martes, 11 de marzo de 2014

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Eliminar el botón de Añadir objeto del editor de WordPress

Posted: 11 Mar 2014 12:00 AM PDT

Seguramente ya sabrás que se pueden modificar los perfiles de usuario para añadirles o quitarles capacidades, pero hay ocasiones en que, sin cambiar los perfiles de usuario, puedes necesitar quitar el botón de “Añadir objeto” del editor de WordPress.

El modo estándar de hacerlo sería bajar al usuario o usuarios al perfil de Colaborador para que no pueda añadir objetos desde el editor, pero hay situaciones en que puede que quieras simplemente quitar el botón.

Si es el caso solo tendrás que añadir el siguiente código a tu plugin de utilidades o al fichero functions.php del tema activo:

//Quitar botón multimedia del editor para no admins  function RemoveAddMediaButtonsForNonAdmins(){      if ( !current_user_can( 'level_10' ) ) {          remove_action( 'media_buttons', 'media_buttons' );      }  }  add_action('admin_head', 'RemoveAddMediaButtonsForNonAdmins');

Guardas los cambios y ya lo tienes. Con el código anterior, todo usuario que no sea administrador (level_10) no verá el botón de “Añadir objeto“, lo que no impedirá que los usuarios con el perfil de Autor o Editor sigan pudiendo subir imágenes a través del menú “Medios -> Añadir nuevo“.

Antes Después

Si quieres que, por ejemplo, que también los editores vean el botón entonces cambias el nivel a level_7.

Ataque DDOS a WordPress a través de XML-RPC

Posted: 10 Mar 2014 05:07 PM PDT

ataque ddos wordpress

Si tienes activo XML-RPC en WordPress eres susceptible de pasar a la lista de los más de 162.000 sitios que han sido ya atacados mediante un ataque de denegación del servicio distribuido o DDOS.

Según informa Sucuri cualquier WordPress co XML-PRC activo, la mayoría porque está activo por defecto, puede convertirse en un zombie más que será utilizado para el ataque DDOS, en principio usado para tirar abajo un sitio muy popular.

En pocas horas se han llegado a utilizar para este ataque DDOS más de 162 mil WordPress totalmente limpios y seguros, utilizando su protocolo XML-RPC para seguir con el ataque.

Todo se pone en marcha con una simple petición de pingback a un sitio inocente en forma de un solo comando en Linux:

$ curl -D -  "www.cualquiersitiowordpress.com/xmlrpc.php" -d '<methodCall><methodName>pingback.ping</methodName><params><param><value><string>http://VICTIMA.com</string></value></param><param><value><string>www.cualquiersitiowordpress.com/postchosen</string></value></param></params></methodCall>'

Para no ser utilizado en este ataque DDOS solo tienes que desactivar XML-RPC. Ya avisé en su día que tener activo por defecto XML-RPC era un riesgo de seguridad, y ahora se confirma de la peor forma posible.

En fin, si quieres desactivarlo puedes hacerlo de 3 maneras:

  1. Renombra el fichero xmlrpc.php que encontrarás en la carpeta raíz de la instalación de WordPress, y recuerda volver a hacerlo tras cada nueva actualización porque lo meterá de nuevo.
  2. En el fichero wp-config.php, después de require_once(ABSPATH . 'wp-settings.php');, añade la siguiente línea: 
    add_filter('xmlrpc_enabled', '__return_false');
  3. Añade el siguiente código al archivo functions.php del tema activo: 
    add_filter( 'xmlrpc_methods', function( $methods ) {     unset( $methods['pingback.ping'] );     return $methods;  } );

Eso si, desactivar XML-RPC no es algo banal, pues es el protocolo utilizado para pingbacks, trackbacks, publicación desde aplicaciones móviles, de escritorio y mucho más.

Por último, y no es una medida de seguridad sino solo de comprobación, puedes revisar si ahora mismo tu sitio está siendo utilizado para un ataque DDOS en esta herramienta.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Seguidores

Archivo del blog