, porque sino sería fácil colar ahí publicidad encubierta (esta es una de las razones por las que no lo he instalado, hasta que no esté seguro de que todo es limpio y claro).
En la parte inferior de la ventanita hay dos espacios de publicidad de los que el bloguer puede disponer, insertando sendos scripts en el momento del registro en la web de Wizag.
Así a primera vista no me parece demasiado interesante, como digo por no saber de donde salen los enlaces relacionados, y porque Technorati ofrece de momento una alternativa más sencilla y fuera de duda. Y por otra parte porque la ventanita pop-up es fea de verdad.
Además, no queda claro si el plugin modifica o añade cosas a la base de datos. De momento voy a esperar a ver que dicen quienes saben más de estas cosas que yo.
Desvariando a las 7:00 de la mañana me he encontrado con este artículo que nos explica como hacer que cada uno de nuestros posts sea diferente. Para ello usaremos una entrada en el meta del post en donde introduciremos la clase CSS que queremos que tenga dicho post. Esto es muy util para estos blogs que tienen además de mostrar diferentes posts por categorías, quieren hacer que cada post tenga un aspecto personalizado.
¿Como?
El como, es realmente sencillo, simplemente tendremos que buscar la estructura de nuestros posts dentro del Loop de Wordpress, que en el theme kubrick es exactamente así:
<div class="post” id=”post-<?php the_ID(); ?>”>
<h2><a href=”<?php the_permalink() ?>” rel=”bookmark” title=”Permanent Link to <?php the_title(); ?>”><?php the_title(); ?></a></h2>
<small><?php the_time(’F jS, Y’) ?> <!– by <?php the_author() ?> –></small>
<div class=”entry”>
<?php the_content(’Read the rest of this entry »’); ?>
</div>
</div>
Una vez localizada la estructura procedemos a su modificación, y para conseguir el efecto que buscamos, usaremos get_post_meta() que se encarga mediante un par de parámetros devolver los valores almacenados para un post en concreto.
<?php echo get_post_meta($post->ID,'post', true) ?>Osea, nos ha de quedar una cosa similar a esta.
<div class="<?php echo get_post_meta($post->ID,’post’, true) ?>” id=”post-<?php the_ID(); ?>”>
<h2><a href=”<?php the_permalink() ?>” rel=”bookmark” title=”Permanent Link to <?php the_title(); ?>”><?php the_title(); ?></a></h2>
<small><?php the_time(’F jS, Y’) ?> <!– by <?php the_author() ?> –></small>
<div class=”entry”>
<?php the_content(’Read the rest of this entry »’); ?>
</div>
</div>
Como podemos ver ahora estaremos usando el valor almacenado en el campo “post” del meta de nuestro post. Y de esta forma solo nos queda, crear la clase CSS que albergará los estilos propios de dicho post e ir introduciéndo este campo en el meta de nuestros posts.
Witty Sparks ha publicado un listado de enlaces a directorios de temas para WordPress con la distinción que incluye grupos como los más hermosos, los minimalistas, los optimizados para “adsense”, los más que se han bajado, entre otras categorías. Además, incluye un listado de los repositorios tradicionales de temas. Esta es una referencia indispensable para los que estamos constantemente buscando temas para nuevos blogs.
Manuel M. Almeida hoy nos deleita con este artículo en el que nos da 15 consejos a tener en cuenta a la hora de escribir un post.
Vía Weblog Tools Collection llego a Shankar Ganesh y sus 11 things to do before you hit the Publish button (11 cosas que debes hacer antes de darle al botón publicar), una relación de consejos para optimizar la edición de tus posts. Tras leerlo detenidamente, he visto que hay cosas que sí me parecen razonables y otras que no, unas que sobraban y algunas que echaba de menos. Como cada bloguerillo tiene su librillo, he decidido publicar mis propias recomendaciones tomando como base el citado listado, pero añadiendo información y explicaciones allí donde lo he considerado pertinente, aportando experiencias de mi propia cosecha y suprimiendo directamente lo que no me ha convencido.
No se trata, desde luego, de un manual ni de un tutorial. Tan solo de algunos aspectos que a mí me han servido y creo que también te pueden servir a ti. Y como se trata de experiencias, de lo que uno ha ido aprendiendo de estos años en la blogosfera, agradecería también que aportaras las tuyas, que seguro serán de interés, tanto para mí como para la comunidad. Al final, se han quedado en 15 y aún tengo la impresión de que me he dejado alguna en el blogotintero:
(more…)
