DaboBlog

# Introducción y enlaces recomendados para su lectura.

Ya he hablado antes en DaboBlog de seguridad y WordPress. No hace mucho, publiqué en mi cuenta de Twitter un enlace con el título “Hardening WordPress” (la guía oficial de WordPress para fortificar instalaciones de WordPress). El amigo Jordi Prats de “System Admin”, escribió un artículo “Configuración segura de Apache para WordPress“, con el fin de evitar el listado de plugins frente a una auditoría realizada con nuestro querido Nmap (vía el script http-wp-plugins para nmap)

En el caso de Jordi, fue a raíz de un post muy interesante de Chema Alonso (de “El lado del mal”) en el que realizaba un ataque de este tipo, con algún tip más (por ejemplo el típico error del listado de directorios en Apache y entrar “hasta la cocina”).

Pero tenía pendiente esta entrada sobre este tema y está dedicada especialmente a Dani de “El Arca de la alianza” ya que en alguna ocasión me lo había comentado, y era algo en “pendiente” desde que grabé con él un podcast sobre “Iniciación a la seguridad informática”.(y a ver si retomas la publicación bandido;).

Sobre todo esto se ha escrito por supuesto mucho y muy bien en otros blogs, pero destaco y recomiendo leer los enlaces a las entradas de WordPress.org, Jordi , Chema, Security By Default y Oreixa (con esos seis enlaces ya tenéis una buena hoja de ruta para empezar) ya que me parece que todo puede ser complementario. También citaré alguno útil en el caso de que tengáis el registro de usuarios activado en vuestro blog.

Además de cuestiones como proteger la cuenta de admin (o cambiar el nombre), tener passwords potentes (y cambiarlos), habilitar incluso el acceso por SSL al área de administración (Oscar Reixa habló de ello y publicó una entrada de la parte que tocó de WordPress junto a mi en el FIMP 2010) o una configuración de PHP para que en el caso de que haya algún fallo en la ejecución de una función o un plugin (display errors “off”) para que no revele el “path” o ruta de la instalación de WordPress (un tema publicado no hace mucho en Security By Default, recomendable su lectura). Sobre cuestiones de seguridad, servidores web y Apache (que está todo relacionado), quizás os sirva también de ayuda el resumen de mi participación en el FIMP de Gijón (2010).

# 21 Plugins para dotar a WordPress de más seguridad.

#Actualizado, gracias por vuestras sugerencias ;)

 Vamos a pensar que no todo el mundo tiene acceso vía SSH para controlar su servidor, puede estar en un hosting compartido y creo que sobra decir que si no tenéis vuestra instalación, temas en algún caso y plugins actualizados, de poco servirán muchas de las medidas de prevención comentadas.

Akismet; Todo un clásico, poco hay que hablar de él, salvo que conviene mirar de vez en cuando los comentarios o “trackbacks” ya que no es muy difícil ver “falsos positivos” y más cuando alguien en un comentario alguien mete más de 3 enlaces como se puede configurar en “Ajustes-Comentarios”). Web del plugin

Comment Timeout; Como complemento a Akismet es perfecto. Permite cerrar los comentarios en entradas antiguas, tanto a nivel global, como en cada entrada individualmente. También funciona con los “pingbacks” o “trackbacks”. Web del plugin.

WordPress Backup (BTE); Realizar una copia de seguridad de vuestro tema actual, uploads, imágenes, el tema actual, etc en un directorio (formato .zip) también hay una opción para enviarlo todo por e-mail. Web del plugin.

WordPress Database Backup; Como complemento al anterior, realizar backups de vuestra base de datos (incrementales) y además, tiene la opción de poder enviarlos por e-mail. Web del plugin.

Automatic WordPress Backup; Según nos sugiere e informa en los comentarios Rastreador “Este plugin realiza backups periódicos de tu instalación de WordPress contra un servidor S3 de amazon”. Web del plugin.

WP-DBManager; al igual que si desde vía SSH ejecutáis comandos MySQL como mysqlcheck -o (optimize) – c (check) -r (repair), este plugin hará lo mismo, ayudando a que vuestra base de datos esté siempre a punto. Web del plugin.

Stop Spammer Registrations Plugin; Aquí ya entramos en el tema de los blogs con registro de usuarios habilitado, previene y puede dejar en “cola” de aprobación, a los usuarios con correos o IPs que puedan estar marcados como “spammers” por StopForumSpam.com, Project Honeypot, DNSBL o BotScout. Web del plugin.

Además del comentado “Stop Spammer Registrations”, que ayuda con el Spam y usuarios potencialmente peligrosos puede estar bien usarlo junto a;

Cimy User Extra Fields; Posibilita la opción de reforzar el área de registro del blog, con campos personalizables, sistemas de verificación del registro, puedes ver en una lista de los usuarios pendientes de activar su cuenta, etc (ejemplo en Daboblog con otro parecido, Register Plus Redux). Web del plugin.

Wp Contact Form 7 + Really Simple CAPTCHA; Una buena opción de formulario de contacto junto a la función de Captcha del “Really Simple” para evitar Spam en el envío de correos. Web de WP Contact Form 7 | Web de Really Simple Captcha.

WP Hide Dashboard; También útil para blogs con registro de usuarios, remueve los campos innecesarios del perfil de usuario para que no pueda acceder a otras áreas administrativas. Web del plugin.

Login LockDown; Plugin para prevenir ataques de fuerza bruta contra el usuario / password. Por citar un ejemplo, puedes definir que con 3 intentos fallidos de “login”, se realice un bloqueo contra la IP durante 600 seg. Luego verás una lista de las IPs bloqueadas (pudiendo sacar alguna de esa “lista negra”. Web del plugin.

AskApache Password Protect; Un gran plugin que no estaba añadido, permite autenticación “HTTP Basic” o una más segura “HTTP Digest Authentication”. Te puede ayudar a bloquear Spam y conservar recursos de CPU, memoria, base de datos, etc. Puedes elegir un usuario y password para proteger además del login, directorios como wp-admin, wp-includes, wp-content, plugins, etc. Web del plugin.

Exploit Scanner; Puede ser útil en el caso de que vuestra instalación haya sido comprometida, para buscar en la base de datos, o ficheros, rastros de y huellas de un ataque (también busca en el CSS, HTML, etc). Ojo a los 128 mb de memoria. Web del plugin.

Secure WordPress; Múltiples funciones como pueden ser; remover la versión de WordPress, crear un archivo “index.php” en /themes o /plugins para evitar el listado de directorios, proteger vuestro WordPress contra peticiones de URL maliciosas, evitar que tanto WP a nivel de Core o sus plugins no se actualice salvo por administradores, remover de wp_head opciones como “Windows Live Writer” o “”Really Simple Discovery”" o remover informaciones de error en el login. Web del plugin.

Block Bad Queries (BBQ); Ayuda como el anterior a proteger WordPress de peticiones de webs o IPs maliciosas, realiza un chequeo de cadenas excesivamente largas (por ej mayores de 255 caracteres) , también controla peticiones URI / “Base 64″, etc. Web del plugin

WP-Sentinel; Además de un sistema de bloqueo de IP, alertas al usuario en caso de ataque, etc, protege la instalación de algunos ataques tan comunes como; “Cross Site Scriptings, HTML Injections, Remote File Inclusions, Local File Inclusions, SQL Injections, Cross Site Request Forgery, Login bruteforcing, Flooding“. Web del plugin.

WP Security Scan; Realiza un chequeo de tu WordPress buscando posibles vulnerabilidades y sugiere acciones correctivas en campos como; passwords, permisos de ficheros, seguridad de tu base de datos, oculta la versión de WP, protección para la zona de administración y remueve la etiqueta ” WP Generator META” del “core” de WP. Web del plugin.

AntiVirus for WordPress; Su función es realizar búsquedas diarias con reportes vía mail de en vuestro WP por si hay algún script o llamada maliciosa, protege de ciertos exploits e inyecciones de spam. Otra protección contra el malware en vuestro blog. Web del plugin.

Mutex; (tal y como publican en Security By Default) “Es un plugin para WordPress que incorpora PhpIds y además, lo integra perfectamente en WordPress permitiendo su administración desde el panel de gestión”. Web del plugin.

Además de todo esto, os recomiendo dar un vistazo a esta entrada del mes pasado en DaboBlog sobre “Web Site Defender“, un servicio muy interesante para controlar instalaciones de WordPress. Y recordad borrar el readme.html que da la versión !

Espero que os sea de utilidad, partiendo de la base que siempre se podrán encontrar brechas de seguridad en un sistema remoto y, que ese concepto de la “seguridad total” es sólo eso, un concepto, estas acciones os ayudarán a estar “un poco más tranquilos”, saludos ;).

Compartir

Tags: Apache, Ataques, backup, Blogs, Exploit, Malware, nmap, Plugins, Spam, webs, Wordpress

Aún estás a tiempo de no perderte una gran reunión de mucha gente a la que seguramente, leas habitualmente en sus blogs. Sólo tienes que ver la lista de los participantes (no lo digo por mi-;), para darte cuenta del nivel y el esfuerzo por parte de la organización de presentar un programa de lo más atractivo y además con actividades y talleres paralelos muy interesantes.

En mi caso, a diferencia del año pasado del que (a pesar de la fiebre) guardo un gran recuerdo de mi ponencia compartida con Fernando de la Cuadra (de ESET, que vuelve a patrocinar el evento y nos dedicó este bonito artículo en la revista “Linux +” ) y Oscar Reixa (recuerdos para Josep Albors), en esta ocasión estaré el Sábado dentro del apartado “Monólogos y enséñame lo que sabes en 5 min”. Yo humildemente y sin querer parecer pretencioso, (por aquello de “enseñar lo que sé” con todo lo que me falta por saber) hablaré “De (IN) Seguridad, PYMES y Webs“.

Si te quieres inscribir, aún estás a tiempo y vaya, si pasas por el evento este fin de semana allí nos veremos. Muchas gracias a la organización por contar conmigo de nuevo y por el esfuerzo que supone hacer realidad en los tiempos que corren algo así.

Nos vemos en Gijón !!!

Compartir

Tags: Blogs, Dabo, ESET, FIMP, Gijón, Internet, webs

Esta entrada no tendría mucha lógica si unos cuantos colegas que usan WordPress, no me he hubiesen hecho llegar la pregunta sobre cómo activar el modo “pantalla completa” en WordPress 3.2.

También está siendo llamado “zen mode” en alusión a este post sobre WP 3.2, (ENG) que llevó la firma de Matt Mullenweg creador de WordPress, allí hacía una especial mención a la escritura sin distracciones en modo “fullscreen” (así se se llama el botón para activarlo).

Es muy sencillo hacerlo y sinceramente, es una de las características que más me está gustando de WordPress 3.2 aunque las distracciones no creo que vengan tanto de la pantalla, sino más bien de Twitter, los RSS y Facebook o Google + (para quienes uséis esas dos redes sociales, no es mi caso ya que no me veo también actualizando perfiles allí, entonces, entre mis trabajos de consultoría, los que llevo a cabo en APACHEctl , el podcast que saldrá por cierto en breve el episodio 29, más la participación en los blogs y comunidades que ves en el sidebar (mis otras webs) apaga y vámonos ;D.

Cómo activar el modo “pantalla completa” en WordPress 3.2

# 1º; Cambias la pestaña dentro del editor gráfico (si lo tienes activado en tu perfil) de modo Visual a HTML.

# 2º Haces click en el botón que ves debajo donde pone “fullscreen” (pantalla completa en Inglés) y el cambio se hará efectivo.

Acto seguido, verás una limpia y bonita pantalla blanca con el título y el texto que estás escribiendo, si acercas el ratón a la zona superior, saldrán los controles para añadir una imagen, insertar un enlace, cambiar la alineación, edición de texto, etc, o salir del modo “pantalla completa” tal y como puedes ver en la captura inferior.

Pincha para ampliar

Por cierto, en la entrada que le dediqué en Daboweb al lanzamiento de esta versión junto a sus novedades y con el poco tiempo que lo había probado, ya dije que notaba una mayor ligereza y rapidez en la carga (se nota más en el panel de admin),

Unas cuantas actualizaciones y post después me reafirmo, se nota el trabajo con el código, gracias y enhorabuena a toda la comunidad que está detrás del desarrollo de WordPress. Ahora a seguir escribiendo, compartiendo y “mucho zen” para todos -;).

Compartir

Tags: Blogs, CMS, fullscreen, webs, Wordpress, WordPress 3.2, Zen mode

Hola amigos, estoy ahora mismo acabando la edición del podcast nº 15 (con un pequeño problema de última hora ya solventado-;) y entro para comentaros los siguientes cambios en estas 3 webs que están en mi órbita.

Daboweb; (visto en versión móvil).

Es la que recibe más cambios, además de estrenar la versión móvil, Daboweb estrena Twitter @daboweb, allí iremos metiendo temas de seguridad, webmasters-cms y Cibercultura en general, en formato Twitter para apoyar las entradas que salen del blog.

Además de ello, inauguramos una nueva categoría de entradas llamada [Breves], se trata de publicaciones rápidas por parte de todo el equipo, sobre dos líneas con un enlace de interés junto a una explicación. Necesitábamos poder publicar desde cualquier dispositivo móvil para temas que no requieran post más extensos o en el formato habitual de la web, las entradas del blog (las que van dentro de breves o las normales) salen automáticamente en nuestro Twitter, así que allí nos podéis seguir además de por RSS.

Caborian; (Visto en versión móvil).

Cambios aparte del tema de la versión móvil realmente no hay, si acaso comentar que se han incorporado al equipo de redacción y colaboración de redacción unas 4 personas y como podéis ir viendo, no paran de publicar -;).

DaboBlog; (Visto en versión móvil).

Bueno, más o menos como lo de Daboweb, dándole mucha caña y dejando bastante info en mi Twitter @daboblog (sobre todo por las noches que es cuando puedo;) , y también lanzaré post en formato breve para la web.

Otros temas,

Flipando con el movimiento que estamos teniendo en DebianHackers, estos días a @n1mh (Diego) le estoy haciendo currar más pero es que tenía que acabar estos cambios en conjunción con todo el equipazo de desarrollo, grandes amigos muy volcados con todo esto (aquí si que no doy nombres porque me quedo corto-;).

Hablando de Twitter, otro de los integrantes del podcast, Forat, estrena cuenta @foratinfo, nos veremos allí -;).

Compartir

Tags: Caborian, CMS, Dabo, DaboBlog, Daboweb, DebianHackers, Twitter, Webmaster, webs

Y que no somos sólo los usuarios, creadores de contenidos, etc, quienes vemos serios problemas en una Ley (o más bien anteproyecto de Ley) de Economía Sostenible, más conocida cómo “La nueva Ley de Internet“, que es una auténtica aberración para nuestros derechos y libertades sobre la que ya opiné en DaboBlog.

Vía internet (punto) Microsiervos, me acabo de enterar de que El Consejo General del Poder Judicial y el Consejo Económico y Social han publicado sus objeciones y “peros” al Anteproyecto de Ley de Economía Sostenible. Quizás ahora, viniendo de quienes vienen estas objeciones, algunos se tomen más en serio nuestra lógica preocupación…

Toda la información en Buffet Almeida.

Compartir

Tags: Cibercultura, Internet, Legal, LSSI, webs

Así se llama el proyecto que acaba de iniciar seaofgrass en La Red “Porque tu debes poder elegir”. Una iniciativa necesaria en la que básicamente, se defiende esto;

“Por una web en la que se respeten los estandares y condiciones minimas de accesibilidad para que cualquier navegante pueda hacer un uso correcto de ella”.

Tal y como cuenta seaofgrass en su primer post, xqtdpe (abreviatura) se gestó en un comentario de este post en DaboBlog, es por ello que siento orgullosamente “culpable” de su nacimiento y vaya desde aquí todo mi apoyo. Estoy convencido de que tendrá también el de todos vosotros ya que es algo que redunda en beneficios para todos.

En su primera entrada, seaofgrass nos cuenta como Ticketmaster, el portal de venta de entradas mas importante del mundo, discrimina a los que no usen Explorer…Ahí es nada, nos discrimina a unos cuantos que estamos por aquí habitualmente intercambiando impresiones.

Mucho ánimo y a ver si habilitas un formulario de contacto en el blog o una dirección de correo para que te enviemos nuestros casos (que verás como alguno llegará). Pero sobre todo no decaigas en tu empeño, los comienzos en Internet ahora mismo son más “duros” que hace unos años pero al final, las buenas ideas e intenciones, acaban calando en la gente.

Acceso a; http://xqtdpe.wordpress.com | RSS del blog.

Suerte -;)

Compartir

Tags: Amigos DaboBlog, estándar, seaofgrass, W3C, Webmaster, webs

(La contraseña, ojo que hay mucho mal pensado-;).

Me pasó en FileBox (488 Gb de espacio en la nube esa por 0 €), vi el feed de Genbeta me registré y…xD

Que viene a decir aquí arriba en rojo que “me paso de largo”, deformación “Dabowebera” xD, vaya con la contraseña de los “webos”, al final opté por usar algo más pequeño y peleón. Feliz puente !.

Compartir

Tags: backup, filebox, nube, Off Topic, Seguridad Informatica, webs

Que a la postre son derechos demandados desde hace tiempo y que la clase política (dando igual afiliación, recuerdo la LSSI, una Ley del PP que el PSOE dijo que revisaría en pro del Internauta y lejos de ello la ha potenciado) se pasa por el forro de las “webs”, esas webs que pretenden borrar del mapa a la mínima descarga de cambio.

Es por ello que me hago eco de un manifiesto que está circulando por la Red en el día de hoy.

Manifiesto;

Ante la inclusión en el Anteproyecto de Ley de Economía sostenible de modificaciones legislativas que afectan al libre ejercicio de las libertades de expresión, información y el derecho de acceso a la cultura a través de Internet, los periodistas, bloggers, usuarios, profesionales y creadores de internet manifestamos nuestra firme oposición al proyecto, y declaramos que:

Leer el resto de;”Manifiesto; En defensa de los derechos fundamentales en Internet”

Compartir

Tags: 2009, Blogger, Cultura, Dabo, DaboBlog, Internet, LSSI, webs

Última hora; David Bravo le aconseja a Wogker la reapertura, de nuevo online !

Añado; Entrevista en 5lineas para conocer mejor a Wogker.

Por cada web que se cierra, todos perdemos una parte de nuestra libertad en La Red, últimamente, estamos siendo espectadores de como muchos sitios van cayendo en la tela de araña que esa “otra red”, la de la “Sociedad General de Censores”, está tejiendo a lo largo y ancho de Internet.

Del primer envite Wogker y toda su gran comunidad de usuarios del Agujero Negro salieron tocados (más de 1.000 € de multa y la minuta, nada barata, de los abogados) pero no hundidos…Entiendo que es muy fácil decir  “yo haría esto o lo otro” desde la distancia o la comodidad de saber que a ti no te está pasando pero…¿Cómo se vive al otro lado?

Al otro lado imagino que la mezcla de “rabia-malahostia-impotencia-desilusión” tiene que ser tan jodida de llevar que lo que menos te apetece es encender el botón y ver toda la mierda que te está cayendo encima, motivos, hablando de Wogker, responsable y fundador del Agujero Negro, no le faltan ya que, si en la primera andanada el problema venía por una (SUPUESTA, QUE ESOS DATOS ESTABAN) falta de datos de propiedad, requerimiento de la ley LSSI (¿alguno se da cuenta ahora de lo que se puede hacer “LSSI mediante”?), ahora los tiros van por otro lado.

En esta segunda parte de “entrevista con un vampiro”, las cosas toman otro cariz y le ha llegado una nueva citación para resolver una demanda de la  $G@€ contra dicha página, ahora por “supuesto” uso indebido de obras musicales de su propiedad, mi amigo Ramón me ha mandado un mail hoy diciéndome como estaba llevando todo esto y…os podéis imaginar el panorama.

Todos los que conozcan el Agujero, saben bien que lo que se promovían eran enlaces a ficheros que se encontraban en redes P2P, que uno ya no sabe como explicar que no son de ellos ni de nadie, sino de todos nosotros y aún siendo por todos sabido que en este país salvo una “auto inculpación” fruto entiendo de poner en la balanza los pros y contras y llegar a la conclusión de que no merece la pena (porque de otro modo no me entra en la cabeza), no ha habido ninguna sentencia condenatoria si no existía ánimo de lucro, caso del Agujero Negro.

No me extraña que Wogker diga algo como esto después de 12 años haciendo comunidad;

De nuevo nos tocará demostrar que esta segunda denuncia no tiene sentido ni razón pero, vistos los resultados de la primera demanda, debo confesar que mi “fe” en la justicia ya no es “ciega” y mucho me temo que deberé afrontar nuevos pagos injustificados por algo que jamás me ha reportado beneficio económico alguno. Cierro este Agujero Negro hasta que se resuelva todo este lío aunque debo confesar que ya me han robado todas las ganas de seguir empujando este proyecto.

Mil gracias a todo el equipo del Agujero Negro, gracias a todos los colaboradores, gracias a los miles de visitantes que todos los días nos visitan, nos visitaban. Esto suena a despedida y es muy probable que así sea. La injusticia ha ganado una nueva batalla.

A ustedes, señores de la SGAE (que no tengo el “placer” de conocer), solo decir que espero que alguien les pare los pies pronto por el bien de Internet. No me faltan ganas de emprender acciones legales contra ustedes pero mi actual situación personal no me lo permite. La ley es solo para los ricos. Internet ha perdido otro rincón libre, querido por muchos y que para mi era como un segundo hijo. Adiós Agujero Negro!

Ahora si que puedo hablar de primera mano, conozco a Wogker lo suficiente como para decir que además de ser un tío de puta madre muy comprometido con su comunidad y que se ha partido los cuernos para llevarlo todo adelante (casi medio millón de suscritos a su boletín el “Burejo”) y tener que poner mucha pasta de su bolsillo (de hecho fue el protagonista de mi post sobre Amen.es de hace unos días) con el único fin de seguir manteniendo su comunidad.

Y si algún desinformado de la Sociedad General de Censores ($GC) confunde las churras con las merinas, tiene que saber que ánimo de lucro (un negocio legal por el que paga sus impuestos) lo habrá en Werotic, otra página de su propiedad, pero no en el Agujero Negro, donde todo lo más había unos banners, ojo, los mismos que pueden verse si se busca un fichero P2P en Google ¿hay cojones de demandar a Google? pero la web era (es y seguirá siendo) de acceso libre y la gente pinchaba en la publicidad si le daba la gana.

Sólo darte desde aquí todo mi apoyo Wogker al igual que a los miles de miembros de tu comunidad (yo estaba registrado) y decirte que entiendo que ahora estés con un bajón importante pero un consejo, no tomes decisiones drásticas ahora, asesórate como sé que harás y habla con otros afectados como he podido leer hoy vía Menéame y a ver si podéis hacer de alguna forma un frente común para compartir gastos y presentar más batalla.

Un abrazo muy fuerte y en lo técnico como en lo personal ya sabes donde estoy.

Compartir

Tags: $G@€, Agujero Negro, Denuncia, Internet, Legal, LSSI, P2P, webs, Wogker

Acabo de ver con alegría que mis colegas de Blogoff optan a uno de los premios en la categoría “Blogs” en el marco de los Premios a la mejor Web Asturiana, una iniciativa del Diario El Comercio Digital.

Son 60 finalistas en categorías como turismo, deporte, mejor blog, empresarial, etc. Las votaciones se cierran el 5 de Diciembre y se sorteará un portátil entre los que dejen su voto (ojo a la cesión de datos al Banco Sabadell).

Mucha suerte a Kids en la final y tengo que dar también la enhorabuena a Fernando de SinLaVeniA y Montse de Noteblog porque han sido preseleccionados dentro de la categoría “Mejor Blog”.

Compartir

Tags: Asturias, Blogoff, Blogs, NoteBlog, Premios, SInLaVeniA, Webmaster, webs