Category Archives: Programari lliure

Consells de seguretat a WordPress

Per | 20 gener 2014

Un dels problemes per als qui tenim un o més blogs hostatjats en el propi servidor és mantenir-lo segur. Sí, ja sé que la seguretat en informàtica (i en res) no existeix (“la seguretat és un estat mental”…).

wp-segurHi ha diversos motius pels quals hi ha gent que vol prendre el control del nostre WordPress, i d’això ens hem de defensar. Ahir em vaig llevar i tenia més de 400 missatges electrònics que m’alertaven d’intents d’accedir al tauler d’administrador d’aquest blog. En un parell d’hores ja en tenia més de 600, i això que ja estava bloquejant les IP que feien tres intents fallits per autenticar-se… Per sort, ho tenia ben configurat, però després vaig afegir-ne més (l’últim dels passos que descric a sota) i vaig tallar-los la possibilitat de ni tan sols arribar a la pàgina d’autenticació.

Com podem protegir, un WordPress?

  • No utilitzar “admin” com a nom d’usuari, ni cap altre que pugui ser deduïble (el propi nom, “administrador”, etc.). Si ja tens el WordPress instal·lat, pots canviar-lo anant a PhpMyAdmin i executar aquest codi:
    UPDATE wp_users SET user_login = 'Nou_usuari' WHERE user_login = 'Admin';
  • Utilitza una contrasenya segura. A aquestes alçades ja se sap que segura vol dir que no sigui curta (mínim 7 caràcters) i que contingui: caràcters en minúscula, majúscula, números i símbols. Si voleu comprovar si la vostra contrasenya és forta, ho podeu fer en aquest web. També podeu seguir alguns consells sobre com crear-ne de segures i poder-les recordar.
  • Quan instal·lem WordPress, hem de canviar el prefix de les taules de la base de dades en el fitxer config.php. Per defecte ve wp_ i es recomana posar-ne un més complex.
  • Mantenir WordPress actualitzat. D’acord, fer actualitzacions de vegades és pesat, i algun cop és buscar-se problemes per la compatibilitat de les extensions… Però les versions antigues solen tenir vulnerabilitats que poden ser explotades per fer malifetes. I recordeu que des de la versió 3.7 WordPress permet autoactualitzar-se. No cal fer res més que escriure els paràmetres de l’ftp i dir-li que ho faci ell. A mi mai m’ha fallat, ni ens instal·lacions simples ni en multisite. :)
  • Instal·lar una extensió de còpies de seguretat. N’hi ha de gratuïtes i de pagament. Jo ara faig servir BackWPup, que és gratuïta, permet planificar-ne l’execució amb cron i desar les còpies a Dropbox. Permet, també, fer còpies dels arxius, extensions i base de dades, i tot comprimit amb gzip.
  • Instal·lar alguna extensió de seguretat. Fa temps que faig servir Wordfence, que actua en diversos sentits. Fa de tallafocs i permet bloquejar la IP dels usuaris que fan diversos intents fallits. Permet llistes blanques i negres i definir polítiques específiques per als robots dels cercadors. També funciona bé Simple Login Lockdown.
  • Finalment, cal configurar l’arxiu .htacces. Aquest arxiu, que és al directori arrel de la instal·lació de WordPress fa de filtre entre el servidor i les dades que arriben i se’n van. Això ens permet fer meravelles, com reanomenar URL o filtrar usuaris. Basat en això últim, és com jo vaig aturar l’atac, ja que treballo amb IP fixa, i això ho facilita molt. Cal afegir al principi de l’.htacces del directori arrel el següent:
# Restringir quines IP poden anar a la pàgina de login. Atenció: utilitzeu-lo NOMÉS si teniu IP fixa:

<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from xxx.xxx.xxx.xxx
</Files>

# Restringir quines IP poden anar a la pàgina de wp-admin:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

<Files .htaccess>
order allow,deny
deny from all
</Files>

Ja tenim la versió 4.0 de Creative Commons

Per | 11 desembre 2013

L’hipertext és la base de la web. L’hipertext explota la característiques de la informació digital, que en una obra ja clàssica Lluís Codina definia en: computabilitat, recuperabilitat, reusabilitat, interactivitat, accés aleatori, cercabilitat i densitat. Aquest context tan fàcilment reutilitzable ha provocat un gran auge del concepte de compartir la informació, en qualsevol dels seus formats (text, música, fotografia, imatge, vídeo…).

copyremixTota la informació digital és reutilitzable, i això em porta a pensar en les tesis d’Eudald Carbonell, quan afirma que encara no som humans del tot. Que hem evolucionat quan hem estat capaços de compartir tecnologia. La tecnologia en el passat ens servia per produir béns, però ara la tecnologia ens serveix sobretot per gestionar coneixement. I compartir tecnologia és el que ens fa avançar com a espècie. Avui dia, compartir tecnologia i compartir el mateix coneixement és equivalent (potser ha estat sempre així), i les facilitats que ens dóna l’hipertext en una realitat tan connectada són literalment infinites.

Però, com sempre passa, la realitat sempre va per davant. I aquesta nova realitat ha de contextualitzar-se en el context jurídic de màxima protecció al que s’anomena creació intel·lectual, que genera drets d’autor, protegits per les lleis del copyright. I aquí és on entra en contradicció la realitat, creada a partir d’una necessitat nostra com a espècie en evolució gràcies a una tecnologia, i el corpus legislatiu defensat pels grans lobbies de poder, començant per les grans societats de protecció dels drets d’autor.

En aquest context és on va aparèixer Lawrence Lessig, quan el 2001 va fundar l’organització anomenada Creative Commons, que són els qui publiquen les llicències amb el mateix nom. El sentit d’aquestes llicències és que permeten compartir la informació (qualsevol obra llicenciada sota alguna de les varietats de CC), però amb algunes restriccions, com pot ser la possibilitat o no de fer-ne obres derivades, la possibilitats de treure’n un profit econòmic o l’obligatorietat de citar l’autor original. L’èxit d’aquestes llicències ha estat tan immens, que a tall d’exemple només Flickr té avui més de 285 milions de fotografies amb CC. Per cert, Flickr té un cercador d’imatges i música amb llicència CC.

Això dóna resposta òbviament a les necessitats de compartir informació que tenim en el món. Milions de llibres es publiquen sota alguna de les llicències de Creative Commons, i actualment fins i tot disposem de registres de propietat intel·lectual en línia, com SafeCreative, que tenen la mateixa validesa legal que els registres oficials.

Creative Commons fa una tasca ingent a nivell legal d’adaptar les seves llicències a tots i cadascun dels països del món, i és per això que n’han anat publicant diverses versions. Actualment acabem d’estrenar la versió 4.0, que milloren les versions anteriors en algun error que tenien, i que eviten haver de fer versions locals de llicències, al marge que utilitzen una terminologia més planera. Si en voleu saber les novetats concretes i veure els diversos tipus de llicència, els podeu llegir, entre d’altres, en aquest article.