Planeta WordPress

Para el desarrollador de temas el uso de contenido de muestra, tirando del consabido “Lorem ipsum” se convierte casi en una obligación.

Para mostrar a los posibles usuarios de sus temas hay que hacer demos, a ser posible con contenido que muestre como se visualizarán los distintos estilos, imágenes, etc en el tema.

Ahora bien, el uso de “lorem ipsum” es cosa del pasado … 

WPfillMe es un servicio web que ofrece un entorno, basado en el editor TinyMCE, desde el que crear contenido real de muestra para utilizarlo en las demos de temas WordPress.

Con pestaña visual y HTML, dispone de tags para añadir los contenidos habituales, como texto, estilos de título, negritas, citas, imágenes con o sin pie de foto, listas, incluso tablas.

Si lo deseas, incluso puede generar contenido de ejemplo para ti, simplemente haciendo clic en el botón “Gimme everything“, que completa tu editor con los elementos más habituales.

Una vez hayas creado el contenido solo tienes que hacer clic en el editor y copiar el HTML para incluirlo en tus entradas de prueba para la demo, más fácil imposible.

La curva de aprendizaje es inexistente, así que puedes empezar a usarlo sin mayores indicaciones y así ofrecer una experiencia de tus desarrollos de temas WordPress y que tus usuarios comprueben ese maravilloso CSS que has preparado para su disfrute.

WordPress es ya el CMS más utilizado y popular, y ese poder conlleva una responsabilidad, la de ser también el CMS más atacado por hackers que quieran hacerse con el control de tal o cual web … hecha con WordPress.

Y no te creas que si tu WordPress no es una web popular no sufrirá ataques, pues muchos de los “exploits” que se crean son para hacer webs zombie, y para eso les vale cualquiera.

De todos los modos que hay de hackear una web, los 3 que más se dan en WordPress, las principales vías de entrada para ataques, son las siguientes:

1. Temas y plugins sin actualizar

Instalar y actualizar temas y plugins en WordPress es muy fácil, y con el sistema de avisos de nuevas versiones integrado, salvo situaciones especiales, no hay motivos para no actualizarlos cuando hay nuevas versiones.

Además, la mayoría de las actualizaciones suelen ser por cuestiones de seguridad que podrían poner en peligro tu web, salvo cuando hay un cambio de versión mayor en WordPress, que entonces obliga a cambiar ciertos códigos en algunos plugins y temas. El resto de las ocasiones, especialmente en los temas, es prácticamente obligatorio actualizarlos.

Muchas veces hablamos de la conveniencia – o no – de los plugins y temas de pago, y una de sus ventajas debe ser el aliciente para el desarrollador de estar pendiente de nuevos ataques o “exploits” y actualizar su producto para solucionarlos, algo que con los temas y plugins gratuitos no siempre es así.

Soluciones

• Mantén actualizado WordPress a la última versión
• Mantén actualizados los plugins WordPress
• Mantén actualizados los temas WordPress
• Aprende los peligros de los plugins WordPress

Fácil ¿no?

2. Datos de acceso débiles

Actualmente puedes elegir el nombre de usuario administrador al instalar WordPress, y sino cambiarlo nada más terminar la instalación, pero aún hay muchos WordPress con el usuario por defecto de nombre admin, y con eso cualquier intruso ya tiene la mitad de la información para acceder a tu WordPress como administrador.

Si a esto le sumas una contraseña simple, fácil de adivinar o que uses en otros servicios online no siempre seguros, estás más que expuesto a posibles accesos no deseados. Es algo que debes solucionar lo antes posible.

Soluciones

• Cambia el nombre de usuario admin lo antes posible
• Cambia la URL de login de WordPress como medida adicional
• Evita dar pistas a hackers en el login
• Limita los intentos de acceso

3. Inyecciones en la base de datos

Este es quizás el método más empleado últimamente para hackear cualquier CMS, WordPress incluido, y lo malo es que no siempre depende de ti que las bases de datos estén seguras, pero al menos hemos de hacer nuestro trabajo para asegurarlas lo máximo posible.

Lo peor es que si un hacker entra en tu base de datos estás perdido del todo, puede hacer lo que sea, no hay límites. Además, luego limpiar una base de datos infectada es un absoluto horror, de lo peor que te puede ocurrir.

Soluciones

• Cambia el prefijo de tu base de datos
• Protege el archivo .htaccess
• Usa htaccess como firewall

Y hasta aquí las 3 maneras más comunes en que suele haber hackeos de WordPress. Vamos a ver si tenemos ayudas genéricas …

Avisos de seguridad de Google

Es horrible cuando visitamos una web y Google nos avisa de que es insegura y puede infectar nuestro sistema, pero para el webmaster es, al menos, un aviso de que algo ha pasado.

Para ello es fundamental que tengas una cuenta en Google Webmaster Tools para gestionar ahí tus webs y poder tener avisos de seguridad e incluso instrucciones de como solucionar intrusiones. Además, Google ya te avisa incluso de cuando tienes que actualizar WordPress.

Luego, en su mismo panel puedes avisarle a Google de que tu sitio está limpio y quitará, tras comprobarlo, el molesto aviso.

¿Cómo evitar problemas de seguridad en WordPress?

Todo esto, como ves está muy bien pero ¿como evito este tipo de intrusiones, hackeos e inyecciones de código?, pues siendo exhaustivo en los básicos, que no me cansaré de repetir:

• Mantener WordPress actualizado a la última versión, única garantía de control de vulnerabilidades conocidas.
• Instalar solamente plugins seguros, a ser posible desde el repositorio oficial.
• Instalar solamente temas seguros, a ser posible desde el repositorio oficial.
• Asegura WordPress con plugins especializados
• Revisar la sección de seguridad de Ayuda WordPress para comprobar que has realizado todas las acciones de seguridad necesarias.
• Suscribirte al feed de Ayuda WordPress para estar informado de las alertas de seguridad.

Servicios WordPress seguros

Ahora bien, si no quieres preocuparte de la seguridad de tu WordPress, siempre puedes recurrir a servicios que te quiten de problemas:

1. Utiliza un WordPress administrado como WordPress.com, simplemente escribes y te olvidas de todo
2. Haz backup de todo, tienes muchos plugins que automatizan las copias de seguridad diarias, para casos de desastre
3. Contrata un hosting especializado en WordPress que haga copia de seguridad automática de tu sitio
4. Install a premium plugin which automatically creates a full backup and sends it to a storage location of your choice.

Para finalizar, y a pesar de que este tipo de artículos a veces acojonan un poco, WordPress es el CMS más seguro.

Hola, esta vez publico para presentarles Oneall, un sitio que permite la integración de nuestro WordPress con diferentes servicios web, tales como Facebook, Google, Hyves, LinkedIn, LiveJoural, Mail.ru, OpenID, PayPal,  Skyrock.com, StackExchange, Steam, Twitter, VKontakte, Windows Live, WordPress.com y Yahoo.

De esta manera, los visitantes de nuestro sitio podrán registrarse como usuarios del mismo haciendo click en un botón (el servicio web con el cual quieran conectarse).

Primero hay que registrarse en https://app.oneall.com/signup/

Hay que elegir la opcion de crear una cuenta personal

Luego, recibiremos un correo electrónico de activación. Una vez confirmada nuestra cuenta, accederemos a nuestro Escritorio (Dashboard), y hacemos click en “Create a new Site”

Allí veremos un sencillo formulario que debemos completar:

El formulario debe quedar mas o menos así:

Ahora iremos a nuestro Escritorio de WordPress y entraremos a la opcion Plugins>Añadir Nuevo, y en el cuadro de búsqueda escribiremos “Social login” y presionamos Enter:

Lo instalamos y vamos a la página de configuración del plugin (previamente lo activamos). Vamos a la sección API settings (dentro de la página de configuración del plugin). Alli rellenaremos con los datos que nos de en oneall.

Y lo ponemos en nuestro WordPress:

Hacemos click en “Verify API settings” y listo.

Ahora iremos nuevamente al escritorio de oneall y allí haremos click en “Social Providers“(la última opción del menú de la izquierda). Ahora veremos la lista de servicios web que están disponibles, los que están marcados con color verde, ya podemos activarlos desde la página de configuraciones del plugin, y los que están marcados en naranja, requieren configuraciones adicionales, que se configuran haciendo click en el servicio en el que hagamos click. Configurarlos es muy sencillo, ya que Oneall nos dice todos los pasos que debemos seguir.

Lista de servicios disponibles

Además, el plugin añade un widget que permite colocar, en el sidebar, los iconos para conectar nuestras cuentas.

Yo tengo el plugin funcionando en mi blog Noticias del Web

Hace ya unas cuantas versiones que WordPress tiene control de versiones pero, no sé si estarás conmigo, la verdad es que no resulta ser el mejor sistema para controlar los cambios en una publicación, al menos en mi opinión.

Aunque odio los editores de texto al uso (intensamente), reconozco que lo mejor que tienen es el control de cambios, de manera que cualquier editor colaborativo sepa en cada momento qué se ha cambiado en un documento para aprobar – o no – las susodichas modificaciones.

Pues bien, esto ya es posible en el editor de WordPress …

Y, como casi siempre, añadir esta funcionalidad es tan sencillo como instalar un plugin, en este caso uno llamado Ice Visual Revisions.

Cuando lo tengas activo verás un nuevo icono en el editor de WordPress, que una vez activado te permite ver los cambios realizados y aprobar o rechazarlos.

El plugin está basado en la librería Ice, desarrollada por el prestigioso diario The New York Times para sus editores, y su funcionamiento es sobresaliente.

Cuando está activo el plugin, los cambios se resaltan, y con el cursor sobre un cambio se muestra quien y en qué momento lo realizó.

Igualmente, al colocar el cursor sobre un cambio, puedes aceptar o rechazar el mismo …

Y, cómo no, cuando aceptes todos los cambios, el texto se muestra normal, sin marcas…

Como ya has adivinado, para un blog colaborativo es una herramienta, no buena, imprescindible.

Una funcionalidad de los viejos foros de toda la vida que es imprescindible son los filtros de palabras prohibidas, aquellas que, si un usuario las escribe en un mensaje automáticamente quedan bloqueadas por el sistema.

Curiosamente, a pesar del enorme crecimiento de WordPress, en parte gracias a su sistema de comentarios que lo hacen activo casi como un foro, disponer de un sistema de filtro de palabras prohibidas era algo de lo más solicitado por los usuarios y no siempre disponible.

Esto se acabó, pues con el plugin WP Content Filter puedes definir fácilmente qué palabras se bloquearán, siendo sustituidas por asteriscos. De este modo, si añades en el campo de palabras prohibidas el término “press” aparecerá como “*****”. Ahora bien, como ya habrás adivinado esto tiene un peligro, y es que si escribe alguien en un comentario o donde sea “WordPress” aparecería como “Word*****”, así que sé concienzudo con qué palabras eliges para bloquear.

Por lo demás, el plugin es sencillísimo. En su pantalla de ajustes tienes un campo para incluir las palabra prohibidas (separadas por comas) y a continuación una serie de configuraciones de cómo quieres que se comporte y donde aplicará el filtro, pudiendo elegir que se filtren prácticamente en todas partes, a saber …

• Entradas
• Widget de entradas recientes de la barra lateral
• Título de las entradas
• Comentarios
• Widget de comentarios recientes de la barra lateral
• Autores de comentarios
• Tags
• Nube de Tags

Como ves, muy completito y, sobre todo, útil y eficaz, genial para quitar manías a los spammers y pesados de la autódromo y cosas así, que siempre hay.

Pruébalo y nos cuentas que tal.

Esta es otra de esas cosas que uno siempre piensa que debería ser posible y ni imagina que ya está disponible, me refiero a la posibilidad de poner WordPress un modo hibernación, de manera que tu web admita visitas e incluso acceso al Escritorio de usuarios registrados mientras realizas tareas de mantenimiento, pero sin peligro de que nadie toque nada.

Alguno me dirá que puedes servir la web entera desde la cache pero no me refiero a eso, sino a tener todo tu WordPress accesible para los visitantes y usuarios registrados pero sin que nadie pueda introducir cambios mientras realizas acciones importantes.

Para esto es para lo que ha nacido Code Freeze, una absoluta maravilla de plugin que, mientras está activo …

• Desactiva añadir, editar o borrar contenido, archivos, temas, etc
• Desactiva instalar, activar, desactivar, actualizar o borrar plugins (excepto el mismo)
• Desactiva comentarios y trackbacks en todos los contenidos
• Quita el widget “Publicación rápida” y avisos de actualizaciones de WordPress o plugins
• Ofrece un aviso en el Escritorio para que los usuarios sepan que cualquier cambio que hagan se perderá mientras esté activo
• Ofrece acceso “solo lectura” al Escritorio

Esto afecta a todos los usuarios, incluidos los administradores, y es perfecto en situaciones de mantenimiento, como cambios de DNS, de alojamiento o dominio, o simplemente cualquier situación en que quieras “hibernar” tu WordPress para que  nadie haga cambios hasta que tu mismo lo decidas.

Cuando haya pasado la situación que requirió el uso del plugin Code Freeze simplemente lo desactivas y todo vuelve a la normalidad, sin tablas añadidas a tu base de datos y todo de vuelta a la normalidad.

¡Mooola mil!

Ya he hablado anteriormente de ManageWP, un gestor integrado de sitios WordPress, pero este sistema adolecía de un problema para algunos, el hecho de que es un servicio que tienes que usar en un servidor externo, no lo puedes instalar donde tu quieras.

Pues bien, ya tenemos una opción, esta vez si alojable en tu propio servidor.

Estoy hablando de InfiniteWP, un software descargable, que no es un plugin WordPress, desde el que puedes administrar tantas instalaciones de WordPress como quieras.

Además, es un software gratuito que, en su actual versión básica inicial permite lo siguiente:

• Acceso remoto con uno solo login
• Copias de seguridad y restauraciones automáticas
• Actualizaciones de WordPress, plugins y temas a un solo clic
• Activación en lote de plugins y temas
• Instalación en lote de plugins y temas
• Organización de tus sitios WordPress en grupos, para una gestión más sencilla

Como puedes comprobar, tienes algunas de las configuraciones premium de ManageWP de manera gratuita en este caso, lo que lo convierte en una muy buena opción.

Ahora bien, hay otras herramientas que no son gratuitas y que aún no se sabe el precio, a saber …

• Gestión integrada de Google Analytics
• Clonado e instalación de WordPress
• Gestión centralizada de entradas y comentarios
• Creación en lote de entradas, páginas y enlaces
• Copias de seguridad programables
• Editor centralizado
• Copias de seguridad a Amazon S3 o Dropbox
• Gestión integrada de usuarios

De nuevo, hay herramientas que ya están disponibles en ManageWP, a precio módico, que en este caso aún no podrás disfrutar hasta que estén disponibles.

En cualquier caso es una muy buena opción para probarlo al menos, pues la instalación es muy sencilla. Solo necesitas descargar la última versión, subirla a la carpeta que desees de un servidor propio y acceder a la ruta elegida, se iniciará el proceso de instalación, igual que pasa con WordPress.

En este proceso solo se te pedirá la información de la base de datos (necesitas una) donde se almacenarán los “ídem” de InfiniteWP. Es rápido y sencillo, como puedes ver en este vídeo:

Los requisitos del servidor para alojarlo, que se comprueban en el proceso de instalación, son tener PHP 5.2.4 o superior con soporte CURL y MySQL versión 5.0.2 o superior.

Luego, una vez instalado, es realmente sencillo crear grupos y empezar a añadir sitios. Para esto también tienes aquí un vídeo que lo explica, aunque es bastante intuitivo el sistema:

Y para terminar, otro vídeo con un repaso de todo lo que ofrece InfiniteWP, el que he probado y, a pesar de estar en la primera versión, funciona más que bien a pesar de las – quizás – pocas funcionalidades iniciales.

O, si lo prefieres, aquí tienes un tour para ver como funciona, además de unas capturas de lo que te encuentras una vez instalado y en marcha.

Seguro que alguna vez has querido modificar los nombres de los tipos de entrada personalizadas, ya sea para ti mismo o para ofrecer una personalización mayor a tus clientes.

¿Te gustaría que las entradas se llamaran artículos, o que en vez de “Añadir nuevo medio” fuera “Añadir nuevo archivo“, por ejemplo?

Pues bien, es muy fácil.

Olvídate de modificar archivos PHP, y muchísimo menos de cambiar algo en los archivos del núcleo de WordPress, que ya sabes que se perderían en las actualizaciones.

Gracias a CPT Editor puedes etiquetar a tu gusto todos los tipos de entrada personalizadas que tengas disponibles:

• Tipos de entrada personalizada del núcleo de WordPress
• Tipos de páginas personalizada del núcleo de WordPress
• El tipo de entrada personalizada “medio” del núcleo de WordPress
• Cualquier tipo de entrada personalizada creada por un plugin
• Cualquier tipo de entrada personalizada creada por un tema

Creo que se cubre todo el espectro ¿no?

Además, es un plugin muy fácil de usar. Su interfaz te muestra inicialmente todos los tipos de entrada personalizada registradas, y puedes editar cada una de ellas a tu gusto, realmente simple, para todos los niveles.

¡Un gran descubrimiento!

Si quieres poner un código QR con el aspecto del logo de WordPress, que además funciona y te lleva a WordPress.org, aquí tienes este bonito código creado por Dougal Campbell con la aplicación QaRt Coder, con la que eliges una imagen, pones la URL de destino y tienes tu código QR personalizado.

Puedes usarlo a tu gusto, donde quieras y como quieras.

No siempre uno quiere que, junto a los artículos, se muestre la fecha en que se publicaron. Lo que pasa es que muchos temas WordPress, la verdad es que la mayoría, incorporan esa “utilidad“, y se empeñan en mostrar la fecha de publicación.

Pero vamos, no te preocupes, es fácil quitar ese elemento ¿molesto? …

Como siempre, vamos a ver como quitar la fecha de publicación de dos maneras:

1. Quitar la fecha de publicación en el código

En realidad es muy fácil, solo tienes que abrir uno de los siguientes archivos (por lo menos) de tu tema:

• index.php
• home.php
• blog.php
• tag.php
• archive.php
• category.php
• single.php
• page.php

Abre esos archivos, y cualesquier otro que muestre archivos de entradas de algún modo, y procede a eliminar cualquiera de los siguientes códigos, o similares, si los encuentras:

<?php the_date(); ?>

<?php the_time(); ?>

<?php the_time('F jS, Y') ?>

Published on <?php the_time('F jS, Y') ?>

Publicado el <?php the_time('j F, Y') ?>

Guardas los cambios y ya lo tienes

2. Quitar la fecha de publicación con plugin

Ahora bien, si no tienes aún sobrecargado WordPress de plugins, o tienes un miedo atroz a modificar cualquier archivo de tu tema, siempre puedes instalar el plugin llamado WP post date remover.

Lo mejor de este plugin es que no hay nada que configurar pues ni siquiera tiene página de ajustes, simplemente lo instalas, lo activas y ya está. Además, funciona en muchísimos temas, aún los más actualizados a las últimas versiones de WordPress.