Category Archives: Pensalla

Consells de seguretat a WordPress

Per | 20 gener 2014

Un dels problemes per als qui tenim un o més blogs hostatjats en el propi servidor és mantenir-lo segur. Sí, ja sé que la seguretat en informàtica (i en res) no existeix (“la seguretat és un estat mental”…).

wp-segurHi ha diversos motius pels quals hi ha gent que vol prendre el control del nostre WordPress, i d’això ens hem de defensar. Ahir em vaig llevar i tenia més de 400 missatges electrònics que m’alertaven d’intents d’accedir al tauler d’administrador d’aquest blog. En un parell d’hores ja en tenia més de 600, i això que ja estava bloquejant les IP que feien tres intents fallits per autenticar-se… Per sort, ho tenia ben configurat, però després vaig afegir-ne més (l’últim dels passos que descric a sota) i vaig tallar-los la possibilitat de ni tan sols arribar a la pàgina d’autenticació.

Com podem protegir, un WordPress?

  • No utilitzar “admin” com a nom d’usuari, ni cap altre que pugui ser deduïble (el propi nom, “administrador”, etc.). Si ja tens el WordPress instal·lat, pots canviar-lo anant a PhpMyAdmin i executar aquest codi:
    UPDATE wp_users SET user_login = 'Nou_usuari' WHERE user_login = 'Admin';
  • Utilitza una contrasenya segura. A aquestes alçades ja se sap que segura vol dir que no sigui curta (mínim 7 caràcters) i que contingui: caràcters en minúscula, majúscula, números i símbols. Si voleu comprovar si la vostra contrasenya és forta, ho podeu fer en aquest web. També podeu seguir alguns consells sobre com crear-ne de segures i poder-les recordar.
  • Quan instal·lem WordPress, hem de canviar el prefix de les taules de la base de dades en el fitxer config.php. Per defecte ve wp_ i es recomana posar-ne un més complex.
  • Mantenir WordPress actualitzat. D’acord, fer actualitzacions de vegades és pesat, i algun cop és buscar-se problemes per la compatibilitat de les extensions… Però les versions antigues solen tenir vulnerabilitats que poden ser explotades per fer malifetes. I recordeu que des de la versió 3.7 WordPress permet autoactualitzar-se. No cal fer res més que escriure els paràmetres de l’ftp i dir-li que ho faci ell. A mi mai m’ha fallat, ni ens instal·lacions simples ni en multisite. :)
  • Instal·lar una extensió de còpies de seguretat. N’hi ha de gratuïtes i de pagament. Jo ara faig servir BackWPup, que és gratuïta, permet planificar-ne l’execució amb cron i desar les còpies a Dropbox. Permet, també, fer còpies dels arxius, extensions i base de dades, i tot comprimit amb gzip.
  • Instal·lar alguna extensió de seguretat. Fa temps que faig servir Wordfence, que actua en diversos sentits. Fa de tallafocs i permet bloquejar la IP dels usuaris que fan diversos intents fallits. Permet llistes blanques i negres i definir polítiques específiques per als robots dels cercadors. També funciona bé Simple Login Lockdown.
  • Finalment, cal configurar l’arxiu .htacces. Aquest arxiu, que és al directori arrel de la instal·lació de WordPress fa de filtre entre el servidor i les dades que arriben i se’n van. Això ens permet fer meravelles, com reanomenar URL o filtrar usuaris. Basat en això últim, és com jo vaig aturar l’atac, ja que treballo amb IP fixa, i això ho facilita molt. Cal afegir al principi de l’.htacces del directori arrel el següent:
# Restringir quines IP poden anar a la pàgina de login. Atenció: utilitzeu-lo NOMÉS si teniu IP fixa:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

# Restringir quines IP poden anar a la pàgina de wp-admin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Què són els RSS

Per | 23 gener 2008

Un altre dels temes recurrents són els fils RSS. És difícil fer-se una idea de què es tracta, ja que en el món del web són un concepte nou, i una mica abstracte, ja que pròpiament no es veuen.

La primera etapa de la web es caracteritzava per estar formada per pàgines estàtiques, és a dir, aquelles en què el programador escrivia un document HTML, en el qual posava tant el contingut com les etiquetes de presentació d’aquest contingut (taules, llistes, tipografies, mides, colors, etc.). A partir d’aquí hi ha hagut una doble evolució: d’una banda, actualment hem separat el contigut dels webs (als fitxers HTML) de la seva presentació, que situem als fitxers CSS (Cascade Style Sheets).

D”altra banda, ara treballem majoritàriament amb pàgines dinàmiques. Això consisteix a extreure dels arxius HTML tots els continguts i posar-los en una base de dades al servidor. Aleshores, amb un llenguatge de programació (php, asp, java, etc.) en funció de certs paràmetres (com la data, la interacció de l’usuari o la configuració del web) extraiem la informació i construïm el fitxer HTML per a cada persona que visita el nostre web. Aquesta explicació és molt simplificada, però essencialment és això.

Però, com és lògic pensar, si ja tenim la informació a dins de la base de dades, la’n podem extreure com vulguem. Una de les possibles maneres és tal com ho fem per muntar les webs tal com les veiem, però no és l’única. Hi ha un altre format, anomenat XML, que pròpiament no té una visualització definida: es tracta d’un format que etiqueta molt bé la informació, la qual cosa l’ha convertit en el format d’intercanvi per excel·lència. Els RSS estan basat en aquest format XML, i ens permeten agafar la informació d’un web i reutilitzar-la com vulguem:

  • Mitjançant agregadors: són programes que s’instal·len al nostre ordinador i que cada cert temps es connecten a la pàgina RSS dels webs que ens interessen. D’aquesta manera, rebem la informació nova cada cop que s’actualitza el web sense haver-hi d’anar.
  • Mitjançant pàgines web, que permeten fer el mateix que els agregadors locals, però amb l’avantatge que des de qualsevol lloc els tenim disponibles. Personalment em declaro un fan del Netvibes, del qual ja en parlaré un altre dia.
  • Mitjançant programes locals que duen com a afegit la possibilitat de sindicar-se a fils RSS, com el Firefox o el Thunderbird.
  • O bé mitjançant dispositius mòbils (telèfons, PDA) que cada cop veig que van portant també aplicacions que permeten la subscricpicó a fils RSS.

M’afegeixo a la gent que ha dit que això és una revolució. En el meu cas, cada dia puc seguir les novetats de més de 100 webs, gràcies a aquesta tecnologia. És per això que tenia ganes de parlar-ne, i ho continuaré fent, ja que, com sol passar, a partir d’aquesta idea, n’han anat sortint moltes altres, com ajuntar RSS de webs diferents, subscriure’s a RSS de cerques fetes a un cercador concrets, construir RSS de webs que no en tenen, etc. Continuarà!