martes, 2 de octubre de 2012

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Agujero de seguridad: XML-RPC activado por defecto en WordPress 3.5

Posted: 02 Oct 2012 11:09 AM PDT

De toda la vida de Jobs en WordPress el protocolo XML-RPC ha venido desactivado por defecto. Esto ha sido así debido a que es una vía de comunicación que, si no la usas, puede ser un agujero de seguridad, por donde pueden hacerte perrerías en tu web.

Pero resulta que en WordPress 3.5 ahora el XML-RPC viene activo por defecto.

El protocolo XML-RPC es necesario para conectarte a tu WordPress mediante aplicaciones móviles, de modo que si no lo tienes activo no podrás gestionar tu WordPress desde la aplicación móvil oficial de WordPress, ni desde Windows Live Writer o cualquier otra.

Y me temo que es por eso por lo que ahora viene activo por defecto, por la locura móvil, para facilitar las cosas le llaman. No obstante, según Andrew Nacin es debido a que ya no se puede considerar un agujero de seguridad como tal, pues se ha mejorado el código, y por eso lo han considerado como parte más del núcleo, y vital para el funcionamiento correcto (y móvil) de WordPress.

Tal es la cosa que incluso ha desaparecido la opción en la página de ajustes de escritura, por lo que resulta que ni siquiera puedes desactivarlopor las buenas“, y aquí tienes la prueba.

xml-rpc wordpress 3.5 xml-rpc wordpress 3.4

Eso si, podemos desactivarlo “por las malas, más abajo veremos cómo.

La cosa es tan gorda que si actualizas a WordPress 3.5 la opción enable_xmlrpc se borra de la base de datos, con lo que el servicio se activa aunque tu lo tuvieses desactivado previamente en los ajustes de escritura. Solo se respetarán, aunque ya están marcados como obsoletos, los filtros pre_option_enable_xmlrpc y option_enable_xmlrpc.

No obstante, como ya te he comentado antes es posible desactivar el servicio, pues – afortunadamente – WordPress 3.5 ha incorporado el filtro enable_xmlrpc, y si lo incluyes en tu archivo wp_config.php, después de la línea require_once(ABSPATH . 'wp-settings.php');, puedes aún desactivar el protocolo XML-RPC en tu sitio. Sería algo así:

add_filter('xmlrpc_enabled', '__return_false');

Si no te atreves a tocar el fichero de configuración también puedes usar este pequeño plugin.

Y, cómo seguramente ya te habrás dado cuenta por las capturas de arriba, también ha desaparecido la opción en los ajustes de activar o desactivar el protocolo de publicación Atom.

Pues si, esto es debido a que este protocolo directamente se ha eliminado de WordPress 3.5, ya que no se utilizaba para casi nada. Así que cualquier llamada a este protocolo recibirá un bonito error 403, no pudiendo conectar con el aunque previamente lo tuvieses activado. Los plugins que usasen la clase wp_atom_server recibirán, de hecho, una viso de que la función está obsoleta.

Si, por cualquier motivo, quieres usar el protocolo AtomPub, hay solución, pues puedes instalar también un plugin que lo activa, para que no decidan tanto por ti.

Bueno, pues ya ¿opiniones al respecto?

Personalmente creo que es un error no permitir activar o desactivar el XML-RPC. Cierto es que yo lo suelo activar en mis blogs personales, pero no es así en los de clientes, y me parece una decisión equivocada al menos no haber dejado la opción de desactivarlo, aunque incluso viniese activo por defecto.

Ayuda WordPress está alojado en Gigas Cloud WordPress, hosting en la nube especializado en WordPress
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Seguidores

Archivo del blog