Como recordaréis, Google lanzó durante la semana pasada, el sistema de comentarios de Google+ para su servicio de blogs, Blogger, de manera que los usuarios podrán dejar sus comentarios, siendo éstos accesibles tanto dentro de las propias publicaciones de Blogger como dentro de Google+.
Desde el lanzamiento, hay quienes se han atrevido a reciclar el código e integrarlo en sus sitios web fuera de Blogger, ya sea un blog bajo WordPress u otra plataforma de publicación. Si no estamos muy puestos en modificar el código de nuestro sistema WordPress, ahora ya lo tenemos más fácil gracias a Brandon Holtsclaw, quien ha desarrollado un plugin que podemos bajar desde su web oficial, y quizás, también desde el directorio de plugins de WordPress más adelante.
El plugin básicamente añade el soporte de comentarios de Google+, aunque eso sí, hay que tener en cuenta que los comentarios no se integran ni se pueden gestionar desde la propia plataforma, como si se puede con los plugins de los servicios como Disqus o Livefyre.
También hay que señalar que, hasta la fecha, Google no ha tomado ninguna iniciativa para inhabilitar estas instalaciones, y quien sabe si más adelante Google permitiese integrar los comentarios de Google+ de forma oficial en WordPress, algo a lo que el tiempo dará respuesta.
Por cierto, la misma página oficial del desarrollador lo tiene incorporado.
Este artículo es el quinto de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Si no estás seguro de si tu sitio fue infectado o no, una buena herramienta que puede verificar si eres una víctima o no es Sucuri SiteCheck. Este sitio puede escanear el tuyo o cualquier otro sitio que escojas y mostrará el estado del sitio. Si has sido infectado, aquí hay algunos pasos que puedes seguir para traer todo de vuelta a la normalidad.
– Retoma el control de tu sitio y contraseñas (FTP, WordPress, perfil del host, base de datos etc.) – Haz un backup de la base de datos; sí, no importa si esta infectada, todavía hay información valiosa allí. – Haz copias de todos los elementos que no estén en la base de datos como imágenes referenciadas. – Descarga la versión estable más reciente de WordPress, también descarga los plugins que necesites y recuerda hacer tu deber (revisar que plugins de los que necesitas tienen fallos de seguridad y ve si fueron resueltos en nuevas versiones.) – Descarga nuevamente los temas y revisa si usan plugins. Y revisa sus respectivos plugins. – Una vez actualizado, reemplaza los archivos en el directorio de WordPress. – Haz un actualización de la base de datos, esto podrá asegurar que la estructura de la base de datos soporte la nueva versión de WordPress. – Si no lo has hecho hasta ahora, cambia el usuario, password y URL de acceso. – Ahora viene la parte tediosa: Debes revisar todos las entradas y reparar cualquier daño en ellas, no sólo desde el dashboard, sino desde la base de datos. Para hacer eso, puedes usar SQL buscando, por ejemplo, la palabra display: en el contenido.
Otra cosa importante por hacer es encontrar los shells que crearon las puertas traseras de acceso a nuestro sitio. Hay una artículo en inglés que alentamos a leer, llamado How to find backdoor PHP shell scripts on a server.
Para aquellos que quieran seguir ensuciando sus manos con esto, aquí hay un script hecho en Perl que fue hecho para encontrar la mayoría de troyanos; no con el propósito de funcionar como antivirus, pero puede ayudar a encontrar archivos sospechosos. Lo único que hay que hacer es copiar el script a un archivo y guardarlo como un archivo ejecutable. Corre el script como usuario con permisos de lectura a los directorios.
./the_name_of_the_script [list of directories]
Cuando el script encuentra algo sospechoso, muestra algo como lo siguiente:
El cual nombra el archivo, muestra porque es sospechoso (aquí se muestra “RewriteRule”), y un fragmento del archivo mostrando el patrón.
Script
Y en caso de no poder o no querer lidiar con ello
Es entendible que muchas de las personas que administran un sitio web en WordPress no tienen conocimientos técnicos, y han creado su sitio usando la opción de instalación en un click ofrecida ampliamente por los proveedores de hosting para poder empezar su sitio lo más rápido posible; y además, reparar un sitio infectado puede ser un trabajo especialmente duro si no se tiene el conocimiento; por lo que aquí se resume el proceso a seguir si ese es el caso.
– Retomar control del sitio: implica cambiar todos los passwords que manejemos (FTP, WordPress, perfil del host, base de datos etc) luego da de baja el sitio, eso es mucho mejor que dejar que envíe spam. – No tocar nada, dejarlo a un profesional: en este punto donde las cosas necesitan ser recuperadas o borradas, es necesario saber lo que se está haciendo porque cualquier cosa que se haga mal puede destruir información vital. Hay personas que a pesar de recibir instrucciones bastante detalladas, simplemente no pueden seguirlas, y eso no es algo malo, la seguridad es un asunto bastante complejo y se necesita un trasfondo técnico bastante amplio para poder administrar un sistema sin problemas. Déjalo a un profesional si es necesario – Prevenir: haz lo posible por poner en práctica al menos las observaciones más básicas hechas en este atículo. Toma algún tiempo para estudiar acerca de la materia; o de ser necesario, también deja el asunto de la prevención y monitoreo a un profesional.
Seguimos con la guía de seguridad en Wordpress «en fascículos» y vamos ahora con la cuarta parte, continuación de los textos que ya publicamos aquí.
Este artículo es el tercero de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Combatiendo scripts r57 y similares
Como fue dicho anteriormente, el script r57 da al atacante un rango amplio de posibilidades y capacidades; pero esto sólo funcionará hasta que el Shell esté en nuestro servidor; y podemos evitar que funcionen con algunos comandos que busquen los archivos .PHP localizados en la carpeta www; luego, en dichos archivos, el comando buscará cualquier mención de r57 no sólo en el nombre del archivo sino también en el contenido. Si es encontrado, el comando omitirá mostrar resultados duplicados; sin embargo, borrará esos archivos permanentemente y sin hacer preguntas. Podemos buscar también por archivos .TXT en vez de .PHP.
Una manera muy efectiva de encontrar scripts maliciosos es usando CXS, que es un software comercial realmente excelente.
Código oscurecido, cómo evitar ser atacado desde las sombras
Ya se mencionó anteriormente que tanto plugins como temas pueden estar infectados, es momento de ver las razones por las cuales un tema puede ser tan riesgoso como un plugin. Continúa leyendo «Guía de seguridad en Wordpress (IV)»
Este artículo es el tercero de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Podéis encontrar los otros dos de la serie aquí y aquí.
Aumentando el nivel: Problemas complejos de seguridad
Los siguientes son problemas de seguridad que afectan actualmente a WordPress y requieren que haya un conocimiento un poco más complejo de la herramienta.
Este artículo es el segundo de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Éstas son algunas medidas básicas de seguridad que se aplicar directamente en WordPress para reforzar la seguridad del sitio:
El truco del directorio
La primera medida de seguridad puede ser implementada al momento de instalar WordPress, para crear una instalación en la cual los archivos estén un poco más seguros la instalación puede ser hecha en una subcarpeta con un nombre bastante particular; esta subcarpeta no será vista en la barra de navegación, por lo que contarás con un poco mas de seguridad; el archivo index debe ser movido a la raiz del sitio, y el acceso al sitio sera: www.tudominio.com/tudirectorio/wp-admin ; la configuración de la dirección se hace desde la opción de ajustes generales, donde se debe poner como la dirección de WordPress (URL) la dirección de la carpeta donde se ha instalado WordPress y en la dirección del sitio, aquélla donde fue puesto el archivo index. A esto se le conoce como el truco del directorio.
Este artículo es el primero de una serie que será publicada aquí, en WWWhatsnew.com, por el Equipo de The Shock family: iconshock, wpthemegenerator y jqueryslidershock, responsables también por bypeople.com.
Uno de los problemas más grandes que últimamente enfrentan las aplicaciones y sitios web es un elevado número de ataques, gran cantidad de información es robada o manipulada ya sea por virus/malware o por hackers o grupos de hackers diariamente, y este es un problema que crece cada día. Desde que iniciamos la creación del Wordpress Theme Generator y los temas de Wordpress themes shock, siempre pensamos en la seguridad como un factor fundamental, para garantizar que nuestros temas o plugins no tuvieran niguna vulnerabilidad, y de esta manera investigamos y concluimos esta completa guía que te ayudará a proteger tu sitio de Wordpress, dado el ya mencionado y constante crecimiento de ataques que se han reportado ultimamente.
WordPress es el CMS usado por muchos de los sitios más importantes en la actualidad como TED, NBC y CNN y no sólo eso; se estima que WordPress es usado en un 20% del total de los sitios conectados a Internet. Andrew Nacin, uno de los desarrolladores de WordPress comentó en su cuenta de Twitter cómo cientos de millones de personas leen millones de blogs al mes, haciendo cientos de miles de comentarios en cientos de miles de posts. Continúa leyendo «Guía de Seguridad en Wordpress (I)»
Para ayudar a tener las mejores opciones registradas, os dejo con una lista de herramientas y extensiones, actualizadas frecuentemente, creadas para facilitar el trabajo del backup. Aún así es importante recordar que una de las soluciones ideales es contratar este servicio en la empresa responsable por el hospedaje, ya que ellos se encargarán de hacerlo sin consumir demasiados recursos del servidor y guardando el contenido en máquinas especialmente diseñadas para almacenar esa información.
Extensiones
wpb2d.com: Envía una copia de seguridad de nuestro wordpress a la cuenta de dropbox que especifiquemos. Almacena tanto archivos como base de datos, realizando la misma copia de los mismos archivos cada día (no recuerda el contenido guardado el día antes).
BackWPup: Podemos seleccionar las carpetas a copiar, la optimización automática de la base de datos y el horario deseado. Las copias se pueden enviar por email, FTP, Dropbox y un largo etcétera.
xcloner.com: Muy completo, con la posibilidad de crear copias incrementales para no copiar contenido que ya fue copiado anteriormente. Existen versiones para diferentes CMS, incluyendo, claro, un plugin para Wordpress.
Backup Migration: Este plugin facilita la creación de copias de seguridad para sitios en WordPress. Su principal atractivo radica en su simplicidad y en la automatización del proceso. El usuario simplemente necesita instalar el plugin y seleccionar la opción «Crear copia de seguridad ahora» para iniciar el proceso. Permite programar copias de seguridad de manera regular (diaria, semanal o mensual). Ofrece diversas opciones para personalizar las copias de seguridad, como selección específica de archivos y bases de datos a incluir o excluir, definición del lugar de almacenamiento de la copia de seguridad (actualmente solo disponible en local, con planes de expansión futura) o personalización del nombre de la copia de seguridad, configuración de notificaciones por correo electrónico, entre otras opciones. El plugin es útil para quienes necesitan migrar su sitio a otro hosting o restaurar una copia de seguridad local. La versión gratuita del plugin está limitada a copias de seguridad de hasta 2GB. Para tamaños ilimitados, se ofrece una versión Premium.
Aplicaciones web
– blogvault.net: No es gratuito, tiene un coste de 9 dólares por mes, pero incluye restauración automática de sitios web en cualquier servidor que indiquemos (migra de un servidor a otro de forma muy sencilla). El backup es incremental, incluye días de prueba y test para verificar si la copia realizada está bien hecha.
Aunque haya que instalar un plugin para poder realizar la copia, tiene un panel de control web para administrar las acciones que hay que realizar.
Por supuesto, siempre podéis hacer backups en vuestro ordenador accediendo al servidor con programas como SyncBack, que sincroniza información guardada en ftp con archivos locales, aunque no se trata de una herramienta web, por lo que no le dedicaremos más tiempo de lo necesario.
Si manejar un sitio web o blog con un sólo autor genera más de un dolor de cabeza, es de esperar que la cosa se complique cuando se gestiona junto a un equipo de trabajo. Claramente la clave del éxito está en la comunicación así que luego de tener esto en cuenta sólo queda darle algo de importancia a los detalles, y gracias a WordPress y sus plugins especializados -que han recomendado en Hongkiat-, lo complicado se reduce a apenas unos clics.
Algo que se extraña en WordPress es una manera de organización de las entradas (borradores y programadas) visualmente más agradable, no sólo en forma de lista. Pues bien, con Editorial Calendar se pueden visualizar todas de manera simultánea en un cómodo calendario con funciones de edición rápida y hasta de arrastrar y soltar para reacomodar fechas y horas de publicación mucho más fácil. Continúa leyendo «10 plugins de WordPress para sitios con múltiples autores»
Un tema que puede personalizarse de cientos de formas diferentes, con aspecto que se adapta al dispositivo desde el cual se está consultando, que permite crear un sitio web de forma rápida y con un aspecto muy cuidado en diseño y estructura.. themeyourself.com es un tema de Wordpress profesional que estará disponible de forma gratuita durante unos días, teniendo que pagar con un tweet para poder bajarlo a nuestro odenador e instalarlo en nuestro servidor.
Está disponible en español, inglés y portugués de Brasil), incluye widgets para presentar vídeos y contenido de redes sociales, formularios de contacto, galerías de fotos, artículos destacados, sección de preguntas y respuestas, diferentes tamaños, tipografías y colores de textos, fondos personalizados, menús… una enorme cantidad de variables que pueden personalizarse desde la sección de administración del tema, sin necesidad de tener avanzados conocimientos técnicos.
Wordpress ha ayudado mucho a las empresas a la hora de construir una identidad en la web, y con la existencia de este tipo de temas las escusas para no tener presencia en Internet son cada vez menores.
Temas para Wordpress hay muchos, miles, para todos los gustos, y algunas veces aparece alguno tan original como el que protagoniza esta entrada: 8press.
Disponible de forma gratuita en 8press.webatu.com (tiene el costo de un tweet), ofrece un estilo que recuerda mucho al panel de control de Windows 8 (famoso Metro), con una columna en la sección lateral derecha que se abre para acceder al menú de opciones del sitio web que estemos creando (pulsando en el botón de configuración existente en el tema).
Podemos acceder al contenido a través de las miniaturas existentes en la página principal y llegar a la página del post, extremadamente minimalista, con mucho destaque en el contenido y en la imagen del artículo, ya que el blog no tiene cabecera.
La navegación se realiza con los botones inferiores, sin menú lateral que ensucie la idea de este original tema: limpieza.
Como recordaréis, Google lanzó durante la semana pasada, el sistema de comentarios de Google+ para su servicio de blogs, Blogger, de manera que los usuarios podrán dejar sus comentarios, siendo éstos accesibles tanto dentro de las propias publicaciones de Blogger como dentro de Google+.
