DaboBlog

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Compartir

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

Aún estás a tiempo de no perderte una gran reunión de mucha gente a la que seguramente, leas habitualmente en sus blogs. Sólo tienes que ver la lista de los participantes (no lo digo por mi-;), para darte cuenta del nivel y el esfuerzo por parte de la organización de presentar un programa de lo más atractivo y además con actividades y talleres paralelos muy interesantes.

En mi caso, a diferencia del año pasado del que (a pesar de la fiebre) guardo un gran recuerdo de mi ponencia compartida con Fernando de la Cuadra (de ESET, que vuelve a patrocinar el evento y nos dedicó este bonito artículo en la revista “Linux +” ) y Oscar Reixa (recuerdos para Josep Albors), en esta ocasión estaré el Sábado dentro del apartado “Monólogos y enséñame lo que sabes en 5 min”. Yo humildemente y sin querer parecer pretencioso, (por aquello de “enseñar lo que sé” con todo lo que me falta por saber) hablaré “De (IN) Seguridad, PYMES y Webs“.

Si te quieres inscribir, aún estás a tiempo y vaya, si pasas por el evento este fin de semana allí nos veremos. Muchas gracias a la organización por contar conmigo de nuevo y por el esfuerzo que supone hacer realidad en los tiempos que corren algo así.

Nos vemos en Gijón !!!

Compartir

Tags: Blogs, Dabo, ESET, FIMP, Gijón, Internet, webs

Esta entrada no tendría mucha lógica si unos cuantos colegas que usan WordPress, no me he hubiesen hecho llegar la pregunta sobre cómo activar el modo “pantalla completa” en WordPress 3.2.

También está siendo llamado “zen mode” en alusión a este post sobre WP 3.2, (ENG) que llevó la firma de Matt Mullenweg creador de WordPress, allí hacía una especial mención a la escritura sin distracciones en modo “fullscreen” (así se se llama el botón para activarlo).

Es muy sencillo hacerlo y sinceramente, es una de las características que más me está gustando de WordPress 3.2 aunque las distracciones no creo que vengan tanto de la pantalla, sino más bien de Twitter, los RSS y Facebook o Google + (para quienes uséis esas dos redes sociales, no es mi caso ya que no me veo también actualizando perfiles allí, entonces, entre mis trabajos de consultoría, los que llevo a cabo en APACHEctl , el podcast que saldrá por cierto en breve el episodio 29, más la participación en los blogs y comunidades que ves en el sidebar (mis otras webs) apaga y vámonos ;D.

Cómo activar el modo “pantalla completa” en WordPress 3.2

# 1º; Cambias la pestaña dentro del editor gráfico (si lo tienes activado en tu perfil) de modo Visual a HTML.

# 2º Haces click en el botón que ves debajo donde pone “fullscreen” (pantalla completa en Inglés) y el cambio se hará efectivo.

Acto seguido, verás una limpia y bonita pantalla blanca con el título y el texto que estás escribiendo, si acercas el ratón a la zona superior, saldrán los controles para añadir una imagen, insertar un enlace, cambiar la alineación, edición de texto, etc, o salir del modo “pantalla completa” tal y como puedes ver en la captura inferior.

Pincha para ampliar

Por cierto, en la entrada que le dediqué en Daboweb al lanzamiento de esta versión junto a sus novedades y con el poco tiempo que lo había probado, ya dije que notaba una mayor ligereza y rapidez en la carga (se nota más en el panel de admin),

Unas cuantas actualizaciones y post después me reafirmo, se nota el trabajo con el código, gracias y enhorabuena a toda la comunidad que está detrás del desarrollo de WordPress. Ahora a seguir escribiendo, compartiendo y “mucho zen” para todos -;).

Compartir

Tags: Blogs, CMS, fullscreen, webs, Wordpress, WordPress 3.2, Zen mode

Bueno, sé que el título quizás es un tanto “comprimido”, pero como habéis podido comprobar, de un par de meses a esta parte, el ritmo de publicación aquí ha bajado.

Ando con la 4ª marcha metida y cerca de pasar “la ITV”, pero todo está ok y hoy ha sido un gran día, os cuento;

Y DaboBlog cumplió 5 años…

Para ser sincero, si Destroyer hoy no me avisa de lo del 5º aniversario del blog, se me hubiese pasado esta fecha tan “redonda”. No voy a repetirme mucho pero de veras, gracias a todos por el apoyo. A los de siempre, a la gente que se ha subido al carro de nuestro podcast (¡cómo iba a olvidarme de los compañeros de micro! ) y a quienes me acompañan y sacan adelante  Daboweb, Caborian o DebianHackers “sin salir tanto en la foto” como yo.

El 2010 ha sido un año de difusión para el blog , está todo resumido en la lamentable sección “Autobombo” -;).

Entrevistado en Security By Default (Por Alberto Ortega).

Bueno, si hablo de Security By Default, estamos hablando del blog ganador de los premios Bitácoras 2010 en la categoría “Seguridad”. Como algunos recordaréis, quedé en un (sorprendente para mi) 6º lugar en la clasificación final, podía añadir también un “no merecido” tal y como expliqué en mi entrada sobre los premios.

Pero también hablamos de uno de los lugares dedicados a la seguridad de referencia en el panorama nacional y por qué no decirlo, de Hacking en la acepción más “pura” del término. He cruzado twitters y mails con Yago Jesús, Alejandro Ramos y Alberto Ortega, (saludos al resto del equipo-;) son grandes profesionales en sus áreas de actuación, con curriculums impresionantes, pero también gente muy cercana y dispuesta a echar un cable a quien lo necesite.

Y precisamente, “le tocó el entuerto” (gracias por tu paciencia-;) a Alberto Ortega de hacerme la entrevista. Los más asiduos al blog o quienes siguieron mi participación en el pasado EFIMP de Gijón, conocéis mi devoción por una herramienta indispensable para mi, hablando de auditorías de seguridad llamada PenTBox, pues bien, él es su creador…

Acceso a; Entrevista a David Hernández (aka Dabo)

Muchas gracias a todo el equipo y suerte con vuestro Wargame !!

¿APACHEctl.com? Estamos de estreno.

En estado de “Beta final”, ya podéis acceder a apachectl.com, un proyecto que se viene gestando desde hace un par de años y en el que estoy implicado con un bonito “próximamente” en mi perfil (son unos liantes-;) con dos grandes profesionales y mejores amigos,  Antonio J Pérez (AJ) y Oscar Reixa (Oreixa).

Como podéis ver, es la extensión natural de nuestra cercanía con los servidores web y por ende, con GNU/Linux, que no se de soporte a servers bajo Windows no es una pose, nunca nos meteríamos en algo en lo que no tuviésemos la experiencia necesaria para sacar adelante un trabajo.

Muchas gracias a todos los colegas por las sugerencias, críticas y apoyo, pero especialmente a David Busto (sí, el de “ennegativo”-;) y a Dani Castaño (su “cuñao”) por la paciencia y buen hacer con nuestra imagen corporativa (uff eso me suena muy a emprendedor-iniciador 3.0, mal vamos…). El feed del blog y nuestro Twitter.

Yo ando a medio gas y prometo no spamear más de lo necesario (hasta que pase la ITV y meta la séptima-;).

Aquí ya veis que estamos como en Supercor, 3 (post) x1 para no petaros el feed, gracias !!!

Compartir

Tags: Apache, APACHEctl, Bitácoras, Blogs, DaboBlog, David Hernández, EFIMP, Entrevista, GNU/Linux, Hacking, Server

Esta era una de esas cosas que siempre tenía en “pendiente” y al final le he quitado esa etiqueta. Como los más antiguos del lugar sabéis, mis fotos las tenía agrupadas en davidhm.com/galerias, bien, allí seguirán agrupadas pero decidí instalar un WordPress en DavidHM y darle un uso más completo como blog fotográfico.

Hay ocasiones en las que una foto no da para una galería y las posteaba por aquí, por aquello de la diversificación, ahora que ya he llevado a la portada unas cuantas tomas con su correspondiente enlace a las galerías al completo, iré publicando allí mis nuevas fotografías. Tanto las hechas con las reflex como con el móvil.

Sobre las galerías comentaros que ahí están todas las fotos de unos 7 años a la actualidad, no he quitado ninguna porque son parte de mi evolución personal con la cámara y aprendo mucho viendo fotos de cuando empezaba en esto del digital. Hay fotografías hechas con una Nikon Coolpix 3.200, Canon 300 D, 10, 20D o Mark II como la galería del 5º Congreso Caborian.

Y hablando de Caborian, está claro que mi participación en su fundación hace ya más de 5 años, me ha aportado mucho en lo fotográfico (más en lo personal) porque hay mucho material relacionado directamente con KDDs, Congresos y actividades dentro del ámbito de Caborian.

Así que otro tema menos por realizar, vamos aprovechando los últimos coletazos de Agosto a tope -;).

Acceso a www.davidhm.com | Suscríbete vía RSS – Sindicación con FeedBurner o sígueme en Twitter

Compartir

Tags: Blogs, Dabo, Fotografía

Edito y añado; Resumen de mi charla

A raíz de una distendida y enriquecedora charla que mantuve con Carlos Urioste (Blog > “Voolive“), gerente de El Comercio Digital y gran conocedor de un medio tan “desconocido a veces por los medios” (tradicionales) como es Internet, me he embarcado de lleno (hasta la piscina diría yo-;) en la tercera edición del Foro Internet Meeting Point, Fimp) que se celebrará en Gijón entre los días 1 y 3 de Julio.

En reunión estuvo también Ana Fernández Ordíz (Blog > “Con Alegría e Ilusión“), ella forma parte del equipo que se encarga de promoción y participación online en El Comercio Digital y se nota cuando la gente hace su trabajo llevando el título de su blog a la práctica “con alegría e ilusión”.

Insistieron en que tenía que estar en el FIMP de este año y a pesar de que les dije que hay gente más preparada que yo para estar en un evento de tal calibre, quise estar a la altura de la confianza que depositaron en mi y acepté encantado, consciente de la responsabilidad que supone.

No hay más que darle un vistazo al plantel de ponentes o participantes de este Fimp 2010 (PDF) en las diferentes charlas o mesas redondas para darse cuenta de lo que hablo cuando digo “responsabilidad”…Podéis también ponerles cara a algunos de los organizadores y participantes (no pude estar) que vía Twitter lo presentaron.

Carlos me dio libertad total para prepararlo, imagino que buscaba también la experiencia personal de alguien que como yo, se ha tenido que ir buscando la vida para ir canalizando el tráfico que le llegaba a sus webs.

Un incremento de tráfico que tuve que lidiar primero con un Daboweb que, cuando empezamos (año 2002) ya era un foro con bastante tráfico y sobre todo, hablando de incremento de tráfico, la prueba definitiva para mi llegó a partir del 2005 con Caborian que, al mover tantas imágenes y con unas dos millones de páginas vistas al mes, además de muchas consultas a la base de datos, también es un buen “potro” que domar, además de otras webs que ya conocéis.

Por otro lado, los más asiduos al podcast o el blog, ya sabéis de mi relación tan estrecha con los temas relacionados con la seguridad. El eterno aprendiz, así me podría catalogar en un campo tan vivo como este. Al final, después de darte de leches noches y más noches con el sistema (ya lo digo en mi ficha de participante en el FIMP, no he tenido la suerte de poder estudiar nada relacionado con la informática dentro de un aula) te das cuenta de la gran relación con la seguridad que hay entre un sistema bien optimizado y uno que no lo esté.

Corría el año 2005 cuando contraté mi primer servidor dedicado en Interdominios, (a los que les doy las gracias por el apoyo continuado desde que empecé), un Pentium III con 512 mb de Ram y 40 Gb de disco duro que se portó siempre como un campeón, estaba cansado de sufrir caídas del foro dentro del alojamiento compartido en el que estaba y gracias a Raúl Naveiras, gran amigo y mejor sysadmin, programador y un largo etc, comencé a ser mi propio ISP y de paso, a verle las orejas al lobo y darme cuenta de lo poco que sabía acerca de estas temáticas.

Gracias a Raúl, también aprendí a vivir sin esos paneles gráficos como Plesk, Cpanel, DA, etc que tanto te facilitan la vida cuando no sabes pero que a su vez, tanto limitan tus conocimientos sobre el sistema (GNU/Linux en mi caso), además de tomar un protagonismo excesivo sobre el mismo. Ya les dediqué una entrada en el blog a estos sistemas y la falta de una administración adicional en la máquina.

Luego, cuando fui aprendiendo a base de prueba-error, pasé a meterle mano a servidores dedicados más potentes y a administrar otros de terceros. En estos 5 años, he ido pasando por diferentes fases hasta llegar a comprender más o menos como se mueve todo esto.

También a ser consciente de los problemas que se encuentra cualquiera que inicia un blog u otro proyecto web y empiezan a subir sus visitas, y con ello sus problemas a la hora de elegir su plan de alojamiento adecuado, o ser consciente de lo que deberían pedir cuando contraten un nuevo hosting.

No deja de ser menos cierto que el compartir experiencias en nuestros foros de Daboweb, te ayuda hacerte una idea de los problemas de los demás y cómo intentar paliarlos llegado el caso. Y relacionado con todo esto y la charla-demostración práctica del FIMP, pensé que el compañero de viaje ideal para llevarla a buen puerto era Oscar Reixa (Oreixa).

Alguien que de blogs, ahí están todos sus planetas dentro de Galaxia Blog, ( Recién renovados; Reixa, Mac, iOS, iPhone), de tráfico y de cómo buscarse la vida también sabe mucho. El mismo día en que se confirmó mi asistencia al FIMP, me tomé una cerveza con otro que de este medio podría hablar largo y tendido, desde el punto de vista del blogger, formador, usuario o sufridor de los picos de tráfico de su éxito -;). Hablo de mi amigo Juan García, “Kids” de Blogoff, quien por cierto ha escrito una recomendable entrada sobre “Por qué ir al Fimp sin conocer el Fimp“.

Juan me dio algún consejo para la charla, o más bien me contó cómo le gustaría que fuese según su percepción de las cosas o cómo le afectan las cuestiones de optimización y seguridad en el día a día de la publicación y la forma de afrontarlas. Además darme un montón de ánimos para el día 3, como muchos de vosotros -;).

También estos días, hablando con grandes amigos y gente que lleva adelante proyectos con peso y solera en Internet como pueden ser Destroyer y Danae, Forat, AJ, Rafa Espada o Diego, (juntos llevamos adelante DebianHackers) en este caso me refiero a personas que llevan adelante blogs regularmente pero que también administran sus servidores Privados/Dedicados (o co-administramos, ahí estamos ayudándonos unos a otros desde hace años-;), también voy cogiendo ideas (Liamngls, me faltas tú-;).

Pero para no perder la perspectiva, las sugerencias de otros que van “más tranquilos” en La Red como David Busto o Karbonato, nos vienen muy bien para preparar la charla. En este caso hablo de usuarios a los que no les preocupa tanto el sistema, sino el resultado final de la publicación aunque se interesan por el sistema y Karbonato por ejemplo, tiene un VPS bajo Debian.

¿El resultado?, más o menos la descripción que Oscar y yo a modo de resumen, hemos hecho para dar unas pinceladas de lo que compartiremos con el resto de compañeros que asistirán al evento. Tal y como se indica en el programa definitivo del Fimp; También está al completo con los participantes en PDF.

Título;

“Sobrevive a tu tráfico web sin morir o arruinarte en el intento”.

Descripción;

“Soñamos con aumentar el tráfico de nuestros blogs, pero ¿estamos preparados para un incremento súbito en las visitas sin perder el “sueño”? Repasaremos técnicas básicas de guerrilla para tener a punto tu WordPress, optimizar y preparar el servidor web para absorber ese tráfico.

También veremos con ejemplos y demostraciones prácticas, lo complejo que resulta a veces diferenciar entre el tráfico legítimo y el indeseado que llega hacia tu sitio web. Todo ello apoyado con escenarios reales de ataques web de diversos tipos, dando desde nuestra propia experiencia, algunas pautas para paliarlos y una visión global de lo que deberías saber antes de pasar por caja y contratar una nueva máquina”.

Quizás lo más complejo haya sido darle forma a todo o más bien resumir lo más importante. Esa fase ya está superada (más o menos-;) y ahora queda preparar cada uno nuestra parte. Dispondremos de 60 min y lo haremos en dos bloques, estamos controlando ahora mismo el tiempo para cada uno de ellos. En ambos casos, apoyaremos lo comentado con ejemplos realizados en riguroso (esperemos que no falle-;) directo.

Mi compañero de viaje en el Fimp, Oreixa, se centrará en temas relativos a lo importante que es la elección de un hosting y los puntos a tener en cuenta para contratar un nuevo plan de alojamiento, hablará de optimización desde lo más básico en WordPress (usado por la gran mayoría de asistentes a la charla, también dará pautas y herramientas para asegurarlo), hasta temas de más complejidad en el lado del servidor, válido para un VPS o dedicado, (cachés de disco, memoria, PHP, MySQL, etc), monitorización de servicios y el sistema, etc.

Por mi parte me centraré en temas que afectan a la seguridad y en lo complejo que resulta a veces diferenciar el tráfico legítimo del indeseado. También haré alguna demostración práctica de cómo se llevan a cabo ataques de fuerza bruta como los que realizan servidores o hosts troyanizados (típica Botnet) contra protocolos tan delicados como SSH, FTP, etc, ataques DoS bajo peticiones HTTP o Syn.

También se verán ejemplos de cómo un buscador puede tumbarte un servidor, ataques XSS, vulnerabilidades en PHP y otros servicios, seguridad por oscuridad con varios ejemplos y sus correspondientes test de intrusión externos, ver un firewall en acción y algún consejo para usarlos, búsqueda de Rootkits, control de puertos y servicios a la escucha, etc.

A su vez, iremos viendo alguna medida para poder paliar (en parte, ya que la seguridad “total” es una utopía y más en un servidor web). Como todo esto se va realizar usando 4 o 5 servidores reales en producción, sólo espero que no nos fallen las comunicaciones aunque intentaremos tener un plan B o C. Si os pasáis por el Fimp esos días, puede ser un buen punto de encuentro para ponernos cara delante de unas birras -;).

Edito y añado;

Resumen de mi participación y los temas que traté

Muchas gracias a todos por los ánimos y por vuestras entradas que voy leyendo ;)

Oscar en Planeta Reixa

Fernando en SInLaVeniA

David en Ennegativo

Forat en Forat Dot Info

Diego en DebianHackers.

Caborian Caborians en el FIMP

Además de todos los apoyos que llegan desde Twitter, mails, etc. En “Fimp” que sois la leche ;)

Compartir

Tags: Apache, Ataques, Blogs, Cpanel, DaboBlog, Debian, Gijón, GNU/Linux, hosting, Internet, ISP, MySQL, PHP, Plesk, Servidor Web, Sysadmin, Wordpress

En estos momentos estamos siendo testigos del llamado “efecto 301″, fenómeno blogosférico de gran impacto que está provocando la redirección del Planeta iPod y el Planeta iPad hacia la nueva estación base que se ha establecido en Planeta iOS.

No sabemos si habrá sido por efecto del LHC del que ya os hablé hace un tiempo (no confundir con THC-;), pero se prevee que el movimiento cósmico siga afectando a Galaxia Blog y que también el Planeta iPhone, muy pronto sufra ese “efecto 301″ y redireccione su órbita hacia el Planeta iOS.

Por lo que sólo se salvaría del cambio de rumbo el Planeta Mac, que seguirá en su ubicación actual, girando en paralelo con el iOS. Para seguir la evolución de este fenómeno, os aconsejo añadir la nueva fuente a vuestros lectores de Feeds, así como su Twitter.

Mucha suerte comandante Oreixa -;).

Compartir

Tags: Blogs, Explorer, iOS, iPad, iPhone, iPod, LHC, Mac

Bueno, los asiduos al podcast ya lo sabéis porque fue la “sorpresa” con la que venía este episodio. La historia es simple, Diego (n1mh) y yo, con el permiso de Forat que ahora como sabéis está a tope con su nueva paternidad, aunque está ahí,  nos hemos embarcado en una nueva aventura en La Red.

Hemos querido crear un lugar donde compartir nuestro día a día con Debian GNU/Linux y rendir un humilde y sincero homenaje a todos los hackers, en el sentido más auténtico del término, que dedican tanto tiempo, ganas y esfuerzo para seguir alimentando y potenciando el que para nosotros es “El sistema operativo”.

Será obviamente un blog para minorías, pero allí podré ir dejando cuestiones que quizás aquí no tengan tanta cabida y de ese modo. libraros de mis entradas periódicas, a veces un tanto farragosas, lo sé,  sobre Debian -;). De todos modos haré alguna referencia aquí cuando se publique algo reseñable en Debian Hackers.

Más info en www.debianhackers.net | RSS | Twitter

Compartir

Tags: Amigos DaboBlog, Blogs, Dabo, Debian, DebianHackers, GNU, GNU/Linux, Sid

Bueno amigos, WordPress 2.9 ya está aquí y ayer actualicé 5 blogs sin problemas. En Daboweb hemos publicado la lista de cambios y mejoras que no son pocas por cierto (solventa sobre 500 bugs).

Pero con el plugin simple-tags si que hay problemas, ya que el código bajo el que está escrito, no es compatible con esta nueva versión de WP, por lo que hay que hacer una ligera modificación para que lo reconozca.

Gracias a Fernando de Ayuda WordPress y un post en su feed exclusivo para suscriptores, me he enterado de la incompatibilidad y como solventar de una forma muy sencilla esta pega con un plugin prácticamente imprescindible en WP.

Alan en Foro Beta es quien ha proporcionado la solución, se trata de añadir al código lo necesario para que reconozca la versión 2.9 de WordPress. Un consejo, antes de hacer la modificación en el fichero, desactivad el plugin y luego lo activáis, sino, veréis un “bonito error” de PHP -;).

Toda la información (en Foro Beta).

Compartir

Tags: Blogs, Plugins, Tags, Webmaster, Wordpress

Hola amigos, iba a currarme una mini-traducción de lo que solventa esta nueva versión 2.8.6 de WordPress, pero Liamngls ha sido más rápido que yo :D y ya lo ha publicado en Daboweb. Copio y pego;

Nueva actualización para WP que corrige dos vulnerabilidades reportadas por Benjamin Flesch y Dawid Golunski; la primera de ellas es una vulnerabilidad XSS que afecta a los usuarios con privilegios de publicación mientras que la segunda tiene que ver con los nombres de archivos subidos que puede ser explotada en determinadas configuraciones de Apache.

Así que ya sabéis, a actualizar y os comento que no hace falta ejecutar el upgrade de la base de datos.

Os recuerdo que actualizar WP es tan sencillo como esto;

• Desactivamos los plugins.
• Renombramos las carpetas wp-admin/ y wp-includes/ como wp-adminOLD/ y wp-includesOLD/
• Subimos los ficheros nuevos y sobreescribimos todo.
• Ejecuta en el navegador http://tusitio/wp-admin/upgrade.php
• Si necesitas actualizar algún plugin hazlo ahora y reactívalos.

Saludos, estos días ando un poco liado afinando y jugando con mi Debian y también estoy con el podcast, además de tener a Karbonato en casa, de ahí el parón en el ritmo de publicación habitual -;).

Más info y descarga de WordPress.

Compartir

Tags: actualizacion, Apache, Blogs, CMS, Wordpress, XSS