Archive of articles classified as' "wordpress"

Back home

11 consejos para proteger el área de administración de WordPress

3/09/2009

Recientemente vimos problemas de seguridad en WordPress. específicamente en las versiones de la rama 2.8, en donde cualquier persona con los conocimientos suficientes, puede reiniciar la contraseña de administrador sin aviso previo. Para evitar ese tipo de incidentes en donde la seguridad del blog se ve comprometida, aquí tienes 11 consejos para mejorar la seguridad en el área de administrador de WordPress:

  1. Crear URLs especiales para loguearte. Así evitas el típico wp-admin y haces más difícil encontrar la página de acceso. Se recomienda usar el plugin llamado Stealth Login
  2. Elegir un password fuerte; al decir fuerte se refiere a incluir mayúsculas y minúsculas, números y caracteres especiales. No elijas palabras comunes o muy obvias como contraseña o password.
  3. Limita el número de intentos de logearse. Si un usuario sobrepasa un número de intentos determinado a la hora de iniciar sesión, dicho usuario será bloqueado. Se recomienda usar el plugin Login Lockdown
  4. Usa páginas seguras bajo SSL. La seguridad que ofrece el protocolo es ideal para manejar el área de administración. Hay que verificar antes con la compañía de hosting, para ver si disponemos con certificados SSL disponibles para usar. Se recomienda usar el plugin Admin SSL
  5. Proteger el directorio wp-admin con contraseña. Una doble protección no está demás; puedes usar un archivo .htpasswd o un plugin llamado AskApache Password Protect
  6. Limitar el acceso vía dirección IP: debes crear un archivo .htaccess en el directorio wp-admin con las siguientes instrucciones:
  7. AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “WordPress Admin Access Control”
    AuthType Basic
    order deny,allow
    deny from all
    # IP permitida
    allow from xx.xx.xx.xxx

    Crea tantas entradas como sea necesario

  8. Nunca uses el nombre de usuario admin. Ese usuario es el que se crea por default pero puede ser blanco de ataques de fuerza bruta. Lo más sensato es cambiar ese nombre por uno no tan obvio.
  9. Remueve los mensajes de error de la página de inicio de sesión; así eliminas pistas que los hackers pueden aprovechar para intentar descifrar tu contraseña. Para remover los errores, tienes que agregar al archivo functions.php en el directorio de tu theme:

    add_filter(’login_errors’,create_function(’$a’, “return null;”));

  10. Usa contraseñas encriptadas; en el caso de que no cuentes con SSL, este método puede ser útil ya que encripta el password mediante una llave RSA pública. Esto se logra con el plugin Semisecure Login Reimagined
  11. Antivirus para WordPress: suena raro, pero esta prueba de concepto realmente ayuda a la seguridad, ya que ofrece protección en contra de exploits e inyecciones de spam.
  12. Actualiza la versión de WordPress a la más reciente; de esta forma obtienes mayor protección al corregir bugs y exploits presentes en versiones anteriores

Información Via: IncubaWeb

3 Comments

WordPress: Vipers Video Quicktags plugin con colores personalizados para Youtube

3/07/2008

Quienes usamos WordPress encontramos como una necesidad básica, el poder incrustar vídeos de Youtube y de otros sitios similares en nuestros temas o posts. Para esto, el plugin que les recomiendo es el Video Quicktags de Viper.

En este post, no hablaremos de la instalación del mismo, si no como aplicar un pequeño hack para colorear la interfaz de YouTube.
Para comenzar, vamos a Plugins > Plugin Editor (Editor de plugins) y seleccionamos el plugin en cuestión.
Busquen esta linea (esta por ahí de los 3/4 de archivo, linea 740 aproximadamente):

// Do some stuff for each video type
switch ( $params['type'] ) {
case ‘youtube':
$url = $linktext = ‘http://www.youtube.com/watch?v=’ . $data['videoid'];
$this->jsoutput .= ‘ vvq_youtube(“‘ . $objectid . ‘”, “‘ . $data['width'] . ‘”, “‘ . $data['height'] . ‘”, “‘ . $data['videoid'] ‘”);’ . “\n”;
break;

La clave es crear un string almacenado en una variable que contenga los datos necesarios para el cambio de color. La estructura es esta, donde los colores se necesitan poner con código hexadecimal:

&hl=en&rel=0&color1=0xbfcfff&color2=0x6484ca

Ya que tenemos bien definidos los colores que usaremos, meteremos eso a una variable y después la concatenaremos con el código original del plugin, no es tan difícil como suena… solo deben comparar el primer código mostrado aquí, con el nuevo de a continuación y hacer los cambios necesarios. El código deberá de quedar como esto (les recuerdo 3/4 de fichero, linea 740 aproximadamente):

// Do some stuff for each video type
$colores = ‘&hl=en&rel=0&color1=0xbfcfff&color2=0x6484ca';
switch ( $params['type'] ) {
case ‘youtube':
$url = $linktext = ‘http://www.youtube.com/watch?v=’ . $data['videoid'];
$this->jsoutput .= ‘ vvq_youtube(“‘ . $objectid . ‘”, “‘ . $data['width'] . ‘”, “‘ . $data['height'] . ‘”, “‘ . $data['videoid'] . $colores . ‘”);’ . “\n”;
break;

Eso es todo!, espero que les sea útil…

3 Comments