miércoles, 29 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Cómo detectar qué plugins usa una web

Posted: 26 Apr 2015 12:40 PM PDT

Ya hemos visto con anterioridad como detectar qué tema utiliza una web, incluso un truco para detectar plugins pero ¿hay más modos de saber qué plugins usa un sitio creado con WordPress? Pues se puede, y con más precisión de la que imaginas. Vamos a ver varios modos de lograrlo.

Saber qué plugins usa una web mediante detectores automáticos

Al igual que con los temas, hay utilidades desde la que puedes detectar qué plugins usa una web, entre otras cosas. De hecho hay algunos de estos servicios que también detectan el tema. Los principales son estos:

  • WordPress Plugin Checker: Utilidad específica para detectar plugins WordPress, un poco lenta en su proceso y no muy precisa que se diga, pero como experimento no está mal.
    wordpress plugin checker
  • WordPress theme detector: Muy completa utilidad web que detecta temas y plugins, muy precisa y exhaustiva. No solo detecta a la perfección el tema que usas sino que consigue descubrir casi todos los plugins instalados y activos, mostrando una ficha por cada uno de ellos. De lo mejorcito.
    WordPress theme detector
  • What WordPress theme is that?: Algo más espartana que la anterior pero también muy efectiva detectando el tema y los plugins activos. Igualmente muy recomendable.
    what wordpress theme is that
  • Build with: Herramienta de amplio espectro, que detecta todas las tecnologías usadas en una web, en lo que es muy efectiva, aunque no tanto detectando plugins, que identifica a través de widgets y scripts. No es lo mejor para detectar plugins pero guárdala en tus favoritos por sus múltiples utilidades.
    build with

Saber qué plugins usa una web revisando el código fuente

Un proceso más manual, pero también muy efectivo – si conoces cómo se integran los plugins en WordPress – es revisar el código fuente de la web que está visualizando, pues la mayoría de ellos insertan código en varias partes del HTML resultante.

Todos los navegadores actuales ofrecen utilidades para ver el código fuente de una web, y en todos puedes hacer clic derecho sobre una página y elegir la opción de ver el código de la misma.

Menú clic derecho navegador Visualización de código fuente

Y algunos además ofrecen un inspector web que, además de mostrar el código fuente también ofrecen herramientas para visualizar, identificar y modificar para pruebas elementos como los scripts, recursos o incluso el CSS.

Inspector Web

Inspector Web

Mediante alguno de estos dos métodos puedes identificar cadenas de texto o código, incluso rutas de directorios que te den pistas sobre qué plugins utiliza la web que estás visitando.

Un chivato habitual es hacer una búsqueda dentro del código fuente de la ruta de la carpeta donde están instalados los plugins /wp-content/plugins/ pues muchos de ellos usan su propia hoja de estilos y se las detecta rápidamente en el código HTML generado.

Detectar plugins por CSS

Detectar plugins por CSS

Por supuesto este segundo método requiere más conocimientos por parte del “investigador” pero también aprendes más y en el fondo ¿no se trata también de eso?

¿Tu cómo prefieres hacerlo?
Publicado por en No hay comentarios:

lunes, 27 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

WordPress 4.2.1 actualización de seguridad

Posted: 27 Apr 2015 12:09 PM PDT

Si has leído lo que avisé esta mañana ya sabes el motivo de la actualización de seguridad de la que estarás recibiendo aviso ahora mismo. WordPress 4.2 se actualiza a la versión 4.2.1 y si no se actualiza solo tu sitio ya estás tardando en hacerlo manualmente.

actualización automática WordPress 4.2.1

Esta actualización de seguridad es crítica debido a la vulnerabilidad que afecta a todas las versiones anteriores de WordPress, y la lista de archivos que modifica es la siguiente:

  • readme.html
  • wp-admin/about.php
  • wp-admin/includes/upgrade.php
  • wp-includes/version.php
  • wp-includes/wp-db.php

Parte de la belleza de la comunidad WordPress son estas cosas; se detecta una vulnerabilidad o fallo y en horas está

Todas las versiones actuales de WordPress son vulnerables

Posted: 27 Apr 2015 12:19 PM PDT

Ayer se supo que todas las actuales versiones de WordPress son vulnerables a un fallo por el que un atacante podría inyectar código JavaScript en los comentarios.

Según informan en Klikki, cualquier visitante malintencionado podría cambiar claves de administración, inyectar código en temas y plugins con un solo comentario en tu Web.

La vulnerabilidad afecta a todas las versiones actuales de WordPress: 4.2, 4.1.3, 4.1.1 y 3.9.3 y se ha probado con las versiones 5.1.53 y 5.5.41 de MySQL.

¿Cómo funciona?

Si un comentario es demasiado largo se recorta al insertarse en la base de datos. El límite de tamaño para texto en MySQL es de 64 kb, así que el comentario tiene que ser bastante largo.

Al recortarse el texto se crea un HTML erróneo en la página. El atacante, aprovechando este error, puede ofrecer atributos a las etiquetas HTML permitidas.

Un comentario de ejemplo que probaría este error podría ser algo así:

<a title='x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA...[64 kb]..AAA'></a>

En este vídeo lo tienes ves más claro:

Como puedes imaginar, a no mucho tardar tendremos una actualización de seguridad de WordPress que solucione este problemón.

¿Soluciones?

De momento ve desactivando los comentarios hasta que no haya una actualización de WordPress 4.2 y resto de versiones que solucione el problema. Incluso podría ser una buena oportunidad para animarte a probar Disqus o similares.

Nota: en cuestión de horas ya hay una actualización que soluciona el problema.

Funcionalidad sorpresa en WordPress 4.2: textos enlazados con copiar y pegar

Posted: 26 Apr 2015 11:42 AM PDT

En todas las versiones de WordPress hay funcionalidades ocultas, los a veces conocidos como huevos de pascua, y en ocasiones son realmente útiles, como es el caso de un descubierto en la versión 4.2.

Según ha descubierto Ella Van Dorpe, si seleccionas un texto y pegas una URL el texto queda automáticamente enlazado, sin necesidad de recurrir al icono del editor de WordPress para añadir enlaces, rápido y efectivo.

https://twitter.com/ellaiseulde/status/591980282447843329

No se tu pero a mi esta nueva funcionalidad oculta – por no anunciada – me da la vida, pues siempre me ha parecido una pérdida de tiempo enorme la de clics que hay que hacer en el editor para cosas tan básicas.
Publicado por en No hay comentarios:

viernes, 24 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

¿WordPress 4.1.3?

Posted: 23 Apr 2015 10:59 PM PDT

Si aún no has actualizado a WordPress 4.2 quizás te haya sorprendido que tu sitio se haya actualizado automáticamente a WordPress 4.1.3, o si usabas versiones anteriores a las versiones 3.7.7, 3.8.7, 3.9.5 y 4.03.

Esta curiosa actualización viene motivada principalmente por un error de codificación de caracteres encontrado en la versión 4.1.2, y se tomó la decisión al afectar al mapa de caracteres de la base de datos, que siempre hay que cuidar, así que no tiene mayor relevancia por ser una actualización de mantenimiento, y no supondrá ningún cambio relevante, aunque si hay que tener tu WordPress actualizado.

Por supuesto, es una actualización menor, y si quieres tener las últimas tecnologías y tener tu sitio al mayor nivel de seguridad y estabilidad debes actualizar a WordPress 4.2.
Publicado por en No hay comentarios:

jueves, 23 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

WordPress 4.2 final ya disponible

Posted: 23 Apr 2015 02:12 PM PDT

Ya está disponible para descarga y actualización WordPress 4.2, una versión que incorpora interesantes mejoras de nuestro CMS favorito, aunque quizás las más potentes estén bajo el capó, eso lo decides tú.

Se ha quedado en el tintero la instalación/activación automática de plugins, pero hay un buen montón de novedades de WordPress 4.2 que te apasionarán. Vamos a ver cuáles son:

  • Rediseño completo de Publicar esto.
    Ajustes "Publicar esto" Publicar esto Publicar esto móvil
  • Ya puedes elegir los enlaces permanentes desde la instalación.
  • Mejoras en la instalación y actualización de plugins.
  • Cambio de tema desde el Personalizador.
    Personalizador temas Vista previa tema personalizador
  • Mejoras en el soporte de emojis.
    Insertar emoji emoji
  • Nueva funcionalidad wp.a11y.speak() que ayudará al JavaScript a comunicarse mejor con los lectores de pantalla
  • Mejoras en WP_Comment_Query
  • Posibilidad de añadir credenciales FTP y SSH al actualizar los plugins
  • Mejoras en el acceso al Personalizador desde dispositivos móviles
  • Unificación de los formatos de visualización horaria en las pantallas de administración, mostrando siempre el formato de 24 horas cuando no se especifique a.m. o p.m.
  • Mejoras en el soporte de caracteres matemáticos, músicos o del chino, coreano y japonés.
  • Se ha añadido soporte de elementos incrustados mediante oEmbed para contenido de TumblrKickstarter.
  • La codificación de la base de datos, cuando sea posible, se cambia de utf8utf8mb4, con lo que se añade soporte de caracteres de los nuevos caracteres de 4 bytes.

Como siempre, no actualices a versiones mayores – y esta lo es – sin antes probar la compatibilidad con tema y plugins, que luego nos llevamos disgustos tontos.

Comprueba si utilizas plugins seguros

Posted: 19 Apr 2015 05:24 AM PDT

Como ya sabrás, hay varios motivos por los que un plugin puede ser retirado del repositorio oficial de WordPress.org, y todos esos motivos son para darte seguridad y que no uses plugins sin garantías.

Los motivos por los que un plugin puede ser retirado del repositorio oficial son los siguientes:

  • No cumplen con la licencia GPL
  • No cumplen con algunas de las reglas del repositorio oficial
  • Otros plugins del mismo autor tienen algún problema, y se retiran todos sus plugins mientras se investiga el asunto
  • El autor pide que se retire
  • El autor pide que se retire porque lo está relanzando con otro nombre
  • Hace años que no se actualiza
  • Se está investigando porque ha generado algún tipo de problema
  • Contiene alguna vulnerabilidad de seguridad

Ahora bien, ¿cómo me entero de que un plugin que utilizo ha sido retirado del repositorio oficial? Viendo los motivos no estaría de más disponer de algún sistema que me avise, y así poder tomar alguna decisión al respecto para garantizar la seguridad de mi web ¿no?

Pues existe, en forma de plugin. Solo tienes que instalar el No longer in directory y pasarte por el nuevo submenú en “Plugins -> No longer in directory” para comprobar si alguno de los plugins que tienes instalados ya no están en el repositorio oficial de WordPress.org y, en consecuencia, tu sitio podría estar sometido a alguna vulnerabilidad por usar un plugin abandonado o con problemas.

no longer in directory pugin

La pantalla, tras una revisión instantánea, te mostrará una lista de aquellos plugins que sean potencialmente peligrosos y el motivo del peligro, como se muestra en el ejemplo anterior.

Si, además, hubiese alguna alerta de seguridad concreta sobre alguno de ellos te facilita un enlace a la página donde se explica.

Es una gran herramienta, sobre todo para los que nos encariñamos con plugins.
Publicado por en No hay comentarios:

miércoles, 22 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Importante actualización de seguridad: WordPress 4.1.2

Posted: 21 Apr 2015 04:11 PM PDT

Si aún no se ha actualizado tu sitio automáticamente ya estás tardando en actualizar a WordPress 4.1.2, pues corrige una buena cantidad de fallos de seguridad importantes.

Las vulnerabilidades que corrige son las siguientes:

  • Vulnerabilidad crítica XSS que puede hacer que usuarios anónimos comprometa la seguridad de tu sitio.
  • Se ha arreglado un fallo, existente desde WordPress 4.1, que permitía que se suban archivos sin nombre e inseguros.
  • Desde WordPress 3.9 (ahí es nada) hay una vulnerabilidad XSS muy concreta que puede usarse para ataques de ingeniería social.
  • Vulnerabilidad SQL que compromete a algunos plugins.

Así que no es solo una actualización menor importante de la rama WordPress 4.1 sino el empujón que necesitabas para actualizar si aún estás usando WordPress 3.9.
Publicado por en No hay comentarios:

martes, 21 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Grave vulnerabilidad que afecta a plugins y temas WordPress

Posted: 21 Apr 2015 02:26 AM PDT

La semana pasada, la empresa de seguridad Sucuri ha estado trabajando con el equipo de seguridad de WordPress para solucionar una vulnerabilidad XSS descubierta en más de una docena de plugins.

La vulnerabilidad se aprovecha de un uso indebido de las funciones add_query_arg() y remove_query_arg(). Durante años ha habido información incorrecta en el Codex de WordPress, que aunque se modificó hace cerca de un año, parece ser que ha llevado a muchos desarrolladores a asumir que estas funciones pueden hacer escape de acciones del usuario a la hora de usar esc_url().

arg query

Se han auditado 400 de los más de 37.000 plugins del repositorio oficial de WordPress.org, encontrando la vulnerabilidad hasta en 15 de ellos, entre los que se encuentran algunos tan populares como WordPress SEO de Yoast, Jetpack, P3, Download Monitor, lo que no es un muestreo muy amplio pero puede dar una primera impresión del alcance del problema.

Las lista completa de los plugins en los que se ha encontrado la vulnerabilidad es la siguiente:

 

 

Algunos como All in one SEO pack o JetPack ya se han actualizado y actualmente no contienen la vulnerabilidad pero revisa tus instalaciones por si estás usando alguna versión insegura de alguno de estos plugins.

La vulnerabilidad no es nueva ni de lejos, así que si desarrollas plugins o temas debes revisar la documentación actualizada del Codex para adaptar tu código para comprobar que no estás haciendo un uso indebido de las funciones add_query_arg() y remove_query_arg() y que no sea inseguro.

Crea un botón para compartir en Whatsapp desde WordPress

Posted: 18 Apr 2015 11:38 AM PDT

Lo sé, me ha dado por el Whatsapp, pero es que se usa mucho y no debemos perder ni una sola oportunidad de difundir nuestro contenido ¿no crees?

Así que si no te convenció ninguno de los plugins que ya vimos para añadir iconos con los que compartir en Whatsapp, o no usas JetPack, nada mejor que crear el tuyo propio ¿no?

Pues nada más sencillo. Solo tienes que ir a la web whatsapp-sharing.com y crear el tuyo en solo tres pasos:

  1. Elegir el texto del botón
  2. Elegir el texto que se muestra al colocar el cursor sobre el botón (el famoso tooltip)
  3. Elegir la opción “Current page url” para que lleve a la página o entrada que se esté visitando.

crear botón para compartir en whatsapp desde WordPress

Se genera un código de manera automática que puedes colocar a tu gusto en el archivo single.php del tema activo, normalmente a continuación del loop.

Por supuesto, no sirve solo para WordPress, también puedes usarlo en cualquier otra web, o en Blogspot, tu mismo.

¡Hala, a wuasapear!
Publicado por en No hay comentarios:

lunes, 20 de abril de 2015

Hoy en AyudaWordPress.com

Hoy en AyudaWordPress.com

Link to Ayuda WordPress

Añadir botón para compartir en Whatsapp a JetPack

Posted: 18 Apr 2015 11:28 AM PDT

JetPack es un plugin muy solvente, nos guste o no, y uno de los módulos más utilizados es el de Compartir. Ahora bien, tiene sus limitaciones, como la de añadir servicios para poder compartir en más sitios, por ejemplo en Whatsapp, la aplicación líder de mensajería en España.

También hay una buena cantidad de plugins que añaden el botón de compartir en Whatsapp, pero de momento JetPack no lo incorpora, supongo que porque no es un servicio que se utilice mucho en los USA, pero ¿a que tu sí?

whatsapp feliz

Afortunadamente alguien ha pensado en ti y ha creado un plugin que hace exactamente eso, añadir a JetPack un nuevo servicio, Whatsapp, que puedes arrastrar y soltar en la página de ajustes de Compartir para disponer de tu botón para compartir en Whatsapp.

Es muy sencillo, solo hay que instalar y activar el plugin y ya tendrás disponible el nuevo botón con el que difundir de manera sencilla las publicaciones de tu WordPress en todos esos grupos de Whatsapp en los que pasas horas.

Ajustes de Compartir Icono de Whatsapp añadido

Ya no tienes excusas para no compartir en Whatsapp desde WordPress.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)

Seguidores

Archivo del blog