Ciber Geek > Wordpress

Wordpress

WordPress 3.9 ya (casi) está entre nosotros

Ok, todavía no, pero falta muy poco, ya que a quienes alguna vez desarrollamos un plugin y lo publicamos en el sitio oficial de WordPress.org, recibimos información sobre cambios en la plataforma de modo de que podamos mantener nuestros plugins al día.

wordpress logo

WordPress

Si desarrollaron algún plugin a medida es una buena idea que se den una vuelta por acá, ya que van a encontrar cuales son los principales cambios que se vienen con la versión 3.9 de WordPress, obviamente que mientras no actualicen no habrá problemas, y además, en general el equipo de WordPress mantiene la compatibilidad con funciones disponibles en versiones anteriores, pero nunca es tarde para arreglar ése código que está usando funciones que están en camino a ser retiradas de WordPress.

Ya quiero probar WordPress 3.9

Como siempre sucede, la opción de actualizar automáticamente a WordPress 3.9 todavía no está disponible, y no lo estará por al menos unos días, actualmente la ultima versión estable es la 3.8.3. Pero si están apurados, pueden descargar el Release Candidate 2 desde acá, si bien no es una versión oficial, ya para el segundo RC se espera que todo esté andando bastante bien, obviamente no lo vayan a usar en producción, pero si quieren ver si se aproximan dolores de cabeza pueden darle una probadita con sus plugins.

Evita que tu blog en WordPress forme parte de una gigantesca botnet

Muchas veces se ha hablado de las varias formas en las que XMLRPC puede ser explotado, pero en éste caso una firma de seguridad descubrió una botnet que utilizaba la funcionalidad de realizar pingbacks de WordPress para realizar ataques de denegación de servicio distribuidos (DDOS).

Sucuri, la firma que realizó el descubrimiento, encontró que un sitio estaba recibiendo un DDOS por parte de miles de sitios legítimos que utilizaban el CMS WordPress. Y la vulnerabilidad explotada en todos ésos sitios era mediante el pingback que utiliza la API provista por XMLRPC. Afortunadamente deshabilitar el pingback no es tan difícil, es cuestión de instalar un plugin o agregar un par de lineas de código al archivo functions.php.

Éste es el código mágico para deshabilitar el pingback que deben agregar al archivo functions.php de su plantilla.

add_filter( ‘xmlrpc_methods’, ‘cibergeek_no_ping’);
function cibergeek_no_ping( $methods ) {
unset( $methods[‘pingback.ping’] );
return $methods;
}

Si no quieren meter mano en el código pueden instalar éste plugin, que solo desactiva el pingback, ya que XMLRPC es utilizado para otras tareas por plugins y aplicaciones que se conectan a WordPress mediante ésta API.

Además, pueden probar si alguno de sus sitios participó de éstos ataques utilizando una herramienta provista por la firma de seguridad. Tengan en cuenta que el listado es limitado, pero revisando los logs de su servidor pueden encontrar mas información, lo que deben buscar es algo similar a lo siguiente:

93.174.93.72 - - [09/Mar/2014:20:11:34 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:<?xml version=\x221.0\x22 encoding=\x22iso-8859-1\x22?>\x0A<methodCall>\x0A<methodName>pingback.ping</methodName>\x0A<params>\x0A <param>\x0A  <value>\x0A   <string>http://fastbet99.com/?1698491=8940641</string>\x0A  </value>\x0A </param>\x0A <param>\x0A  <value>\x0A   <string>yoursite.com</string>\x0A  </value>\x0A </param>\x0A</params>\x0A</methodCall>\x0A"

94.102.63.238 – - [09/Mar/2014:23:21:01 -0400] "POST /xmlrpc.php HTTP/1.0" 403 4034 "-" "-" "POSTREQUEST:\x0A\x0Apingback.ping\x0A\x0A \x0A \x0A http://www.guttercleanerlondon.co.uk/?7964015=3863899\x0A \x0A \x0A \x0A \x0A yoursite.com\x0A \x0A \x0A\x0A\x0A"

Plugins peligrosos

Una pequeña y muy simple recomendación antes e instalar un plugin o theme en WordPress y otros CMSs, es tan simple que todo lo que tenemos que hacer en buscar en Google.

plugins bug

Antes de instalar un plugin vale la pena hacer un par de búsquedas en Google para ver si encontramos algo sospechoso, como pueden ser resultados sobre vulnerabilidades del mismo o ejecución de software malicioso.

Lo recomendable para realizar estas búsquedas es utilizar términos en ingles como “bug”, “exploit”, “vulnerability”, de modo que una búsqueda podría ser “timthumb vulnerability”, esta no es un ejemplo al azar, sino la razón por la cual deben ser precavidos al instalar plugins, aun cuando esté en el repositorio oficial de WordPress.

No solo plugins

Muchas veces las plantillas también utilizan plugins u otros scripts que pueden ser vulnerables, así que deberían tomar la misma precaución. Nuevamente, timthumb es un ejemplo de esto, ya que se encontraba en muchas plantillas para generar imágenes en miniatura (thumb)

Mail Getter, Plugin para WordPress

Mail Getter, mi primer plugin publico para WordPress

Hace un rato subí mi primer Plugin para WordPress, se llama Mail Getter y basicamente lo que hace es obtener los mails de los usuarios que comentaron en un determinado post, si bien todavía no está del todo pulido, ya lo lance para ir viendo mejoras que se le puedan hacer, de hecho en la próxima versión voy a incluir el desinstalador y mejoras en el sistema de selección de posts.

Que hace el plugin?

El plugin lo hice cuando estaba manejando un post que ofrecía invitaciones para Google +, era un poco pesada la tarea de ir sacando uno por uno los correos de los comentarios, así que decidí automatizarla, éste plugin saca todos los mails de los comentarios de un determinado post.

Como funciona Mail Getter?

El funcionamiento es muy sencillo, le ponemos la ID de la entrada con la cual queremos trabajar y nos devuelve los mails de los autores de los comentarios, podemos elegir entre comentarios Aprobados, Pendientes o todos.

Si quieren descargarlo pueden ir al sitio de Mail Getter en WordPress.

Como sacar las META que agrega WordPress en el Head

Evitar que WordPress cree Meta tags en el header

En las ultimas versiones de WordPress se han comenzado a agregar por defecto algunas meta tags y links que pueden acarrear problemas y no aportan demasiado al SEO. El peligro específicamente lo presenta la etiqueta generator ya que permite conocer cual es la versión de WordPress que estamos usando, lo que puede ayudar a un atacante al momento de intentar explotar algún bug que WordPress pueda tener.

Las etiquetas que se añaden al HEAD son las siguientes:
– EditURI
– wlwmanifest
– index
generator

Las 2 primeras son usadas por los programas que nos permiten manejar el contenido desde nuestra PC y no desde el CMS, así que básicamente son inútiles si manejamos el contenido desde el CMS.

Eliminar las etiquetas que WordPress agrega en el Header

Para eliminarlas debemos agregar en el archivo functions.php las siguiente lineas de código.

Si les interesa eliminar el resto de las etiquetas dejen un comentario y les paso el código, aunque el resto son útiles para el SEO y la navegabilidad del sitio.

Pagina 3 de 812345678