A ninguno se nos escapa que WordPress es un CMS que se actualiza a cada necesidad o vulnerabilidad descubierta. Mediante las actualizaciones de seguridad – a pesar de que a algunos les moleste andar actualizando cada dos por tres – mantenemos WordPress seguro y al día.

Pero hay veces en que algunos fallos tardan en acometerse por parte del equipo de desarrollo, y es aquí donde entra Hotfix.

Este plugin es una especie de parcheador de fallos, que mantiene tu WordPress seguro y al día hasta que salga la próxima versión estable de WordPress o actualización que solucione el fallo en cuestión.

Su uso es sencillo: lo instalas, lo activas y funciona solo, aplicando los parches necesarios para mantener tu WordPress a tono.

Si lo instalas ahora, y dependiendo de tu versión de WordPress instalada, lo que soluciona es lo siguiente:

• WordPress 3.3
  • Evita que los estilos de plugins y temas se infiltren en el Escritorio
  • Soluciona un fallo para servidores sin soporte preinstalado de JSON
• WordPress 3.2
  • Incluye soporte de JSON para configuraciones PHP extrañas
• WordPress 3.1.3
  • Soluciona un fallo que hace que post_status funcione mal si se pasa un array
• WordPress 3.1
  • Soluciona un fallo que provoca algunas manipulaciones en queries de taxonomías  (como al excluir categorías), y que hace que no funcionen como deberían.
• WordPress 3.0.5
  • Evita que KSES muestre imágenes recortadas y fallos HTML en los comentarios del Administrador/Editor.

Creo que no hace falta decir que si no estás seguro de necesitarlo mejor no lo instales.

Artículos Relacionados:

• ¡No más contraseñas en WordPress!
• WordPress como herramienta contra la censura
• Cómo exportar e importar widgets personalizados
• WordPress 3.3.1, actualización de seguridad
• 15 maneras de asegurar WordPress

Si quieres ofrecer un formulario de acceso a tu sitio WordPress, pero no te gusta usar el widget Meta, o tu tema no trae una plantilla de página al efecto, puedes preparar tu propio shortcode que, insertado en entradas o páginas, permitirá acceder a tu sitio de un modo totalmente integrado en tu tema.

Para ello solo tienes que añadir un pequeño código …

Solo son 2 pasos:

1. Abres el fichero functions.php de tu tema activo y añades lo siguiente:

   //Shortcode para login donde quieras
   function ayudawp_formulario_login_shortcode() {
   	if ( is_user_logged_in() )
   		return '';
   
   	return wp_login_form( array( 'echo' => false ) );
   }
   
   function ayudawp_add_shortcodes() {
   	add_shortcode( 'ayudawp_formulario_login', 'ayudawp_formulario_login_shortcode' );
   }
   
   add_action( 'init', 'ayudawp_add_shortcodes' );
   

   Guardas los cambios.

2. Añades el nuevo shortcode en cualquier parte de una entrada o página:

   [ayudawp-formulario-login]

Y ya lo tienes. ¡Que lo disfrutes!

Artículos Relacionados:

• Hotfix, parcheando WordPress con estilo
• Añadir extensiones (.html o .php) a páginas WordPress
• Instala WordPress sin instalarlo
• Distinto color según el estado de las entradas
• WordPress con Timthumb hackeado hacen black hat SEO en Google Images

Añadir una extensión a la URL de las entradas en WordPress, aunque supongo que ya lo sabes, es tan simple como ir a ‘Ajustes -> Enlaces permanentes‘, ahí eliges la opción de ‘Estructura personalizada‘ y pones /%postname%.html o /%postname%.php, lo que más te guste.

Ahora bien, esta configuración no afecta a las páginas, que quedarán del tipo /%postname%, más feúchas si lo quieres así.

Pero bueno, ya sabes que todo tiene solución sencilla …

Para ello nos valdremos, para no liarnos, de un par de plugins a elegir:

• Extensión .html en páginas
• Extensión .php en páginas

Y no hay nada que hacer, instalas el que necesites, lo activas y ya lo tienes. Creo que huelga decirlo pero por si acaso solo comentar que no funcionan bien si instalas ambos al mismo tiempo.

Simple y efectivo.

Ha sido un placer

Artículos Relacionados:

• Hotfix, parcheando WordPress con estilo
• Formulario de acceso donde quieras
• Entradas recientes de toda la red en WordPress multisitio
• Instala WordPress sin instalarlo
• Humans.txt

Y si ayer veíamos como instalar WordPress sin MySQL hoy damos un paso adelante ¿no?

Lo que hace es, a través de un sencillo proceso de instalación (vale, si, hay que instalar algo, pero no WordPress), poner a tu disposición un WordPress listo para usar de manera local, sin que tengas que hacer instalaciones en tu ordenador de PHP, MySQL o incluso Apache (en realidad si los instala pero al estilo “mobile”). De hecho puedes instalar el WordPress en cualquier carpeta y, si me apuras, incluso en un pendrive.

Una vez instalado se me ocurre que puede estar muy bien para llevarlo en un disco externo, o un pendrive, y hacer pruebas o muestras a clientes, instalando plantillas, plugins, haciendo pruebas de desarrollo, lo que quieras.

Lo que no sirve es para instalar tu web, pero seguro que encuentras mil y una utilidades para Instant WordPress

Visto en Wwwhatsnew

Artículos Relacionados:

• Hotfix, parcheando WordPress con estilo
• WP Wizard, un asistente para preparar tu WordPress a medida
• Formulario de acceso donde quieras
• Añadir extensiones (.html o .php) a páginas WordPress
• Instala WordPress sin usar MySQL

Si tienes muchas entradas en tu sitio, especialmente si hay varios usuarios y te toca la labor de aprobar entradas pendientes de revisión, no siempre es suficiente con el texto que así te lo indica.

Un modo genial, además de chulo, de distinguir las entradas por su estado sería que se mostraran en distinto color en la ventana del listado de entradas ¿no?.

Pues conseguirlo es muy sencillo, solo tienes que añadir este código al fichero functions.php de tu tema activo y ya lo tienes:

Los colores elegidos son de muestra, pero los puedes cambiar por tu hexadecimal preferido como es natural.

Artículos Relacionados:

• Hotfix, parcheando WordPress con estilo
• Formulario de acceso donde quieras
• Añadir extensiones (.html o .php) a páginas WordPress
• Instala WordPress sin instalarlo
• WordPress con Timthumb hackeado hacen black hat SEO en Google Images

Según el blog de Unmask Parasites, más de 4.000 sitios WordPress hackeados estarían inundando de imágenes utilizadas para posicionar sitios de falsos antivirus.

Lo que hacen estos indeseables del Black Hat SEO, usando el exploit en Timthumb del que avisé, es lo siguiente …

Con el siguiente patrón de URL: hxxp:///?[a-f]{3}= , donde [a-f]{3} es una combinación de tres letras desde la "a" a la "f" y las son combinaciones de palabras clave separadas por guiones que contienen o imágenes de palabras o imágenes normales, por ejemplo:

hxxp://ejemplo.com/?fef=imágenes-de-mitzi-mueller-wrestling
hxxp://ejemplo.net/?cda=imagen-frutas-tropicales-index

Para ello usan páginas con puerta trasera que introducen en plantillas normales de sitios WordPress, donde el contenido original se reemplaza con unas veinte miniaturas y pequeños bloques de texto relativos a las palabras clave a posicionar.

Las imágenes no están enlazadas desde sitios externos sino que enlazan a imágenes a "tamaño completo" con URLs como estas:

Por ejemplo:

En la parte superior de las imágenes se muestra una inscripción - el nombre de dominio del sitio hacheado. De este modo los indeseables estos hacen parecer que las imágenes pertenecen al sitio que han hackeado, como si fuera contenido propio, no imágenes insertadas o robadas. Al mismo tiempo, de este modo, es más fácil identificar la imagen envenenada en los resultados de búsqueda.

Los archivos de imágen contienen la siguiente cadena en su interior: < CREATOR: gd-jpeg v1.0 (using IJG JPEG v62), quality = 100. Esto significa que se crearon usando la biblioteca gráfica GD.

Parece ser que los hackers usan un script PHP para coger imágenes bien posicionadas (en los resultados de búsqueda de Google Imágenes), las redimensionan a tamaño de miniatura (un ancho de entre 200 y 300 pixels) y a tamaño completo (algunas a tamaño aleatorio, en algunos casos incluso a tamaños mayores que la original, para posicionarlas mejor al ser más grandes en pixels) y finalmente añaden el sello del nombre del dominio hackeado.

Marcas temporales

Al fondo del código HTML de las páginas puerta trasera puedes ver comentarios como estos:

La marca temporal y las palabras clave. De este modo puedes fácilmente ver cuando se creó la puerta trasera.

Redirecciones

Las páginas puerta trasera tienen buenas posiciones en algunas palabras clave tanto en la búsqueda web de Google como en la de Imágenes (especialmente cuando buscas la frase exacta). Sin embargo, las redirecciones maliciosas ocurren solamente cuando haces clic en el resultado de búsqueda en Google Imágenes, lo que prueba que la meta final es inundar Google Imágenes de estas imágenes, o sea, una campaña pura y dura de black-hat SEO.

La redirección tiene dos etapas. En la primera la redirección va a un servidor intermedio (TDS) que, a continuación, redirige a unas páginas web que lanzan una herramienta antivirus falsa (hay dos variaciones diferentes).

Esta es una cadena real de redirección:

Como puedes ver, el servidor TDS recibe información acerca de las palabras clave, la fuente, y de la URL de referencia.

El dominio intermedio cambia cada día. En realidad pertenecen a otros sitios hackeados (en su mayoría creados con WordPress)

Aquí tienes unos cuantos dominios del TDS intermedio usados en este ataque:

video.bywhy .com
ppopo2.bget .ru
awalstudios .com
demo.hireindians .net
www.privatepilot .hu
footballgirdles .tk

El nombre de dominio de la página web del falso antivirus consiste en un dominio .in que cambia cada día, y unos cuantos subdminios "updateNN" o "scanNN", por ejemplo, "update82.yourscan.in" o "scan73.moomles.in.

Aquí tienes unos cuantos dominios .in de los falsos sitios antivirus usados en este ataque:

spelleit .in
svernick .in
senerino .in
moomles .in
klopster .in
bastandro .in
waspeeds .in
yourscan .in
x-scan .in

La mayoría de los sitios .in apuntan a la dirección IP 193.105.154.31 (Reino unido, con información de contacto de Lituania).

Rango de detección

Los falsos sitios antivirus lanzan ejecutables .exe "scareware" con nombres como InstallSecurityScanner_NNN.exe, o
InstallSecurityScanner_225.exe. Estos archivos se vuelven a re-empaquetar cada día y su rango de detección (según VirusTotal) es bastante bajo. El rango típico de detección para ficheros servidos actualmente es de 8/43 (18,6%). Esto suele mejorar en tanto en cuanto el fichero malicioso no se use y se sirva un nuevo fichero con bajo rango de detección desde el servidor del antivirus.

Como he comentado arriba, y por concretar más, se han detectado 4.358 sitios comprometidos. Actualmente Google ha detectado menos del 5% de los mismos. Si usas la página de diagnóstico de navegación segura de Google te dice algo así:

El software malicioso está alojado en 2 dominio(s), incluyendo bastandro .in/, senerino .in/.

Parece que 3 dominio(s) están funcionando como intermediarios para distribuir malware a los visitantes de este sitio, incluyendo hireindians .net/, awalstudios .com/, bywhy .com/.

Timthumb

Como ya avisé hace unos días, hay que poner al día Timthumb si lo usa tu tema, no hay excusas, más visto lo visto de los resultados ¿no te parece?

.htaccess

Pero no solo Timthumb es el culpable, también se han detectado sitios en los que hackers han creado un .htaccess con reglas de rewrite superiores al directorio raíz del sitio. Las reglas de rewrite mapean las URLs puerta trasera a algún script PHP. Ahí es nada.

Cache

Todas las páginas puerta trasera están cacheadas en alguna parte del servidor. Al contrario que otros ataques de envenamiento SEO estos no se hacen en vivo. Si especificas algunas palabras clave diferentes en la URL obtendrás un error 404. Dicho sea de paso, estas páginas de error 404 son distintas a las normales que tenga el sitio hackeado.

Otra prueba de que el contenido spam está cacheado y de que no se inyecta en la ejecución de páginas activas de WordPress son las marcas temporales en el fondo del código HTML y de las entradas antiguas de la sección de "Entradas recientes". En algunos sitios, en vez de una plantilla real del sitio, usan una plantilla prefabricada de Kubrick con una marca final que no cambia de sitio a sitio sino que es siempre la misma (WordPress 2.3.1, 22 queries, 0.912 seconds).

¿Que hago?

Hay varias comprobaciones y/o acciones que podemos realizar:

1. Pues lo primero repasar tu fichero .htaccess y elimina cualquier regla de rewrite que no sepas que hace. Ante la duda bórralo y vuelve a guardar la estructura de enlaces permanentes en los Ajustes de WordPress para que se vuelva a crear uno limpio.
2. Actualiza TimThumb a la versión segura. Ya te he puesto los enlaces a las maneras de hacerlo más arriba, en la entrada que escribí el otro día tienes los distintos modos de hacerlo
3. Ve a las Herramientas para Webmasters de Google y revisa si tu sitio tiene software malicioso
4. Instala algún plugin detector de exploits y ejecútalo. Hay varios y buenos "en el repositorio oficial", haz una búsqueda por "exploit"

Que no sea nada

Gracias a Juan por el aviso

Artículos Relacionados:

• Mejora el Posicionamiento Web con tu WordPress
• Añadir rel=”author” y rel=”me” en WordPress
• Consejos para elegir palabras clave de calidad sin herramientas de investigación
• ¡No más contraseñas en WordPress!
• WordPress como herramienta contra la censura

Hace mucho tiempo, te guste o no, existe en WordPress.com el servicio conocido como Snap Shots, facilitado por 'mshots', mediante el cual, si está activo, puedes ver una captura emergente de una web sobre su enlace ¿a que te suena?.

Pues bien, puedes usar este servicio también en tu WordPress alojado de dos maneras, mediante un código que aprovecha el 'mshots' alojado en WordPress.com, para que no tengas que instalarlo tu mismo y, si lo prefieres, mediante un sencillo plugin.

Vamos a ver las dos maneras de hacerlo …

1. Plugin

Bien sencillo, solo tienes que instalar el plugin Snap Shots para WordPress.org, activarlo y ya podrán ver tus visitantes capturas emergentes de las URLs enlazadas en tus entradas. El resultado es fácil e inmediato.

Solo hay un paso previo, registrarte y obtener un código en la web de Snap Shots

2. Código

El otro modo, más personalizable por supuesto, pasa por añadir un código al fichero functions.php de tu tema activo y luego activar - a voluntad - las capturas (o no) de las URLs que enlaces en tus entradas. Como puedes ya vislumbrar aquí tienes mucho más control sobre el contenido que en la opción de plugin.

Lo primero es añadir este código al fichero functions.php:

Con esta función creamos el 'shortcode' que podrás usar en tus entradas y, en caso contrario, hará capturas por defecto de tu propia URL, en este caso a ayudawordpress.com. También definimos una altura y ancho de la captura por defecto, que podemos modificar en cada shortcode si lo deseamos.

Por ejemplo, si en una entrada introducimos esto … 

[captura url="http://ayudawordpress.com/servicios/" alt="Servicios Ayuda WordPress" w="300" h="200"]

Lo que hacemos es introducir una captura de la página de servicios de Ayuda WordPress con un ancho de 300px y un alto de 200px, con lo que modificamos los parámetros por defecto.

Fácil ¿no?

Bueno, pues tu eliges el método, si es que te gusta esto de los "snap shots", a mi personalmente me horroriza.

Artículos Relacionados:

• Hotfix, parcheando WordPress con estilo
• Formulario de acceso donde quieras
• Añadir extensiones (.html o .php) a páginas WordPress
• Instala WordPress sin instalarlo
• Distinto color según el estado de las entradas

Contenidos de "Herramientas de Desarrollo de Navegadores"

1. Opera + DragonFly
2. Firefox + Firebug
3. Internet Explorer + Developer Tools

Casi llegamos al final de esta serie de herramientas de desarrollo integradas en los navegadores. No cubriremos todos los navegadores existentes, pero si los mas importantes. Hoy vamos a adentrarnos en las posibilidades que nos ofrece Internet Explorer a la hora de ofrecer herramientas para webmasters o navegantes curiosos.

Para ello nos vamos a valer de las Developer Tools, ya incluidas de serie en la versión ßeta de Internet Explorer 8 y que pueden descargarse para Internet Explorer 7.

No obstante, la barra para desarrolladores de Internet Explorer 7 adolece de bastantes fallos por lo que es mas recomendable utilizar la DebugBar en su lugar, que ofrece la misma funcionalidad. Es de suponer que cuando salga a la luz la versión definitiva de Internet Explorer 8 salga como aplicación en descarga separada.

Metidos en harina, ciertamente no parece que vaya a ser mi preferida porque adolece de bastantes cuestiones. Por una parte, es interesante la opción de “Seleccionar elemento mediante clic“, similar a la herramienta Inspect que veíamos en el artículo de Firefox + Firebug, no es igual de potente pero funciona muy bien.

Un fallo importante es que no permite la edición “al vuelo”, por lo que no podrás visualizar cambios realizados en el PHP, CSS o XHTML de la página que visualizas.

Muy parecida a Dragonfly, el hecho es que es casi una necesidad la existencia de esta herramienta, a pesar de que no aporte nada de relevancia, y es necesaria para muchos desarrolladores que utilicen Internet Explorer como navegador principal.

Bueno, menos mal que mañana veremos la mejor herramienta de todas, y mi recomendación especial.

Artículos Relacionados:

• Cambia el estilo de tus smileys
• Hotfix, parcheando WordPress con estilo
• Formulario de acceso donde quieras
• Añadir extensiones (.html o .php) a páginas WordPress
• Quitar el aviso de navegador anticuado en WordPress

Con la plantilla anterior nunca llegué a estar satisfecho del todo, y además tenía algún problema de visualización con el navegador Safari, y de cumplimiento de estándares.

Ahora, con esta nueva versión, hay importantes novedades que detallo:

• Diseño minimalista con fuerte énfasis en el contenido
• Navegación por páginas y secciones simplificada
• Menos publicidad en la página principal y dirigida principalmente a contenido (volvemos temporalmente a Adsense)
• En la página de artículos publicidad prominente solo para usuarios orgánicos (provenientes de buscadores) y no intrusiva para lectores habituales
• Navegación por pestañas en la barra lateral, con información del blog, archivo, últimos comentarios y tags
• Nueva sección exclusiva de vídeos en la barra lateral.
• Nueva sección exclusiva de fotos alojadas en Flickr (serán fotos de stock principalmente)
• Ahora los miniposts van en la barra lateral, en la sección de “Noticias Breves”
• Información del autor al final de cada artículo
• Separación de comentarios y referencias a cada artículo
• Banners de 125×125 rotativos
• Nuevo logotipo (en construcción aún – aún no sabemos que acabará en vez de las pilas de periódicos, se admiten sugerencias)
• Sustitución de plugins por código directo PHP para mejorar la velocidad de carga

Aún hay algunos retoques que mejorar pero no queríamos esperar mas para estrenarla. Algunas cosas que tenemos que mejorar aún son el logotipo y algún aspecto del diseño interno (CSS) pero por lo demás estamos bastante satisfechos, no solo con su aspecto sino también con la velocidad de carga.

Por supuesto, tu opinión es importante y agradeceremos cualquier sugerencia, queja o aportación. Aquí tienes unas capturas de la evolución de CiberPrensa …

Artículos Relacionados:

• Cambia el estilo de tus smileys
• Hotfix, parcheando WordPress con estilo
• Formulario de acceso donde quieras
• Añadir extensiones (.html o .php) a páginas WordPress
• 10 maneras de reducir el “bounce rate” en WordPress

Empezaremos con la Guía de Instalación y Uso de Piwik …

Lo primero que debes tener en cuenta son los requisitos de Piwik. No te va a pedir nada raro, de hecho requiere lo mismo que para instalar WordPress: PHP y MySQL. Por supuesto debes tener un sitio donde alojarlo y los 5 minutos que se tarda en instalarlo (si, 5 minutos … o menos).

Instalación de Piwik

1. Crea un subdominio para Piwik o una subcarpeta dentro de tu alojamiento principal, dependiendo de como prefieras instalarlo.
2. Crea una base de datos vacía y un usuario para la misma. Mas tarde necesitarás estos datos.
3. Descarga la última versión de Piwik y descomprime el fichero comprimido en tu ordenador.
4. Sube la ultima versión a la carpeta o subdominio elegido, igual que harías al instalar un sistema de blog.
5. Da permisos 777 a la carpeta donde está alojado Piwik y a la carpeta config de Piwik.
6. Accede a la carpeta o subdomino y se iniciará el asistente de instalación (p.ej.: http://piwik.tublog.com)
7. En el paso 3 debes poner los datos de la base de datos que creamos anteriormente y dejar por defecto el prefijo de las tablas.

   

8. En el paso 5 tienes que crear el superusuario de Piwik. Apunta estos datos.

   

9. Ahora tienes que dar nombre al sitio que vas a analizar en primer lugar y poner url del sitio.

   

10. El paso 7 es el mas importante pues ahí te da el código Javascript a incluir en las páginas que quieras analizar. Mi consejo es que no lo hagas en este punto de la instalación si no quieres, puedes obtener el código mas tarde también en el panel de Admin de Piwik. Te dará un código distinto para cada sitio que añadas para analizar, no los mezcles. Tu web puede ser php, asp, perl, html o estar hecha en cualquier lenguaje de programación. El sitio ideal es en el pié de página de tu web, footer.php en WordPress.

    

Ya está, al final de este proceso, accediendo a la URL donde instalaste Piwik podrás entrar en tus flamantes y recién instaladas estadísticas Open Source.

Configurar y Usar Piwik

Lo siguiente es configurar tu piwik, para eso pulsas en el enlace a Admin en la parte superior derecha.

Lo primero que ves son los plugins que puedes activar o desactivar. Tanto el de Feeds como el de OpenAds (que te permite importar usuarios de OpenAds) están inactivos por defecto, y es buena idea activar, sobre todo el de los feeds, para tener todo tu tráfico en el mismo sitio.

También puedes revisar las APIs compatibles con piwik para integrar módulos, añadir y gestionar usuarios con acceso a tus estadísticas. En este sentido, puedes definir accesos para un solo dominio o para todos. También puedes habilitar el acceso anónimo, todo a golpe de clic en el icono verde o rojo en cada tipo de acceso (Ver, administrar, sin acceso).

Además, si no te convencen los widgets visibles puedes añadir o quitarlos a tu gusto haciendo clic en “Add a widget”. Luego puedes colocarlos o configurarlos a tu gusto, arrastrar y soltar, así de fácil.

Piwik en Español

Como te habrás dado cuenta por las capturas Piwik no está traducido al Español, pero ponerlo en tu idioma es realmente sencillo – aunque no completo aún. Solo tienes que navegar por las distintas carpetas de la instalación y localizar los directorios llamados “lang“. En los mismos verás unos ficheros llamados “en.php“. Lo que tienes que hacer es hacer una copia de los mismos, cambiarles el nombre a “es.php” y cambiar los textos para cada parte de la interfaz a la que afecta cada uno.

También tienes que editar el fichero ‘global.ini.php‘ situado en la carpeta “config” de manera que donde veas …

[Language]
current = en

Lo cambias a …

[Language]
current = es

Si no te apetece hacerlo por tu cuenta yo ya los he traducido. En la siguiente descarga puedes bajar un fichero llamado piwik_español.zip dentro del cual hay dos carpetas (lang y plugins). Para traducir Piwik solo tienes que subir esas dos carpetas a donde lo instalaste y sustituirlas por las existentes, luego cambias el fichero ‘global.ini.php’ y ya lo tienes.

¡Que lo disfrutes!

Artículos Relacionados:

• bbPress plugin en español
• Spam del republicano Newt Gingrich en blogs de UPyD
• WordPress 3.3.1, actualización de seguridad
• Cohetes y novedades de WordPress.com en 2012
• Hotfix, parcheando WordPress con estilo