Las acciones más importantes que debes tomar después de instalar WordPress

Miércoles, 20 de agosto de 2014 |

Comentarios desactivados

Depués de haber instalado WordPress en tu servidor es hora de ponerte las pilas y tomar una serie de acciones que son muy importantes. Entra y entérate.

1. Instala un tema que se adapte bien a tu sitio web.

Tienes miles de temás gratuitos que puedes buscar e instalar desde el propio panel de administración de WordPress, es muy fácil.

Por otro lado, si lo que quieres es un sitio porfesional puedes hacerte con algún tema Premium de pago. Es algo muy recomendable que hace la mayoría de los bloggers profesionales.

2. Instala un plugin de seguridad.

Aunque no lo creas, existen muchas amenazas que pueden poner en peligro la seguridad de tu blog. Para evitarlas existen muchos plugins que mejorarán la seguridad de tu instalación por defecto.

El que yo uso en mi blog iThemes Security. Te lo recomiendo. Entre otras muchas cosas bloquea las IPs que intentan loguearse en tu panel de administración para tomar el control por fuerza bruta.

3. Elimina el contenido por defecto

Cuando haces una instalación de WordPress desde cero se instalan archivos con contenido por defecto para que puedas crear tu blog rápidamente. En realidad ese contenido no vale para nada, además de que suele venir en inglés.

Elimina el post “Hello world“, también la página predefinida así como el comentario que viene con la instalación.

4. Estrucutra amigable de tus urls

Para el SEO de tu blog es muy importante que cambies la estructura por defecto de las urls de WordPress. Debes poner la del tipo: www.ejemplo.com/nombre-del-post.

5. Crea un sitemap

Un sitemap es un archivo con la estructura de tu sitio web. Es muy importante para Google, de forma que sus arañas puedan indexar correctamente todas las páginas.

Puedes crear un sitemap XML muy fácilmente con plugins de WordPress. Una vez lo tengas creado debees subirlo a Google Herramientas para webmasters.

6. Instala un plugin de caché

Es importante para el buen rendimiento de tu sitio web que tengas instalado un plugin que se encarge de gestionar la caché. ¿Por qué? Porque de ese modo se reducen los tiempos de descarga de los contenidos de tu sitio e incrementando el rendimiento de tu hosting.

7. Instala un plugin de backup

Una de las perores cosas que peuden pasarte cuando tienes un sitio con WordPress es que se te corrompan los datos, seas hackeado o simplemente pierdas el control de tu blog.

Esto no suele ocurrir con un CMS como WordPress pero siempre es mejor prevenir. Para ello te aconsejo que instales algún plugin para realizar backups como Better WP Security.

Una de las grandes ventajas de este plugin es que puedes hacer backups programándolos de forma periódica y sin necesidad de que estés delante del ordenador.

Espero que hayas entendido que después de la instalación de WordPress necesitas seguir configurándolo antes de ponerte a escribir. Te recomiendo que sigas aprendiendo más sobre la instalación y configuración WordPress porque es invertir el tiempo de forma inteligente.

Personaliza todo lo que puedas tu instalación de forma que asegures y optimices tu sitio web.

Ver artículo completo...

WorPress 4.0 beta 4

Viernes, 15 de agosto de 2014 |

Comentarios desactivados

Ya queda menos para la versión final de WordPress 4.0 y hoy ha salido a la luz la última beta.

Con más de 250 cambios, en la beta 4 sobre todo se ha mejorado la barra de iconos del editor, que ya sabes que en WordPress 4.0 sigue el scroll, mejoras en el selector de idiomas en la instalación y se ha adaptado a pantallas pequeñas el nuevo diseño estilo rejilla del gestor de adjuntos multimedia.

Es importante que la descargues para probarla y avises de fallos o incompatibilidades, si las hubiera, o al menos pruébala en la web que he creado para versiones de desarrollo.

Ver artículo completo...

Vulnerabilidad en el plugin Disqus: encontrada y solucionada

Viernes, 15 de agosto de 2014 |

Comentarios desactivados

Disqus WordPress

Hace ya unos meses que un investigador descubrió vulnerabilidades en el plugin de Disqus para WordPress que, afortunadamente, ya han sido solucionadas.

Nik Cubrilovic, que es como se llama el buen samaritano, descubrió hasta tres posibles fallos graves en el plugin. El problema más gordo era un fallo que podría permitir una petición cruzada (XSS) en el fichero “Manage.php” del plugin, utilizado para los ajustes del mismo.

El problema es que había parámetros sin el filtrado necesario que impidiese a un atacante inyectar un exploit.

Para demostrarlo, el investigador de seguridad creó un exploit
de ejemplo y lo probó en un escenario real, enviando un correo electrónico engañoso al administrador de la web de pruebas.

Se requería algo de ingeniería social para convencer al usuario a visitar la web del atacante y que así funcionase el exploit pero funcionar funcionaba.

También descubrió que no había un nonce en el fichero de ajustes que comprobase el envío de datos, vamos, que no utilizaba la función wp_verify_nonce que cualquier desarrollador debe aplicar como medida básica de seguridad de comprobación de que un nonce es válido.

Los creadores del plugin Disqus para WordPress incluyeron unnonce pero no lograron que se verificase en el envío, con lo que se seguía permitiendo que un atacante borrase ajustes del plugin o lanzase un exploit.

Afortunadamente, el experto localizó un parámetro sin filtrar en el script de actualizaciones del plugin que podía arreglarse y así evitar un script XSS.

Todas estas vulnerabilidades las informó a Disqus el 9 de junio, quedando solucionadas el 29 de junio con la versión 2.7.6, con mejoras que incluían no solo la solución a los fallos detectados por Cubrilovic sino también por otros investigadores de seguridad como Alexander Concha y Marc-Alexandre Montpas. Además, Disqus lanzó la versión 2.7.7 que contenía mejoras adicionales de seguridad.

Así que tranquilo, Disqus es seguro, además de ser el sustituto de la gestión nativa de comentarios de WordPress más utilizado, con más de 1,4 millones de descargas y utilizado en las webs más importantes, incluido este blog :)

Fuente: Security Week

Ver artículo completo...

Problemas de acceso a WordPress.com por bloqueo de IPs

Domingo, 10 de agosto de 2014 |

Comentarios desactivados

ip bloqueada wordpress

En las últimas horas se está informando de multitud de usuarios que no pueden acceder a sus blogs alojados en WordPress.com.

El problema parece estar motivado porque WordPress.com ha bloqueado las IPs del proveedor de servicios (ISP) Sky Network, que gestiona tráfico desde Europa hacia los EEUU y otros países.

wordpress españa twitter aviso ips bloqueadas

Esto ha sido debido a que WordPress.com ha detectado IPs, provenientes de ese proveedor, que podrían constituir un peligro para sus servidores, así que han bloqueado a todo el ISP, al menos de momento.

Así que si no puedes acceder a tu blog o incluso a todo WordPress.com puede que sea debido a que WordPress.com tenga tu IP entre las bloqueadas.

wordpress.com bloquea ips

No sabemos nada más de momento, así que paciencia. Entre tanto puedes animarte a instalar tu propio WordPress, el .org, el auténtico, y así no depender de las decisiones de otros en el futuro. Y sino nada, a esperar.

Ver artículo completo...

WordPress 3.9.2, actualización de seguridad

Miércoles, 6 de agosto de 2014 |

Comentarios desactivados

wordpress en la diana

Si tienes activas las actualizaciones automáticas en segundo plano ya debes tener instalada la versión 3.9.2 de WordPress, una actualización de seguridad.

Esta actualización soluciona importantes fallos de seguridad, y de paso ha supuesto la primera ocasión en que el equipo de seguridad de WordPress ha trabajado de la mano con el equipo de seguridad de Drupal para solucionarlos, una buena práctica en la que ganamos todos.

En concreto, esta versión incorpora estos parches:

  1. Soluciona la posibilidad de denegación de servicio al procesar XML PHP en XML-RPC
  2. Arregla una posible, aunque improbable,  posibilidad de ejecutar código al procesar widgets.
  3. Evita fugas de información a través de entidades XML en la librería GetID3.
  4. Añade protección frente a ataques de fuerza bruta mediante instancias CSRF.
  5. Evita ataques de scripts cruzados (XSS) que podría lanzar un administrador.

La lista de los archivos modificados, que sé que a muchos os gusta controlar estas cosas, es la siguiente:

  • readme.html
  • wp-admin/about.php
  • wp-includes/ID3/getid3.lib.php
  • wp-includes/class-IXR.php
  • wp-includes/class-wp-customize-widgets.php
  • wp-includes/compat.php
  • wp-includes/pluggable.php
  • wp-includes/version.php
  • wp-login.php

Si no tienes activas las actualizaciones automáticas ya estás tardando en pasarte por la página de actualizaciones del escritorio de WordPress y actualizar ahora mismo a WordPress 3.9.2.

También se han actualizado las ramas anteriores de WordPress a las versiones 3.7.4 y 3.8.4 (por si aún las usas) y se ha lanzado la beta 3 de WordPress 4.0.

Ver artículo completo...

Link Shield, protección contra la Tasa Google

Jueves, 31 de julio de 2014 |

Comentarios desactivados

Link Shield

El próximo septiembre se comenzará a aplicar el canon conocido como Tasa Google. En lo que consiste es que si se enlaza una web dando algo de información sobre lo que hay en ella (resumen o mención), hay que pagar una tasa. En el caso en que no se pagara la tasa, podrían llegar a sancionarte con una multa que podrá ir desde los 300€ a los 30.000€.

En la teoría, ninguna página española que sea enlazada, puede renunciar a cobrar esta tasa, pero ¿cuál es el problema? Que solo los miembros de AEDE y CEDRO se repartirán los beneficios. Por ejemplo, cualquier sitio que copiara Ayuda WordPress, debería pagar esa tasa a AEDE y CEDRO, pero el dueño de Ayuda WordPress no vería ni un euro, ya que no es miembro de estas asociaciones. Pero no nadad que van a comenzar con los asociados, ya que el cobrar de todos, por todo, seguro que les puede traer muchos problemas.

El próximo mes de setiembre, se pondrá en funcionamiento esta nueva ley si nadie da marcha atrás o lo impide, cosa que nadie sabe, en ese momento comenzarán a buscar backlinks a los asociados y a enviar peticiones de la tasa.

¿Qué es lo que podemos hacer? Bien, la solución pasa por eliminar todos los enlaces a los miembros de esas dos asociaciones, pero está claro que teniendo en cuenta que hay unos 86 miembros, puede llegar a ser complicado. Si tienes los comentarios abiertos, como la inmensa mayoría, aun más complicado, y si usas BuddyPress o bbPress, ya es imposible de gestionar, ya que ¿cuántos usuarios pueden haber realizado menciones a páginas de los asociados?

La solución pasa por la utilización del plugin gratuito Link Shield. Este plugin eliminará de forma automática todos los enlaces que tengáis a estas asociaciones en las entradas, comentarios, BuddyPress, bbPress al igual que en todos los sub sitios de una instalación de WordPress Multisitio, vaya, que gracias a este plugin gratuito puedes llegar a ahorrarte un susto de miles de euros.

El momento de instalarlo y activarlo, es ahora mismo ya que deben desaparecer los backlinks para que no puedan encontraros en septiembre. Si esperáis a la puesta en marcha de la ley, quizá sea demasiado tarde.

El funcionamiento de este plugin es bien sencillo, se instala, se activa y listo, ninguna configuración necesaria, aunque en próximas versiones vendrá con sorpresas. En el preciso instante que lo activéis, todos los enlaces a los asociados que haya en entradas, comentarios, actividades de BuddyPress o foros de bbPress, serán eliminados, ojo, no se eliminarán de la base de datos, solo no se mostrarán. En cualquier momento podréis desactivar este plugin y todo quedará tal y como estaba antes de su activación.

Recordad, el no instalarlo ahora y activarlo, puede significar que en septiembre lo lamentéis ¿o estáis seguros al 100% que en ninguna parte de vuestro sitio hay un enlace a una de esos 86 webs? Yo no me la jugaría.

Ver artículo completo...

Buscar adjuntos de WordPress también por pie de foto y texto alternativo

Viernes, 25 de julio de 2014 |

Comentarios desactivados

roy lichtenstein girl with hair ribbon

Si vas a insertar un adjunto en una entrada ya sabrás, y sino te lo digo yo ahora, que las palabras que introduzcas en el buscador del navegador de medios o la librería multimedia solo las buscará WordPress en el título del adjunto o en su descripción, y eso casi nunca es suficiente.

Porque no siempre te acuerdas del título de una imagen que quieres insertar, y mucho menos de la descripción que pusiste, pero seguro que en muchas ocasiones te acordarás si llevaba un pie de foto con referencia al autor – aunque sea “Agencias” – o recuerdas que en el texto alternativo indicabas el nombre del autor del adjunto, por ejemplo.

En cualquier caso, siempre es mejor tener más opciones que menos, y WordPress en esto se queda corto, buscando solo en el título y la descripción, así que vamos a mejorarlo.

¿Cómo? pues instalando Media Search Enhanced, un bonito y sencillo plugin que, nada más activarlo, convierte el buscador de adjuntos del navegador de medios en algo mucho más útil que 1 segundo antes de activarlo, así de simple.

¿Qué hace?, pues …

  • Buscar en todos los campos posibles del navegador de medios y la librería multimedia: título, pie de foto, texto alternativo y descripción.
  • Buscar adjuntos en taxonomías, incluido el nombre, slip y la descripción.
  • Buscar adjuntos por nombre de archivo.

En definitiva, que pasas de no encontrar nada …

buscador adjuntos wordpress

A encontrarlo todo …

buscador adjuntos wordpress mejorado

Ver artículo completo...

Vulnerabilidad del plugin MailPoet compromete la seguridad de miles de WordPress

Jueves, 24 de julio de 2014 |

Comentarios desactivados

wysija mailpoet hacked vulnerability

El causante de la vulnerabilidad de la que hablamos ayer, del ataque masivo de malware a sitios WordPress, se ha descubierto que era el plugin MailPoet, antes conocido como Wysija Newsletter.

En una actualización del blog de Sucuri, sitio especializado en seguridad informática, informan que el plugin MailPoet es la puerta de entrada de los miles de ataques.

Lo peor de todo es que una vez introducido el malware a través de la vulnerabilidad de MailPoet no hace falta que tengas instalado tu mismo el plugin, pues el atacante puede infectar cualquier web, WordPress o no, que comparta servidor con el sitio vulnerable.

Los ataques se inician con el hacker tratando de subir un tema personalizado para MailPoet malicioso al sitio vulnerable:

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

Si consigue subir el tema infectado accede a su puerta trasera desde /wp-content/uploads/wysija/themes/mailp/:

194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Y toma el control total del sitio, ahí es nada.

El número de sitios infectados los últimos días ha sido exponencial …

infecciones mailpoet wordpress

La puerta trasera inyectada crea un usuario con derechos de administración denominado 1001001 que, obviamente, habrá que borrar de la base de datos de WordPress, y también injerta código de puerta trasera en todos los archivos del sistema y de los temas, complicando la limpieza del sitio atacado, que pasa la mayoría de las veces por una reinstalación completa de todos los archivos para asegurarse.

Tontería sería solo actualizar el plugin, porque mantendrías la puerta trasera que permite la infección masiva, sino borrar la carpeta del plugin y luego instalar la última versión, la única que no es vulnerable, actualmente la 2.6.9.

Luego, por precaución, o revisas todos los archivos de tu instalación, o recurres a una copia de seguridad limpia o reinstalas todo.

Una vez estés seguro de tener una instalación limpia te recomiendo encarecidamente que asegures tu instalación de WordPress y, sobre todo, seas exhaustivo con las medidas de prevención ante plugins que podrían suponer un riesgo.

Ver artículo completo...
Artículos Anteriores